Desbloquea el Editor's Digest gratis
Roula Khalaf, editora del FT, selecciona sus historias favoritas en este boletín semanal.
El escritor es el autor de 'Chip War'
Los explosivos que el Mossad introdujo en miles de baterías de buscapersonas de Hezbolá y detonaron el mes pasado en el Líbano deberían provocar una sacudida de miedo en el, por lo demás, serio mundo de la gestión de la cadena de suministro global. Seguramente los adversarios de Occidente tendrán sus propias tácticas para comprometer nuestro hardware electrónico. La mayoría de las empresas sólo piensan en las vulnerabilidades cibernéticas y de software. Es hora de que se tomen más en serio la seguridad del hardware.
Los rusos ya están tan nerviosos de que sus oponentes puedan manipular componentes electrónicos complejos que han creado un sistema especial instituto para probar la veracidad de los chips occidentales introducidos de contrabando para su uso en la fabricación de misiles y drones. La historia muestra que probablemente tengan razón al preocuparse. Aunque muchos juegos de espías de la época de la Guerra Fría todavía están ocultos por clasificación, Politico recientemente descubierto un plan del FBI de la década de 1980 diseñado para alterar las herramientas de fabricación de chips que los soviéticos importaban ilegalmente.
Sin embargo, es posible que las agencias de seguridad occidentales ya no tengan la oportunidad de repetir tales prácticas, incluso si hoy son tan hábiles como lo fueron durante la Guerra Fría. El epicentro de la fabricación de productos electrónicos se ha desplazado de Estados Unidos a Asia, en particular a China y, en el caso de la fabricación de chips, a Taiwán. Cuantos más productos fabrique un país, más oportunidades habrá de cometer actos ilícitos.
La mayoría de nosotros no necesitamos preocuparnos por la explosión de dispositivos electrónicos. Pero ¿qué pasa con los dispositivos modificados para permitir el espionaje? En 2018, Bloomberg informó que espías chinos habían agregado un chip del tamaño de un arroz a las placas de circuito de los servidores utilizados por Amazon, Apple y el Pentágono. Según se informa, el chip adicional permitió a un actor externo alterar el funcionamiento del servidor y robar datos.
Todas las empresas involucradas refutaron la historia y rechazaron con vehemencia la implicación de que la seguridad de sus datos se vio comprometida mientras los jefes de inteligencia estadounidenses denegado que había alguna evidencia de manipulación de productos. Pero no siempre es prudente tomar las declaraciones públicas de los espías al pie de la letra.
En comparación con implantar y luego detonar explosivos en buscapersonas baterías, colocar un chip de escucha en una placa de circuito es más sencillo.
El espionaje tampoco es la única forma que podría adoptar un ataque de hardware. chips falsificados (especialmente los semiconductores simples, baratos y producidos en masa, como los que modulan la electricidad en una placa de circuito) ya son un desafío. A las empresas de chips no les gusta que sus productos sean copiados y se pierdan ventas, pero también hay que considerar problemas de seguridad más amplios.
Supongamos que se produjo un chip falsificado con estándares de calidad deliberadamente bajos, con el objetivo de reducir su vida útil. Los resultados pueden variar desde irritantes hasta debilitantes. Si los cepillos de dientes eléctricos del mundo empezaran a estropearse, todavía podríamos cepillarnos a mano. Pero si los submarinos estadounidenses comenzaran a pasar más tiempo en los puertos para reparar los fallos electrónicos, el ejército estadounidense podría verse disperso en el Indo-Pacífico.
Escenarios como éste explican por qué se supone que las empresas de defensa estadounidenses no deben obtener componentes de sus adversarios. Sin embargo, es un secreto a voces en Washington que algunos grandes contratistas de defensa no cumplen con esta regla, alegando que es imposible de seguir. Ciertos tipos de componentes hoy en día sólo se fabrican en Asia. Uno estudio reciente descubrió que los nuevos portaaviones estadounidenses tienen en su interior 6.500 semiconductores fabricados en China.
Si el ejército utiliza proveedores poco confiables, también podrían hacerlo las empresas de telecomunicaciones y otros proveedores de infraestructura esencial.
Las empresas occidentales han pasado las últimas dos décadas construyendo defensas contra los ataques cibernéticos, gastando miles de millones en el proceso. Sin embargo, incluso los más sofisticados dedican pocos recursos a verificar los chips o inspeccionar las placas de circuito dentro de sus sistemas. Algunos fabricantes todavía no logran monitorear el origen de los componentes en lo más profundo de sus cadenas de suministro, a pesar de la creación de software potente para facilitarlo.
Examinar el hardware es costoso y, a menudo, técnicamente complejo. El ejército estadounidense está creando un “enclave seguro” para la fabricación de chips clasificados, pero ni siquiera las mayores empresas de electrónica pueden permitirse el lujo de llevar toda su fabricación internamente.
Sin embargo, pueden utilizar herramientas de software cada vez más potentes para comprender mejor los riesgos en sus cadenas de suministro.
Éste es el trabajo que Hezbollah no hizo, aunque después de las explosiones de los buscapersonas los periodistas pudieron comprobar rápidamente que empresa húngara que vendió los dispositivos era una fachada israelí.
Hezbollah no es el único que depende de complejas redes de producción de productos electrónicos con visibilidad limitada: todos lo hacemos. Sin duda desearía haber dedicado más recursos a la seguridad de la cadena de suministro y la verificación del hardware. Las empresas y los gobiernos occidentales deben asegurarse de hacer lo mismo.
