Stuxnet, el misil más letal de la ciberguerra

Quienes han instalado la actualización MS10-061 de Windows, calificada como crítica para Windows XP, y algo menos importante para Windows Vista y Windows 7, no se han dado ni cuenta de que estaban siendo víctimas colaterales de los nuevos métodos de ciberguerra. Es decir, estaban tapando una de las vulnerabilidades del sistema operativo aprovechadas por el nuevo gusano Stuxnet.

 

“El virus fue descubierto por la compañía antivirus bielorrusa VirusBlokAda a mediados de julio de 2010. De todas formas, parece que se estuvo extendiendo durante tres o cuatro meses antes de que se descubriera”, explica David Emm, consultor experto en tecnología de Kaspersky Lab, una de las compañías que más tiempo ha dedicado al estudio de este nuevo código malicioso.

Pero, ¿qué tiene este virus para haber sido calificado como "el primer misil de la guerra cibernética del siglo XXI"? En primer lugar, se diferencia de los demás códigos maliciosos existentes en su intencionalidad. Mientras la mayoría del malware que infectan los ordenadores tiene un propósito económico, “Stuxnet se ha diseñado para sabotear sistemas específicos”, afirma tajante Emm.

Esto no hubiera tenido demasiada importancia si esos sistemas específicos no fueran los sistemas de control Simatic WinCC SCADA. Se utilizan para controlar y monitorizar diversos tipos de instalaciones industriales, como plantas de energía, refinerías de petróleo, oleoductos, salas de control de constelaciones de satélites, centrales de comunicaciones, aeropuertos, instalaciones portuarias, e incluso muchos sistemas militares y de seguridad.

Los investigadores de seguridad estiman que más de 45.000 ordenadores en todo el mundo han sido infectados por Stuxnet, pero según la firma Symantec, más del 60% de ellos están en Irán. Casi todos los analistas coinciden en que esto demuestra que el objetivo podría haber sido una instalación de alta seguridad como el reactor nuclear de Bushehr o la planta de enriquecimiento de uranio de Natanz.

Ataque a las instalaciones iraníes

Los propios iraníes afirman que han sido atacados por una nueva forma de guerra electrónica, y que más de 30.000 ordenadores de su país han sido infectados, incluyendo algunos del departamento de administración de la central nuclear de Bushehr. Portavoces del ejército iraní han afirmado que la misión de este nuevo gusano podría ser enviar información acerca de la capacidad de producción de uranio. De todas formas, esos portavoces reconocen que la infección está ya controlada, y que en un par de meses podrían haber erradicado el código malicioso.

Los expertos occidentales, tras estudiar el código, no están de acuerdo en que sólo sea una herramienta de espionaje. Están convencidos de que el objetivo de Stuxnet era el sabotaje. Al fin y al cabo, se infiltra en instalaciones de alto riesgo, donde el simple malfuncionamiento de una válvula que se abre a destiempo puede provocar una catástrofe sin precedentes.

Más que un ataque terrorista, los investigadores consideran que es una nueva arma de guerra sucia, una especie de misil cibernético dirigido con puntería al corazón de ciertos sistemas de importancia estratégica. Y diversas pruebas lo corroboran. La primera es la enorme complejidad del código empleado. No se trata del típico virus que un adolescente puede ensamblar con un kit en apenas 15 minutos. “Stuxnet es un gusano que explota nada menos que cuatro vulnerabilidades de los sistemas de Microsoft”, aclara David Emm. Además, se esconde fraudulentamente bajo dos certificados auténticos, uno de Realtek y otro JMicron.

Así, el virus ha podido permanecer en la sombra durante muchos meses. Para crear un programa semejante hace falta una ingente inversión económica, y la creación de un equipo formado con los mejores programadores de virus informáticos del mercado y con expertos en el sistema de control SCADA de Siemens. Algo que se supone que sólo está al alcance de los gobiernos. Las sospechas de los iraníes apuntan al gobierno estadounidense, que está llevando a cabo una intensa ofensiva contra sus instalaciones nucleares, pero también sugieren la implicación de determinados gobiernos como el israelí o el indio, ambos con capacidad suficiente como para montar una ofensiva semejante.

Las firmas de seguridad más importantes del planeta siguen estudiando este gusano, analizando con detalle cada línea de código. Al parecer, ha sido diseñado para infiltrarse en los ordenadores a través de un dispositivo USB infectado. Sólo así es posible penetrar en los sistemas SCADA que, por regla general, no están conectados a Internet. Si esa vía de contagio fuera la única, sería fácil erradicar, pero tiene una prodigiosa capacidad de mutación, y además puede extender la infección entre sistemas, aprovechando las capacidades de impresión en red de los ordenadores. Con respecto a cómo llegó a las instalaciones nucleares iraníes, todo son especulaciones, pero el origen podría haber sido un ordenador portátil infectado propiedad de uno de los expertos rusos contratados por Irán para el mantenimiento de sus instalaciones críticas.

Microsoft ha cubierto las vulnerabilidades, y Siemens, la compañía desarrolladora de los sistemas de control SCADA, ha creado una vacuna. Sin embargo, Eugene Kaspersky, fundador y presidente de Kaspersky Lab asegura lo siguiente: “Creo que representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales (...) Con Stuxnet se ha abierto la Caja de Pandora”.