Stuxnet

Introducción

Stuxnet ha sido considerado como el primer virus que era utilizado como arma digital. Fue descubierto en 2010, cuando el Organismo Internacional de la Energía Atómica visitó la planta de enriquecimiento de uranio de Natanz, en Irán. En un primer momento, los inspectores detectaron fallos en las centrifugadoras utilizadas para el enriquecimiento de uranio gaseoso. En junio de ese mismo año la firma Bielorrusia de seguridad VirusBlokAda detectó el gusano en uno de los equipos de la planta. Symantec nombró al malware como “Stuxnet” debido a dos archivos que se encontraban dentro de este: .stub y mrxnet.sys.

El ataque

Para conseguir el acceso inicial e infectar la red de la instalación, un agente se infiltró en la planta nuclear de Natanz y conectó uno o varios dispositivos USB infectados. Esta era la única forma de infectar la instalación ya que estaba aislada de internet para protegerla de ataques externos, algo muy común en este sector y que se conoce como sistema “air-gapped”. Al insertarse el USB en una de las máquinas de la planta, Stuxnet se propagó por la red interna. 

Este malware era extremadamente sofisticado y contenía código para explotar cuatro vulnerabilidades de día cero (zero-days) en Microsoft Windows que no habían sido identificadas previamente. Stuxnet era un gusano de gran tamaño, escrito en varios lenguajes de programación y con componentes encriptados. De las cuatro vulnerabilidades de día cero que usaba para infectar equipos con Windows, explotó una vulnerabilidad relacionada con unidades USB, conexiones con impresoras compartidas y dos vulnerabilidades de escalada de privilegios que le permitían ejecutar software incluso en sistemas restringidos.

Stuxnet apuntaba contra sistemas SCADA (Supervisory Control And Data Acquisition), se podía propagar de forma autónoma por las redes en busca de sistemas de control industrial de Siemens que manejaban las centrifugadoras. Cuando encontraba una máquina con el perfil adecuado, inyectaba su carga útil (payload) en el software de control. Más tarde, verificaba si el sistema gestionaba un convertidor de frecuencia de alta velocidad y, si los controladores PLC eran los adecuados, alteraba la frecuencia de funcionamiento del motor conectado. El malware coordinaba también la apertura y cierre de válvulas, dañando aproximadamente el 20% de las centrifugadoras de Natanz. De acuerdo con los hechos, se infirió que Stuxnet estaba diseñado para interrumpir la actividad de enriquecimiento nuclear iraní. Debido a la alta sofisticación de este ataque se evaluó con una alta probabilidad de confianza que el ataque había sido llevado a cabo por un grupo patrocinado por un Estado (APT). 

Estados Unidos no tardó en aparecer como principal sospechoso del ataque. El contexto geopolítico se remonta años antes, hasta agosto de 2006. El presidente iraní, Ahmadineyad, anunció por aquel entonces que Irán había logrado el nivel de enriquecimiento de uranio necesario para sostener su programa nuclear. Previamente, Irán había firmado un acuerdo comprometiéndose a no desarrollar tecnología nuclear con fines militares, lo que hizo que la continuación del programa generara descontento en varios países, entre ellos Estados Unidos, Rusia y otros países vecinos – como Israel.

Las tensiones internacionales fueron creciendo durante años. Diversos factores previos a 2010 pueden explicar el porqué del ataque al programa nuclear de Irán: 

• Irán no estaba proporcionando información completa sobre su programa nuclear a la Agencia Internacional de Energía Atómica (AIEA), lo que hizo aumentar las sospechas. 
• Irán aumentó significativamente el número de centrifugadoras en Natanz, lo que permitió un enriquecimiento de uranio más rápido y en mayores cantidades. Esto podía entenderse como un esfuerzo inocente enfocado a producir energía o como un intento de elevar el nivel de enriquecimiento del uranio y poder producir armas. 
• Se impusieron sanciones a Irán por parte de la ONU. Ahmadineyad defendió a ultranza la independencia energética de Irán y su derecho soberano a enriquecer uranio. 
• Israel seguía fortaleciéndose militarmente. Esta situación hizo que los países vecinos, en este caso Irán, quisieran disuadir a Israel de cualquier intento de ataque en el futuro. 

La interrupción de las centrifugadoras y del enriquecimiento de uranio ralentizó considerablemente los supuestos planes de Irán de crear un arma nuclear. En aquella época Estados Unidos no fue el único en lanzar advertencias a Irán. En 2009, el primer ministro israelí, Benjamín Netanyahu, hizo una declaración pública dirigida al entonces presidente estadounidense Barack Obama indicando que “tenían meses y no años para responder ante esa amenaza”. 

Teniendo esto en cuenta, cuando Irán identificó el malware Stuxnet como la causa de los fallos en sus centrifugadoras, consideró a Estados Unidos e Israel como los principales sospechosos. Reza Jalali, jefe de una unidad militar encargada de contrarrestar el sabotaje, atribuyó públicamente el ataque de Stuxnet a ambos países.