Los ataques dirigidos a dispositivos de comunicaciones de Hezbollah ponen de relieve las crecientes preocupaciones sobre la seguridad de los equipos electrónicos, convertidos en bombas potenciales. La cuestión surgs tras la explosión coordinada de “buscas” y walkie-talkies en Líbano, que mató a 15 personas e hirió a más de 3.000 hace unos días.
El ataque revela la dificultad de controlar la cadena de suministro de los aparatos electrónicos. Los israelíes integraron una carga de tres gramos de explosivo en los “buscas”.
La inteligencia israelí ya había llevado a cabo este tipo de ataque, pero no a esa escala. Hubo un fallo en la cadena de suministro. O lograron ingresar a la línea de fabricación para integrar una carga explosiva, o interceptaron envíos de los “buscas” en el camino a la entrega.
También pudieron crear una empresa pantalla que habría permitido integrar la cadena de fabricación de los buscas. Esto demuestra que un país puede interactuar con la fabricación de un producto, tanto a nivel de equipo como de aplicaciones. Hasta ahora la preocupación se centraba principalmente en las aplicaciones. Hoy la amenaza pesa también sobre los equipos.
Gran parte de la cadena mundial de suministro de productos electrónicos pasa por Taiwán u otros países del este de Asia. Sin embargo, la construcción de un dispositivo moderno involucra a docenas de países, con una cantidad vertiginosa de proveedores, contratistas y subcontratistas de componentes, a veces dispersos en diferentes regiones. Esta complejidad dificulta los controles de seguridad. En el caso de las explosiones en Líbano, el origen del subcontratista que las montó sigue sin estar claro.
Los “buscas” llevaban la marca del fabricante taiwanés Gold Apollo. Pero la empresa dijo que los dispositivos estaban “totalmente gestionados” por una empresa húngara, BAC Consulting KFT. Sin embargo, el gobierno húngaro indicó que la empresa no tenía una planta de producción en el país.
El capitalismo ha prestado atención a la cadena de suministro agroalimentario y ahora quiere ampliar el control a la electrónica. Los fallos están en todas partes y en todo tipo de industria. Cualquiera puede alterar la cadena de suministro.
Los subcontratistas también son periódicamente objeto de ataques. En el mundo informático, la cadena de suministro es una parte importante del análisis de riesgos, que se reiterará en la próxima directiva Nis2 de Estados Unidos (*).
Se trata también de una llamada de atención para los gobiernos, que deben examinar las lagunas en sus propios controles aduaneros.
Más allá del asunto de los “buscas”, la vigilancia de la fabricación de equipos y, en particular, de objetos conectados, es un tema de preocupación cada vez mayor, pero hasta ahora sólo afectaba a las tecnologías chinas y rusas. Como hemos expuesto en entradas anteriores, a partir de 2027 afectará a los programas informáticos, pero en 2029 se ampliará a los equipos (cámara, GPS, micrófono).
El gobierno de Biden ha presionado para que el mayor productor de chips del mundo, la empresa taiwanesa TSMC, traslade algunas de sus operaciones a Estados Unidos para asegurar el suministro a los estadounidenses.
La tienda de aplicaciones de Huawei ha sido prohibida en varios países por temor a la descarga de aplicaciones comprometidas por los programas de espionaje. Ahora la preocupación es por los aparatos.
(*) El acrónimo NiS hace referencia al sulfuro de níquel, que tiene la fórmula química NiSy. La millerita tiene la fórmula NiS. Algunos sulfuros de níquel se utilizan comercialmente como catalizadores.