Puede que el futuro de la guerra apenas haya comenzado, pero en lugar de ser anunciado por una explosión, comenzó sin un sonido ni una sola víctima.
Es el primero de su tipo y podría ser una señal de cómo se librarán todas las guerras de ahora en adelante. Es un arma cibernética tan precisa que puede destruir un objetivo con mayor eficacia que un explosivo convencional y luego simplemente autodestruirse, dejando que las víctimas se culpen a sí mismas. Es un arma tan terrible que posiblemente podría hacer algo más que dañar objetos físicos: podría matar ideas. Se trata del gusano Stuxnet, apodado por muchos como la primera arma real de guerra cibernética del mundo, y su primer objetivo fue Irán.
Vídeos recomendados
Los albores de la ciberguerra
Stuxnet es casi como sacado de una novela de Tom Clancy. En lugar de enviar misiles para destruir una planta nuclear que amenaza a toda la región y al mundo, y que está supervisada por un presidente que ha afirmado que le gustaría ver a toda una raza de personas “borrada del mapa”, se puede introducir un simple virus informático que hará el trabajo mucho mejor. efectivamente. Atacar una estructura con misiles puede provocar la guerra y, además, los edificios pueden reconstruirse. Pero infectar un sistema tan completamente que las personas que lo utilizan comiencen a dudar de su fe en sus propias capacidades tendrá efectos a largo plazo mucho más devastadores.
En un raro momento de apertura por parte de Irán, la nación ha confirmado que el malware Stuxnet (el nombre proviene de palabras clave ocultas en el código) que se descubrió originalmente en julio ha dañado las ambiciones nucleares del país. Aunque Irán está restando importancia al incidente, algunos informes sugieren que el gusano fue tan efectivo que pudo haber retrasado varios años el programa nuclear iraní.
En lugar de simplemente infectar un sistema y destruir todo lo que toca, Stuxnet es mucho más sofisticado que eso y también mucho más efectivo.
El gusano es inteligente y adaptable. Cuando ingresa a un nuevo sistema, permanece inactivo y aprende el sistema de seguridad de la computadora. Una vez que puede operar sin dar la alarma, busca objetivos muy específicos y comienza a atacar ciertos sistemas. En lugar de simplemente destruir sus objetivos, hace algo mucho más eficaz: los engaña.
En un programa de enriquecimiento nuclear, una centrífuga es una herramienta fundamental necesaria para refinar el uranio. Cada centrífuga construida sigue la misma mecánica básica, pero el fabricante alemán Siemens ofrece la que muchos consideran la mejor de la industria. Stuxnet buscó los controladores Siemens y tomó el control de la forma en que gira la centrífuga. Pero en lugar de simplemente obligar a las máquinas a girar hasta destruirse a sí mismas (cosa que el gusano era más que capaz de hacer), Stuxnet realizó cambios sutiles y mucho más tortuosos en las máquinas.
Cuando se insertaba una muestra de uranio en una centrífuga infectada con Stuxnet para su refinamiento, el virus ordenaba a la máquina que girara más rápido de lo que fue diseñada y luego se detenía repentinamente. Los resultados fueron miles de máquinas que se desgastaron años antes de lo previsto y, lo que es más importante, muestras arruinadas. Pero el verdadero truco del virus era que mientras saboteaba la maquinaria, falsificaba las lecturas y hacía parecer que todo funcionaba dentro de los parámetros esperados.
Después de meses de esto, las centrífugas comenzaron a desgastarse y romperse, pero como las lecturas aún parecía estar dentro de las normas, los científicos asociados con el proyecto comenzaron a dudar ellos mismos. Los agentes de seguridad iraníes comenzaron a investigar los fallos y el personal de las instalaciones nucleares vivía bajo una nube de miedo y sospecha. Esto continuó durante más de un año. Si el virus hubiera logrado evitar por completo la detección, eventualmente se habría eliminado por completo y habría dejado a los iraníes preguntándose qué estaban haciendo mal.
Durante 17 meses, el virus logró abrirse camino silenciosamente en los sistemas iraníes, destruyendo lentamente muestras vitales y dañando el equipo necesario. Quizás más que el daño a la maquinaria y las muestras fue el caos en el que se vio sumido el programa.
Los iraníes admiten a regañadientes parte del daño
El presidente iraní Mahmoud Ahmadinejad ha reclamado que Stuxnet “logró crear problemas para un número limitado de nuestras centrífugas”, lo que supone un cambio con respecto a La afirmación anterior de Irán de que el gusano había infectado 30.000 computadoras, pero no había afectado la planta nuclear. instalaciones. Algunos informes sugerir En las instalaciones de Natanz, que albergan los programas de enriquecimiento iraníes, 5.084 de las 8.856 centrifugadoras utilizadas en la central nuclear iraní. Las instalaciones fueron desconectadas, posiblemente debido a daños, y la planta se vio obligada a cerrar al menos dos veces debido a los efectos del virus.
Stuxnet también apuntó a la turbina de vapor de fabricación rusa que impulsa las instalaciones de Bushehr, pero parece que el virus fue descubierto antes de que se pudiera causar un daño real. Si el virus no se hubiera descubierto, eventualmente habría elevado demasiado las RPM de las turbinas y habría causado daños irreparables a toda la central eléctrica. Los sistemas de temperatura y refrigeración también han sido identificados como objetivos, pero los resultados del gusano en estos sistemas no están claros.
El descubrimiento del gusano
En junio de este año, VirusBlokAda, especialista en antivirus con sede en Bielorrusia, encontró un programa malicioso previamente desconocido en el ordenador de un cliente iraní. Después de investigarlo, la compañía antivirus descubrió que estaba diseñado específicamente para apuntar a Siemens SCADA. (control de supervisión y adquisición de datos), que son dispositivos utilizados en gran escala fabricación. La primera pista de que algo era diferente en este gusano fue que una vez que se había dado la alerta, cada La empresa que intentó transmitir la alerta fue posteriormente atacada y obligada a cerrar durante al menos 24 días. horas. Los métodos y motivos de los ataques siguen siendo un misterio.
Una vez descubierto el virus, empresas como Symantec y Kaspersky, dos de las empresas antivirus más grandes del mundo, así como Varias agencias de inteligencia, comenzaron a investigar Stuxnet y encontraron resultados que rápidamente hicieron evidente que no se trataba de un malware común y corriente.
A finales de septiembre, Symantec descubrió que casi el 60 por ciento de todas las máquinas infectadas en el mundo estaban ubicadas en Irán. Una vez descubierto esto, se hizo cada vez más evidente que el virus no fue diseñado simplemente para causar problemas, como lo son muchos programas maliciosos, pero tenía un propósito muy específico y un objetivo. El nivel de sofisticación también estaba muy por encima de todo lo visto antes, lo que llevó a Ralph Langner, el experto en seguridad informática que descubrió por primera vez el virus, a declarar que fue “como la llegada de un F-35 a un campo de batalla de la Primera Guerra Mundial”.
como funciono
Stuxnet apunta específicamente a los sistemas operativos Windows 7, que es, no por coincidencia, el mismo sistema operativo utilizado en la planta de energía nuclear iraní. El gusano utiliza cuatro ataques de día cero y apunta específicamente al software SCADA WinCC/PCS 7 de Siemens. Una amenaza de día cero es una vulnerabilidad desconocida o no anunciada por el fabricante. Por lo general, se trata de vulnerabilidades críticas para el sistema y, una vez que se descubren, se reparan de inmediato. En este caso, los dos elementos de día cero habían sido descubiertos y estaban a punto de publicar una solución, pero nadie había descubierto los otros dos. Una vez que el gusano estuvo en el sistema, comenzó a explotar otros sistemas en la red local a la que apuntaba.
A medida que Stuxnet se abría camino a través de los sistemas iraníes, la seguridad del sistema lo desafió a presentar un certificado legítimo. Luego, el malware presentó dos certificados auténticos, uno del fabricante de circuitos JMicron y el otro del fabricante de hardware Realtek. Ambas empresas están ubicadas en Taiwán, a pocas cuadras de distancia una de la otra, y se confirmó que ambos certificados fueron robados. Estos certificados auténticos son una de las razones por las que el gusano pudo permanecer sin ser detectado durante tanto tiempo.
El malware también tenía la capacidad de comunicarse mediante el intercambio de igual a igual cuando había una conexión a Internet, lo que le permitía actualizarse según fuera necesario e informar su progreso. Los servidores con los que se comunicaba Stuxnet estaban ubicados en Dinamarca y Malasia, y ambos se cerraron una vez que se confirmó que el gusano había ingresado a las instalaciones de Natanz.
A medida que Stuxnet comenzó a extenderse por los sistemas iraníes, comenzó a apuntar únicamente a los “convertidores de frecuencia” responsables de las centrifugadoras. Utilizando unidades de frecuencia variable como marcadores, el gusano buscó específicamente unidades de dos proveedores: Vacon, con sede en Finlandia, y Fararo Paya, con sede en Irán. Luego monitorea las frecuencias especificadas y solo ataca si un sistema está funcionando entre 807 Hz y 1210 Hz, algo bastante raro. frecuencia que explica cómo el gusano podría atacar tan específicamente las plantas nucleares iraníes a pesar de extenderse por todo el mundo. A continuación, Stuxnet se dedica a modificar la frecuencia de salida, lo que afecta a los motores conectados. Aunque al menos otros 15 sistemas de Siemens han informado de infección, ninguno ha sufrido daños por el gusano.
Para llegar primero a la instalación nuclear, era necesario introducir el gusano en el sistema, posiblemente en una unidad USB. Irán utiliza un sistema de seguridad de “brecha de aire”, lo que significa que la instalación no tiene conexión a Internet. Esto podría explicar por qué el gusano se propagó tan lejos, ya que la única forma de infectar el sistema era apuntar a un área amplia y actuar como un Trojan mientras espera que un empleado nuclear iraní reciba un archivo infectado fuera de la instalación y lo lleve físicamente al planta. Debido a esto, será casi imposible saber exactamente dónde y cuándo comenzó la infección, ya que puede haber sido traída por varios empleados desprevenidos.
¿Pero de dónde vino y quién lo desarrolló?
Las sospechas sobre el origen del gusano son rampantes y el sospechoso más probable es Israel. Después de investigar exhaustivamente el virus, Kaspersky Labs Anunciado que el nivel de ataque y la sofisticación con la que se ejecutó sólo podrían haberse llevado a cabo “con el apoyo de un Estado-nación”, lo que descarta a los piratas informáticos privados. grupos, o incluso grupos más grandes que han estado utilizando la piratería como medio para lograr un fin, como la mafia rusa, que se sospecha que creó un gusano troyano responsable de robando $1 millón de un banco británico.
Israel admite plenamente que considera la guerra cibernética un pilar de su doctrina de defensa, y el grupo conocido como Unidad 8200, un La fuerza de defensa israelí, considerada el equivalente aproximado de la NSA de Estados Unidos, sería el grupo más probable. responsable.
La Unidad 8200 es la división más grande de las Fuerzas de Defensa de Israel y, sin embargo, la mayoría de sus operaciones son desconocidas; incluso la identidad del General de Brigada a cargo de la unidad es clasificada. Entre sus muchas hazañas, una informe afirma que durante un ataque aéreo israelí contra una supuesta instalación nuclear siria en 2007, la Unidad 8200 activó un ciberinterruptor secreto que desactivó grandes secciones del radar sirio.
Para dar más credibilidad a esta teoría, en 2009 Israel retrasó la fecha en la que espera que Irán tenga armamento nuclear rudimentario hasta 2014. Esto puede haber sido el resultado de haber oído hablar de problemas, o podría sugerir que Israel sabía algo que nadie más sabía.
Estados Unidos también es el principal sospechoso y, en mayo de este año, Irán afirmó haber detenido 30 personas que, según afirma, participaron en ayudar a Estados Unidos a librar una “guerra cibernética” contra Irán. Irán también ha afirmado que la administración Bush financió un plan de 400 millones de dólares para desestabilizar a Irán mediante el uso de ataques cibernéticos. Irán ha afirmado que la administración Obama ha continuado con el mismo plan e incluso ha acelerado algunos de los proyectos. Los críticos han afirmado que las afirmaciones de Irán son simplemente una excusa para acabar con los “indeseables”, y los arrestos son uno de los muchos puntos de discordia entre Irán y Estados Unidos.
Pero a medida que se sigue estudiando el virus y surgen más respuestas sobre su función, se plantean más misterios sobre sus orígenes.
Según Microsoft, el virus habría requerido al menos 10.000 horas de codificación y un equipo de cinco personas o más, al menos seis meses de trabajo dedicado. Muchos ahora especulan que se requerirían los esfuerzos combinados de las comunidades de inteligencia de varias naciones trabajando juntas para crear el gusano. Si bien los israelíes podrían tener la determinación y los técnicos, algunos afirman que se necesitaría el nivel de tecnología de Estados Unidos para codificar el malware. Conocer la naturaleza exacta de la maquinaria de Siemens en la medida en que lo hizo Stuxnet podría sugerir que los alemanes participación, y los rusos pueden haber estado involucrados en detallar las especificaciones de la maquinaria rusa usado. El gusano fue diseñado para operar en frecuencias que involucraban componentes finlandeses, lo que sugiere que Finlandia, y tal vez la OTAN, también estén involucradas. Pero todavía hay más misterios.
El gusano no fue detectado por sus acciones en las instalaciones nucleares iraníes, sino más bien como resultado de la infección generalizada de Stuxnet. El núcleo de procesamiento central de la planta de procesamiento nuclear iraní está ubicado a gran profundidad bajo tierra y está totalmente aislado de Internet. Para que el gusano pueda infectar el sistema, es necesario que un miembro del personal lo haya introducido en el ordenador o en la memoria USB. Todo lo que se necesita es que un solo empleado se lleve el trabajo a casa, luego regrese e inserte algo como inocuo como una unidad flash en la computadora, y Stuxnet comenzaría su marcha silenciosa hacia la maquinaria específica quería.
Pero la pregunta entonces es: ¿Por qué las personas responsables del virus desarrollaron un arma cibernética tan increíblemente sofisticada y luego la liberaron con lo que podría decirse que es un método tan descuidado? Si el objetivo era pasar desapercibido, la liberación de un virus que tiene la capacidad de replicarse a la velocidad que ha demostrado es una chapuza. Se trataba de cuándo se descubriría el virus, no de si lo haría.
La razón más probable es que a los desarrolladores simplemente no les importó. Colocar el malware con más cuidado habría llevado mucho más tiempo, y la transmisión del gusano a sistemas específicos podría llevar mucho más tiempo. Si un país busca resultados inmediatos para detener lo que podría considerar un ataque inminente, entonces la velocidad podría prevalecer sobre la precaución. La planta nuclear iraní es el único sistema infectado que informa de algún daño real causado por Stuxnet, por lo que el riesgo para otros sistemas parece ser mínimo.
Entonces, ¿qué sigue?
Siemens ha lanzado una herramienta de detección y eliminación de Stuxnet, pero Irán todavía luchando para eliminar el malware por completo. Tan recientemente como el 23 de noviembre, las instalaciones iraníes de Natanz fueron forzado cerrará y se esperan nuevos retrasos. Con el tiempo, el programa nuclear debería volver a funcionar.
En una historia separada, pero posiblemente relacionada, a principios de esta semana dos científicos iraníes fueron asesinados en ataques con bombas separados pero idénticos en Teherán, Irán. En una conferencia de prensa al día siguiente, el Presidente Ahmadinejad dijo reporteros que “Sin lugar a dudas, la mano del régimen sionista y de los gobiernos occidentales está involucrada en el asesinato”.
Hoy temprano, funcionarios iraníes reclamado Se han realizado varios arrestos durante los atentados, y aunque las identidades de los sospechosos no han sido reveladas, el Ministro de Inteligencia de Irán ha dicho: "El Tres agencias de espionaje del Mossad, la CIA y el MI6 tuvieron un papel en los (ataques) y, con el arresto de estas personas, encontraremos nuevas pistas para arrestar a otros. elementos,"
La combinación de los bombardeos y los daños causados por el virus Stuxnet debería pesar mucho en las próximas conversaciones. entre Irán y una confederación de seis naciones (China, Rusia, Francia, Gran Bretaña, Alemania y Estados Unidos) el 6 de diciembre y 7. Las conversaciones están destinadas a continuar el diálogo sobre las posibles ambiciones nucleares de Irán.
