La increíble historia del virus Stuxnet

Me fascinan las historias de espías, aunque con frecuencia son tan inverosímiles que parecen pura fantasía. Esto se acentúa aún más cuando abordan el ciberespionaje o el hackeo, donde lo que vemos suele estar diseñado más para impresionar al público que para reflejar la realidad: son tan creíbles como un sordo afinando una guitarra. Sin embargo, hay ocasiones en que la realidad no solo iguala, sino que supera a la ficción.

Stuxnet fue un virus informático que se descubrió en 2010 por la firma de ciberseguridad bielorrusa VirusBlokAda, pero que se sospecha que estuvo activo desde al menos 2005. Su objetivo fue sabotear las centrifugadoras Zippe de Irán para el enriquecimiento de uranio. Aunque existen fuertes indicios de que se trató de un ataque clandestino conjunto de Estados Unidos e Israel, ninguno de estos países ha admitido responsabilidades, y las evidencias sólidas parecen provenir siempre de entidades enemigas. (Un caso de «no tengo pruebas pero tampoco dudas»)

El virus parece atacar específicamente sistemas SCADA (sistemas de supervisión, control y adquisición de datos) diseñados por Siemens, concretamente el modelo PSC7 con sistemas de control WinCC. Se trata de unos sistemas empotrados basados en Windows que controlaban las centrifugadoras usadas en las instalaciones de Natanz, que estaban fuertemente armadas y plagadas de armamento antiaéreo.

Lógicamente, unas instalaciones secretas estratégicas para Irán no venían en la guía telefónica ni tenían un centro de visitantes. De hecho, estaban fuertemente custodiadas a una profundidad de 40 metros bajo tierra, protegidas por más de 7 metros de hormigón¹Referencia: https://apnews.com/article/iran-nuclear-natanz-uranium-enrichment-underground-project-04dae673fc937af04e62b65dd78db2e0. Naturalmente, como en toda instalación crítica, existe una política llamada air-gap (hueco de aire), es decir, una desconexión total de cualquier red de información del exterior. ¿Cómo se ataca una instalación así?

El ataque

La información que se tiene de una potencia enemiga suele venir principalmente de fotos de satélite, de modo que, al tratarse de unas instalaciones subterráneas secretas, poco se puede conocer de los detalles de sus sistemas informáticos. Irán está bajo un embargo estadounidense de armamento y tecnología desde la revolución islámica en 1979, de modo que la única forma de adquirir estos sistemas es el contrabando. Identificados por inteligencia los sistemas objetivos, Stuxnet fue programado para este fin.

¿Pero cómo introducir un virus en un sistema físicamente desconectado? Al parecer la idea más plausible fue alguien conectase un pendrive USB. Pero uno no simplemente entra caminando en Natanz. Según Mark Clayton²Fuente: https://web.archive.org/web/20240717201731/https://www.csmonitor.com/USA/2010/0924/Stuxnet-worm-mystery-What-s-the-cyber-weapon-after, el vector con más posibilidades fue la entrada y salida de contratistas rusos. También indica que pudo ser Rusia quien introdujo los sistemas de control de Siemens. Kim Zetter y Huib Modderkolk de Yahoo! News³Fuente: https://web.archive.org/web/20250506080046/https://www.yahoo.com/news/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html informaron en 2019 que el agente pudo ser un topo holandés a instancias más que probables de la inteligencia americana e israelí. Daan Goodin de Ars Technica⁴Fuente: https://web.archive.org/web/https://arstechnica.com/information-technology/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick/⁵Fuente: https://web.archive.org/web/20241203131857/http://www.isssource.com/stuxnet-loaded-by-iran-double-agents/en 2012 declaró que el autor habría sido un agente doble iraní.

¿Quién o quiénes?

La práctica totalidad de informes apuntan a que los autores de los ataques fueron las fuerzas de inteligencias norteamericanas e israelíes. David E. Sanger del New York Times⁶Fuente: https://web.archive.org/web/20220325214631/https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html escribió en 2012 un artículo que revelaba que el presidente Obama ordenó acelerar la iniciativa de ciber-armas iniciada por la administración de George Bush, a instancias del General James Cartwright, llamada furtivamente «Operación Juegos Olímpicos.»

En 2013 se publicó en Wbur de Boston⁷Fuente: https://web.archive.org/web/20240614164036/https://www.wbur.org/hereandnow/2013/06/28/general-leaks-probe que un exvicepresidente del Estado Mayor Conjunto (el propio Cartwright) estuvo bajo investigación por presuntamente filtrar información secreta sobre los ciberataques en el marco de la operación Juegos Olímpicos bajo la administración Obama. Fue acusado de comportamiento indebido con una asistente en 2011, pero fue finalmente exonerado. Más tarde en 2016, en otro juicio⁸Fuente: https://web.archive.org/web/20250328100952/https://www.nytimes.com/2016/10/18/us/marine-general-james-cartwright-leak-fbi.html, se declaró culpable de mentir al FBI en relación con las filtraciones, aunque nunca se le llegó a acusar de ser el autor de las mismas. Fue condenado, aunque recibió el perdón presidencial de Barack Obama y se le restituyó en 2017.

Por su parte, Israel fue señalado en 2012 como coautor de los ataques por el New York Times en otro artículo de Sanger⁹Fuente: https://web.archive.org/web/20170225103053/https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html.  En un paper de Security and Defense¹⁰Fuente: https://web.archive.org/web/20250425191120/https://securityanddefence.pl/Operation-Olympic-Games-nCyber-sabotage-as-a-tool-of-American-nintelligence-aimed,121974,0,2.html se concluyó que «La Operación Juegos Olímpicos fue una acción cuidadosamente planificada y sofisticada de las agencias de inteligencia de Estados Unidos e Israel en el ciberespacio», y que «[e]sto fue posible gracias a la combinación de capacidades e inteligencia de Estados Unidos e Israel».

Esta fuerza conjunta, denominada Equation Group, fue la que supuestamente planeó y ejecutó el ataque, según Forbes¹¹Fuente: https://web.archive.org/web/20250419190213/https://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/. El grupo Kaspersky cifra que los posibles ataques podrían ascender a unos 400¹²Fuente: https://web.archive.org/web/20250508132459/https://arstechnica.com/information-technology/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/, que tras catorce años fue identificado por agentes chinos¹³Fuente: https://web.archive.org/web/20250404103512/https://www.securityweek.com/how-china-pinned-university-cyberattacks-on-nsa-hackers/. De hecho, un grupo de hackers denominado Shadow Brookers  expuso en 2016 algunas de las ciberarmas utilizadas por Equation, información que tristemente fue utilizada en el ciberataque a nivel mundial Wannacry, el destructivo ransomware que se llevó por delante al Servicio de Salud Británico, entre otros. The Telegraph en 2011 informó¹⁴Fuente: https://ghostarchive.org/archive/kDjup que, en un vídeo mostrado en la jubilación del general Gabi Ashkenazi se hicieron referencias a sus éxitos operativos, haciendo mención a Stuxnet. En 2012 fue Wikileaks quien dio los indicios más sólidos de la autoría del virus¹⁵Fuente: https://wikileaks.org/gifiles/docs/13/1337544_the-u-s-israeli-stuxnet-alliance-.html, publicando emails de la contratista STRATFOR, discutiendo sobre la publicación de información en el Times.

Sobre el virus

La primera vez que fue detectado por VirusBlokAda, en Junio de 2010, fue llamado Rootkit.Tmphider. Symantec, no obstante, lo llamó inicialmente W32.Temphid, cambiándolo a W32.Stuxnet más tarde¹⁶Más información: https://web.archive.org/web/20120104215049/http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99. Esto vino de la contracción de la palabra stub (esbozo), encontrada en el código del virus, y mrxnet.sys, uno de los ficheros que creaba¹⁷Fuente: https://www.abc.net.au/science/articles/2011/10/26/3348123.htm. El virus, si no desata su payload (carga útil o mecanismo dañino), tiene un comportamiento poco dañino: funciona como un gusano que se transmite al menos tres veces y luego se autoelimina¹⁸Fuente: https://www.vanityfair.com/news/2011/03/stuxnet-201104. Esto permite una propagación sin que se su reacción en cadena se descontrole. Su efecto dañino requiere que se detecten ciertas condiciones muy específicas, a saber: uno o más PLC S7 de Siemens funcionando en WinCC.

Es entonces cuando entran varias variables en juego: la primera es un exploit 0day de Windows (es decir, un modo de hackeo no divulgado) que permitía infectar una máquina con sólo abrir una unidad USB. Esto desencadenaba un proceso a nivel de rootkit (un proceso que se ejecuta por encima de todos los demás), otro exploit en la base de datos del software de control y al menos tres capas importantes: Una en el propio Windows, otra que infectaría a WinCC y otra para los propios PLC. Esta complejidad es muy inusual para un virus, que suelen ser diseñados de forma de infección generalista y no tan específica. Además, es igualmente inusual la cantidad de vulnerabilidades no divulgadas que explotaban, que son un recurso altamente codiciado por los hackers que programan software pernicioso¹⁹Fuente: https://www.wired.com/2010/09/stuxnet-2/. Todo ello además, firmado con claves robadas a dos firmas de hardware en Taiwán²⁰Literatura: https://web.archive.org/web/20220122123326/https://www.welivesecurity.com/wp-content/uploads/2012/11/Stuxnet_Under_the_Microscope.pdf.

El virus detectaba dichas centrifugadoras por la velocidad angular de las mismas, una velocidad inusualmente alta para el resto de procesos industriales. Cuando su víctima ha sido detectada emplea una técnica llamada man-in-the-middle, es decir, se coloca entre las señales de control y el software, y mientras engaña al software de control para asegurarle que todo va bien, emite órdenes alteradas al dispositivo. En este caso, las centrifugadoras de Natanz, a las que hacía girar más rápido de lo normal²¹Más info: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=550505c5-c38a-4e0c-b590-f731bb3a60ad&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments y luego más lento, durante un breve lapso. Las vibraciones resultantes no serían percibidas, pero acabarían dañando la maquinaria.

Repercusiones

El Washington Post informó²²Fuente: https://web.archive.org/web/20220124000904/https://www.washingtonpost.com/world/irans-natanz-nuclear-facility-recovered-quickly-from-stuxnet-cyber-attack/2011/02/15/ABUIkoQ_story.html que, a través de las cámaras de la Agencia Internacional para la Energía Nuclear, se evidenciaron que al menos 1000 centrifugadoras fueron reemplazadas en la época en que Stuxnet estuvo activo, aunque asímismo informa que el reemplazo fue rápido y que el proceso de enriquecimiento de uranio no se vio sustancialmente alterado. El periódico israelí Haaretz informó, no obstante, que un 30% de la actividad se habría visto afectada, y que se tuvieron que hacer paradas debido a que el virus hubiera dejado inoperativas demasiadas centrifugadoras.²³Noticias: https://www.haaretz.com/2010-09-28/ty-article/computer-virus-in-iran-actually-targeted-larger-nuclear-facility/0000017f-f5dd-d460-afff-ffffd3b30000 y https://www.haaretz.com/2010-11-23/ty-article/iran-pauses-uranium-enrichment-at-natanz-nuclear-plant/0000017f-db29-d856-a37f-ffe9817b0000.

Sea como fuere, WikiLeaks informó²⁴https://web.archive.org/web/20101230121529/http://mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief’s_mystery_resignation/ que la Organización para la Energía Nuclear en Irán habría obligado a renunciar a su jefe, Gholam Reza Aghazadeh, por «serios incidentes nucleares».  The Economist, en septiembre de 2010, relacionó²⁵Fuente: http://www.economist.com/blogs/babbage/2010/09/stuxnet_worm rápidamente el ciberataque con el virus Stuxnet.

Fue en 2010 también cuando el presidente de la República de Irán, Mahmoud Ahmadinejad, admitió que el país había sido víctima de ciberataques por parte de las potencias occidentales²⁶Fuente: https://www.csmonitor.com/USA/2010/1130/Stuxnet-Ahmadinejad-admits-cyberweapon-hit-Iran-nuclear-program. Ese mismo día, dos científicos nucleares fueron emboscados y trágicamente asesinados, siendo gravemente herido un tercero²⁷Fuente: http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/. El presidente señaló que habrían sido asesinados por el «régimen sionista», y por su parte el Washington Post especularía²⁸Fuente: http://voices.washingtonpost.com/postpartisan/2010/11/_the_story_of_the.htmlcon que pudieron haber sido asesinados por su propio país.

Palabras finales

He tratado ser tan neutral como me ha sido posible en este artículo, e incluido tantas fuentes como me he podido. Cabe aún hacerse preguntas: ¿Fue Natanz el objetivo real del virus o fue el terreno de prueba para objetivos más valiosos? ¿Existen ataques de guerra electrónica clandestinos en la actualidad de los que no tenemos noticia? En todo caso, parece que este es sólo el principio²⁹http://www.cbsnews.com/8301-18560_162-57390124/stuxnet-computer-worm-opens-new-era-of-warfare/.

Referencias

• 1
  Referencia: https://apnews.com/article/iran-nuclear-natanz-uranium-enrichment-underground-project-04dae673fc937af04e62b65dd78db2e0
• 2
  Fuente: https://web.archive.org/web/20240717201731/https://www.csmonitor.com/USA/2010/0924/Stuxnet-worm-mystery-What-s-the-cyber-weapon-after
• 3
  Fuente: https://web.archive.org/web/20250506080046/https://www.yahoo.com/news/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html
• 4
  Fuente: https://web.archive.org/web/https://arstechnica.com/information-technology/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick/
• 5
  Fuente: https://web.archive.org/web/20241203131857/http://www.isssource.com/stuxnet-loaded-by-iran-double-agents/
• 6
  Fuente: https://web.archive.org/web/20220325214631/https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
• 7
  Fuente: https://web.archive.org/web/20240614164036/https://www.wbur.org/hereandnow/2013/06/28/general-leaks-probe
• 8
  Fuente: https://web.archive.org/web/20250328100952/https://www.nytimes.com/2016/10/18/us/marine-general-james-cartwright-leak-fbi.html
• 9
  Fuente: https://web.archive.org/web/20170225103053/https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
• 10
  Fuente: https://web.archive.org/web/20250425191120/https://securityanddefence.pl/Operation-Olympic-Games-nCyber-sabotage-as-a-tool-of-American-nintelligence-aimed,121974,0,2.html
• 11
  Fuente: https://web.archive.org/web/20250419190213/https://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/
• 12
  Fuente: https://web.archive.org/web/20250508132459/https://arstechnica.com/information-technology/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/
• 13
  Fuente: https://web.archive.org/web/20250404103512/https://www.securityweek.com/how-china-pinned-university-cyberattacks-on-nsa-hackers/
• 14
  Fuente: https://ghostarchive.org/archive/kDjup
• 15
  Fuente: https://wikileaks.org/gifiles/docs/13/1337544_the-u-s-israeli-stuxnet-alliance-.html
• 16
  Más información: https://web.archive.org/web/20120104215049/http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
• 17
  Fuente: https://www.abc.net.au/science/articles/2011/10/26/3348123.htm
• 18
  Fuente: https://www.vanityfair.com/news/2011/03/stuxnet-201104
• 19
  Fuente: https://www.wired.com/2010/09/stuxnet-2/
• 20
  Literatura: https://web.archive.org/web/20220122123326/https://www.welivesecurity.com/wp-content/uploads/2012/11/Stuxnet_Under_the_Microscope.pdf
• 21
  Más info: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=550505c5-c38a-4e0c-b590-f731bb3a60ad&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments
• 22
  Fuente: https://web.archive.org/web/20220124000904/https://www.washingtonpost.com/world/irans-natanz-nuclear-facility-recovered-quickly-from-stuxnet-cyber-attack/2011/02/15/ABUIkoQ_story.html
• 23
  Noticias: https://www.haaretz.com/2010-09-28/ty-article/computer-virus-in-iran-actually-targeted-larger-nuclear-facility/0000017f-f5dd-d460-afff-ffffd3b30000 y https://www.haaretz.com/2010-11-23/ty-article/iran-pauses-uranium-enrichment-at-natanz-nuclear-plant/0000017f-db29-d856-a37f-ffe9817b0000
• 24
  https://web.archive.org/web/20101230121529/http://mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief’s_mystery_resignation/
• 25
  Fuente: http://www.economist.com/blogs/babbage/2010/09/stuxnet_worm
• 26
  Fuente: https://www.csmonitor.com/USA/2010/1130/Stuxnet-Ahmadinejad-admits-cyberweapon-hit-Iran-nuclear-program
• 27
  Fuente: http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/
• 28
  Fuente: http://voices.washingtonpost.com/postpartisan/2010/11/_the_story_of_the.html
• 29
  http://www.cbsnews.com/8301-18560_162-57390124/stuxnet-computer-worm-opens-new-era-of-warfare/