A Fondo
La verdadera historia de Stuxnet, la primera ciberarma de la historia

Los ataques a las instalaciones nucleares iraníes que estos días asustan al mundo por sus repercusiones geopolíticas, son los últimos de una campaña que las fuerzas armadas y los servicios de inteligencia israelíes iniciaron hace años para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Todo comenzó con Stuxnet, la primera ciberarma de la historia que logró destruir infraestructura industrial en una operación de inteligencia y posteriormente llegó a infectar miles de equipos en 115 países.
El jueves 12 de junio, el primer ministro israelí, Benjamin Netanyahu, anunció que aviones de guerra de su país habían atacado la principal instalación de enriquecimiento de uranio de Irán en Natanz, uno de los dos sitios donde, según fuentes occidentales, ha estado operando centrifugadoras para enriquecer uranio a niveles muy superiores a los necesarios para usos pacíficos, como la generación de energía. Medios estadounidenses apuntan que la Casa Blanca también tiene planes para bombardear las plantas nucleares iraníes en lo que sería una escalada de consecuencias imprevisibles para un mundo convulso.
Dejando a un lado las cuestiones políticas que no corresponde a un medio tecnológico, hay que recordar cómo y cuándo se inició esta campaña. Los ataques contra Irán de estas últimas semanas se producen 15 años después de que Israel lanzara una operación de inteligencia que insertó un gusano llamado Stuxnet en el software de la planta de Natanz que controlaba las cascadas de centrifugadoras. La operación destruyó aproximadamente 1.000 centrifugadoras en una planta que como otras de su tipo no estaba conectada a Internet. También se infiltró en otra docena de instalaciones.
IEEE Spectrum ha recuperado un artículo especial publicado en 2013 donde se describe ‘la verdadera historia’ de este malware. Fue uno de los informes detallados pioneros sobre cómo se descubrió y analizó el gusano Stuxnet desde el punto de vista de un analista de la firma de ciberseguridad Kaspersky, uno de los primeros investigadores que detectaron a Stuxnet. Un caso que todavía se estudia y que ha dado pie a toda una familia de malware del grupo de las ciberarmas, algunas basadas en este mismo desarrollo.
Lamentablemente, vuelve a estar de plena actualidad en la terrible situación de Oriente Medio y en una época de guerra fría digital en la que los países más potentes compiten por ciberarmarse, espían a otras naciones y prueban redes informáticas con la intención de utilizar Internet como campo de batalla.
Stuxnet: malicioso, pero magistral en código y capacidad
Como investigador sénior de Kaspersky Lab, una empresa líder en seguridad informática con sede en Moscú, Roel Schouwenberg pasaba días (y muchas noches) en la sede estadounidense del laboratorio en Woburn, Massachusetts, luchando contra las armas digitales más insidiosas de la historia, capaces de paralizar el suministro de agua, las centrales eléctricas, los bancos y la misma infraestructura que alguna vez pareció invulnerable a los ataques informáticos.
El reconocimiento de estas amenazas se disparó en junio de 2010 con el descubrimiento de Stuxnet, un gusano informático de solo 500 kilobytes que infectó el software de al menos 14 plantas industriales en Irán, incluida la citada planta de enriquecimiento de uranio. Si bien un virus informático depende de que una víctima involuntaria lo instale, un gusano es capaz de propagarse por sí solo, a menudo a través de una red informática.
Este gusano era un código malicioso sin precedentes que atacaba en tres fases. Primero, atacaba máquinas y redes Microsoft Windows, replicándose repetidamente. Luego, buscaba el software Siemens Step7, también basado en Windows, utilizado para programar sistemas de control industrial que operan equipos como las centrifugadoras. Finalmente, comprometió los controladores lógicos programables o PLC.
De esta forma, los autores del gusano pudieron espiar los sistemas industriales e incluso provocar que las centrifugadoras, que giraban a alta velocidad, se desmantelaran sin que lo supieran los operadores de la planta. Irán todavía no ha confirmado los informes de que Stuxnet destruyó algunas de sus centrifugadoras, pero múltiples analistas lo dan por hecho.
Aunque no se ha identificado oficialmente a los autores de Stuxnet, la sofisticación del gusano han llevado a los expertos a creer que solo pudo haber sido creado con el patrocinio de un estado-nación. Si bien nadie lo ha reconocido, filtraciones a la prensa de funcionarios de Estados Unidos e Israel sugieren firmemente que fueron estos dos países los responsables.
Desde el descubrimiento de Stuxnet, Schouwenberg y otros ingenieros de seguridad informática han estado combatiendo otros virus ‘armados’, como Flame, Gauss y Duqu, un desarrollo que llegó a conocerse como ‘Stuxnet 2.0’ por sus similitudes. Desde entonces, la ofensiva maliciosa de estos desarrollos ha sido total y ha marcado un punto de inflexión en los conflictos geopolíticos. Los escenarios apocalípticos que antes solo se imaginaban en películas de ciencia ficción, finalmente se volvieron plausibles.
Cómo se descubrió Stuxnet
Los virus no siempre fueron tan maliciosos. En la década de 1990, cuando Schouwenberg era solo un adolescente friki en los Países Bajos, el malware solía ser obra de bromistas y hackers, personas que buscaban bloquear ordenadores o hacer grafitis en las páginas de inicio de AOL. Tras descubrir un virus informático por su cuenta con 14 años, Schouwenberg envió un correo electrónico al fundador de Kaspesky, preguntándole si debía estudiar matemáticas en la universidad si quería ser especialista en seguridad. Eugene Kaspersky respondió ofreciéndole trabajo con solo 17 años.
Tras cuatro años trabajando para la empresa en los Países Bajos, se trasladó a la zona de Boston. Allí, Schouwenberg descubrió que un ingeniero necesita habilidades específicas para combatir el malware. Dado que la mayoría de los virus están diseñados para Windows, aplicarles ingeniería inversa requería conocimientos del lenguaje ensamblador x86. Durante la década siguiente, Schouwenberg fue testigo del cambio más significativo en la historia de la industria de la ciberseguridad. La detección manual de virus dio paso a métodos automatizados diseñados para detectar hasta 250.000 nuevos archivos de malware cada día.
Todo ello cambió en junio de 2010, cuando una empresa bielorrusa de detección de malware recibió una solicitud de un cliente para determinar por qué sus máquinas se reiniciaban una y otra vez. El malware estaba firmado con un certificado digital para aparentar provenir de una empresa confiable. Esta hazaña llamó la atención de la comunidad antivirus, cuyos programas de detección automática no podían controlar tal amenaza. Este fue el primer avistamiento de Stuxnet en acción.
El peligro que representaban las firmas falsificadas era tan aterrador que los especialistas en seguridad informática comenzaron a compartir discretamente sus hallazgos por correo electrónico y en foros privados en línea. «El intercambio de información en la industria de la seguridad informática solo puede catalogarse de extraordinario», explicó el director de investigación de F-Secure. «No se me ocurre ningún otro sector de TI donde exista una cooperación tan amplia entre competidores«.
Objetivos y responsables
Antes de que supieran los objetivos concretos del malware, los investigadores de Kaspersky y otras empresas de seguridad comenzaron a realizar ingeniería inversa del código, recogiendo pistas en el camino: el número de infecciones, la fracción de infecciones en Irán y las referencias a los programas industriales de Siemens que se utilizaban en plantas de energía. Schouwenberg quedó muy impresionado por el hecho de que Stuxnet hubiera realizado no solo uno, sino cuatro exploits de día cero, ataques que aprovechan vulnerabilidades previamente desconocidas para la comunidad.
«No solo era una cifra revolucionaria; todos se complementaban a la perfección», explicaba el analista. La vulnerabilidad LNK [un acceso directo a archivos en Microsoft Windows] se utiliza para propagarse mediante memorias USB. La vulnerabilidad de la cola de impresión compartida se utiliza para propagarse en redes con impresoras compartidas, algo extremadamente común en las redes de conexión compartida a Internet. Las otras dos vulnerabilidades estaban relacionadas con la escalada de privilegios, diseñada para obtener privilegios a nivel de sistema incluso cuando los ordenadores hubieran sido completamente bloqueados. «Y todo ello ejecutado de manera brillante», comentaba.
Schouwenberg y sus colegas de Kaspersky pronto concluyeron que el código era demasiado sofisticado para ser la creación de un grupo heterogéneo de hackers y lo describieron como «un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial«. El desarrollo era tan complejo que la firma de ciberseguridad pensó que un equipo de 10 personas habría necesitado al menos dos o tres años para crearlo.
Las preguntas estaban en el aire: ¿quién era el responsable y para qué había sido creado? Pronto quedó claro, tanto en el propio código como en los informes de campo, que Stuxnet había sido diseñado específicamente para subvertir los sistemas de Siemens que operaban centrifugadoras en el programa de enriquecimiento nuclear de Irán.
Los analistas de Kaspersky se dieron cuenta de que el objetivo no era obtener beneficios económicos. Se trataba de un ataque con motivaciones políticas. No cabía duda de que estaba patrocinado por un estado-nación, un fenómeno bien conocido en la actualidad, pero que en aquellos momentos sorprendió a la mayoría de los especialistas en seguridad informática. «Esta fue la primera amenaza real que vimos con ramificaciones políticas reales. Fue algo con lo que tuvimos que lidiar», dicen.
Implicaciones
Las implicaciones de Stuxnet y posteriormente de otros como Flame (supuestamente desarrollado por los mismos autores e igual de potente aunque dedicado al espionaje) abrieron la era de los ciberataques patrocinados por los estados, pero sus implicaciones fueron mucho más allá, porque el código siempre termina estando disponible públicamente. Recordemos que Stuxnet acabó infectando miles de computadoras en 115 países con objetivos lejanos para los que había sido creado originalmente.
Los hackers pueden simplemente reutilizar componentes y tecnología específicos disponibles en línea para sus propios ataques. Los delincuentes podrían usar el ciberespionaje para, por ejemplo, robar datos de clientes de un banco o simplemente causar estragos como parte de una broma elaborada.
«Se habla mucho de naciones que intentan atacarnos, pero estamos en una situación en la que somos vulnerables a un ejército de jóvenes de 14 años con dos semanas de entrenamiento», afirmaba Schouwenberg en 2013 con una clarividencia que asusta hoy, porque los ciberataques a infraestructuras críticas están a la orden del día. Y lo que sabemos solo es la punta del iceberg.
-
EntrevistasHace 5 días
«El futuro de la relación con el cliente es conversacional»
-
NoticiasHace 6 días
Microsoft despedirá a otros 9.000 empleados, afectando especialmente a Xbox
-
NoticiasHace 7 días
Cloudflare bloqueará por defecto los bots de extracción de contenido para IA
-
NoticiasHace 6 días
Más del 60% de trabajadores españoles valoran positivamente los agentes basados en IA