Antes de alcanzar la celebridad por sus filtraciones, el analista Edward Snowden fue entrevistado por Jacob Applebaum, un reconocido investigador de seguridad informática. Applebaum ayudaba a la documentalista Laura Poitras, quien había conseguido una entrevista con “una fuente anónima de la NSA”. Fue hasta después del escándalo del caso PRISM, que Applebaum supo que Snowden era su fuente.
El resultado de las conversaciones entre Applebaum y Snowden fue publicado por el diario alemán Der Spiegel. Entre las preguntas, llama la atención un par relacionado con el trabajo de la NSA con Israel. Sin reservas, el entrevistador cuestionó si el organismo de seguridad de Estados Unidos estaba involucrado en la creación de Stuxnet, un gusano informático que atacó una planta nuclear en Irán en 2010. “La NSA e Israel lo coescribieron”, fue la concisa respuesta de Snowden.
¿Qué es Stuxnet?
En septiembre de 2010, la planta nuclear de Bushehr, en Irán, fue atacada por Stuxnet, un programa cuyo objetivo era sabotear las centrifugadoras de enriquecimiento de uranio. El gobierno iraní había construido la planta con la colaboración del gobierno ruso y el sabotaje se efectuó apenas un mes después de que la instalación comenzó a funcionar.
A la fecha, Stuxnet es considerado la pieza de malware más sofisticada. Se trata del primer virus informático utilizado para espiar y reprogramar sistemas industriales. Es un programa de altísima sofisticación: sólo ataca objetivos con un tipo de tarjeta de red determinado, que se conecta a un modelo particular de controlador lógico programable (PLC) y funciona sólo en dispositivos Siemens S7-300 y S7-400.
Stuxnet intercepta y altera las órdenes del sistema que controlan la velocidad de las centrifugadoras de la planta nuclear
Liam O'Murchú, investigador de Symantec Security Response, encontró que Stuxnet tiene código específico para intervenir las órdenes enviadas desde un sistema Siemens SimaticWinCC SCADA a un variador de frecuencia ( un mecanismo que controla la velocidad rotacional de un motor de corriente alterna).
Stuxnet intercepta los comandos del sistema SCADA y los cambia por órdenes que alteran las velocidades del motor para que varíe de forma descontrolada en diferentes momentos. Para explicar qué hace Stuxnet, O'Murchú infectó un sistema conectado a una bomba de aire con un globo. El investigador programó la bomba para funcionar por 3 segundos, pero Stuxnet lo prolongó hasta 140.
Un ataque de precisión quirúrgica
Stuxnet sólo ataca a las centrifugadoras si corren por encima de los 870 Hz, velocidad requerida para el enriquecimiento de uranio
Un detalle más es que Stuxnet sólo funciona en condiciones específicas. En primer lugar, el gusano no actúa contra cualquier variador de frecuencia; primero revisa la red de la instalación infectada y se activa si existen al menos 33 variadores manufacturados por la empresa finlandesa Vacon o la iraní Fararo Paya. Además, únicamente ataca dispositivos de estas compañías si están corriendo a altas velocidades (entre 870 Hz y 1210 Hz), un rango que se utiliza en procedimientos como el enriquecimiento de uranio.
La consecuencia es que, al afectar la velocidad de los variadores de frecuencia, se sabotea el proceso de enriquecimiento. Para que se extraiga el material puro, las centrifugadoras de la planta deben girar a una velocidad determinada durante lapsos prolongados. La alteración de estos periodos a intervalos irregulares (como hace Stuxnet), da como consecuencia un uranio de mala calidad.
Es claro que Stuxnet tiene como blanco el programa nuclear iraní, especialmente las plantas de Natanz y Bushehr. Debido a su naturaleza, el programa fue bautizado como la primera arma de ciberguerra en la historia. Eugene Kaspersky, experto en seguridad informática y cofundador de KasperskyLabs, indicó que Stuxnet sólo pudo ser creado con el apoyo y soporte de una nación. “Me temo que es el momento del ciberterrorismo, las ciberarmas y la ciberguerra”, señaló el analista.
Israel y Estados Unidos, los sospechosos
El código de Stuxnet incluye la cifra 19790509 como marcador, la cual coincide con la fecha de ejecución de un líder judío en Irán
Desde que ocurrió el atentado contra la planta nuclear, Israel fue señalado como uno de los posibles responsables. Durante el análisis del gusano, la firma Symantec encontró una referencia a la fecha 9 de mayo de 1979, la cual coincide con la ejecución de Habib Elghanian, un prominente líder de la comunidad judía en Irán. El código de Stuxnet utiliza la cifra 19790509 como marcador para identificar a las computadoras que no deben ser afectadas.
En febrero de 2011, el diario inglés TheTelegraph señaló que Israel considera el ataque de Stuxnet uno de los logros de las Fuerzas de defensa de Israel (IDF, por sus siglas en inglés). Un video proyectado durante la ceremonia de retiro del general Gabi Ashkenazi mostraba el atentado a la planta nuclear de Bushehr como uno de los logros militares nacionales, aunque no existe un pronunciamiento oficial para adjudicárselo.
La sospecha principal es que se trata de una operación encubierta de Estados Unidos e Israel para frenar el incipiente programa nuclear de Irán. Un reporte sostiene que la infección se dio a través de una memoria USB, plantada por un doble agente iraní bajo órdenes de Israel.
Un nuevo tipo de guerra
David E. Sanger, del New York Times, acusó a Barack Obama de ordenar los ataques de Stuxnet contra Irán
En junio de 2012, el periodista David E. Sanger de The New York Times, señaló que el presidente Barack Obama fue quien ordenó los ataques contra Natanz y Bushehr. El articulista también indica que Stuxnet se hizo público por un error de programación que permitió su proliferación a través de Internet, de modo que los expertos en seguridad informática tuvieron oportunidad de estudiarlo.
Según Sanger, el ataque logró neutralizar 1000 de las 5000 centrifugadoras de Irán para el enriquecimiento de uranio. Al interior del gobierno, se estima que el ataque pudo retrasar el programa iraní entre 18 y 24 meses, lo que impactaría directamente en su capacidad para el desarrollo de armamento nuclear.
Todo ello implica que el ataque de Stuxnet sea el primer uso, por parte de una nación, de un programa malicioso como arma informática contra la infraestructura de otra nación. Y resulta significativo porque, hasta la fecha, inhabilitar una instalación de este tipo sólo habría sido posible mediante alguna acción física, por ejemplo un bombardeo. Si bien se han utilizado programas para la sustracción de información sensible, esta fue la primera ocasión en que se saboteó un sistema de esta naturaleza.
La historia de Stuxnet se remonta a la administración de George W. Bush, quien buscaba una forma de detener el programa nuclear de Irán sin recurrir a una intervención, y así evitar el riesgo de desatar otro enfrentamiento bélico en la región. La solución fue concebir un programa que saboteara las centrifugadoras de la planta de Natanz (y posteriormente la de Bushehr). El primer paso sería infectar las computadoras para obtener todos los datos del sistema y después procesar la información en la NSA.
Finalmente, la unidad 8200 de Israel y la NSA colaboraron en la escritura del gusano, al que probaron en un laboratorio ubicado en Tennessee. Los resultados fueron tan alentadores, que Stuxnet fue declarado listo como arma. Por primera vez, existía la posibilidad de ocasionar daño físico a una instalación mediante el uso de un programa. Días antes de cambiar de administración, en una reunión privada, Bush solicitó a Obama continuar con el programa. El nuevo presidente aceptó.
Más allá de Stuxnet
En 2011 fue hallado Duqu, un software malicioso similar a Stuxnet, dentro de 10 instalaciones industriales en Europa
Desde la irrupción pública de Stuxnet en 2010, han aparecido más y más cuestionamientos sobre el futuro de estos ataques. KasperskyLabs encontró que existen al menos otros 4 programas similares a Stuxnet. Duqu, es uno de ellos y fue localizado a finales de 2011 en 10 instalaciones industriales en Europa. Su propósito no es destructivo, sólo se emplea para recabar información, aunque aún existen muchas dudas sobre su funcionamiento.
Flame es otro programa malicioso descubierto en 2012, del que también se presume fue escrito por la NSA e Israel. También se considera uno de los malwares más sofisticados jamás concebidos y tiene parentesco con Stuxnet. Su objetivo es la recopilación de datos y es capaz de grabar audio, tomar capturas de pantalla, conocer la actividad del teclado y los sitios consultados en Internet.
Flame opera principalmente en Medio Oriente, en países como Irán, Arabia Saudita, Líbano, Egipto y Siria. Una de las características de Flame es que posee un comando que lo borra de forma remota, así que tras conocerse públicamente, las infecciones iniciales fueron eliminadas. Este programa también ha sido señalado como parte de una operación conjunta de espionaje de Estados Unidos e Israel.
La respuesta de Snowden a Applebaum es la enésima confirmación de que las naciones están enfrascándose en un nuevo tipo de confrontación. Para Richard Clarke, exfuncionario de seguridad de EE. UU., la ciberguerra se ocurre cuando “grupos hostiles alrededor de mundo comandados por Estados o grupos de poder atacan por razones políticas la infraestructura informática de sus enemigos.” ¿No se parece esta frase ―y mucho― a lo que hemos estado viviendo en los últimos años?
Deja tu comentario