Stuxnet es un gusano informático malicioso descubierto por primera vez en 2010 y se cree que ha estado en desarrollo desde al menos 2005. Stuxnet ataca los sistemas de control de supervisión y adquisición de datos ( SCADA ) y se cree que es responsable de causar daños sustanciales al programa nuclear de Irán . [2] Aunque ninguno de los dos países ha admitido abiertamente su responsabilidad, varias organizaciones de noticias independientes reconocen que Stuxnet es un arma cibernética construida conjuntamente por Estados Unidos e Israel en un esfuerzo colaborativo conocido como Operación Juegos Olímpicos . [3] [4] [5] El programa, iniciado durante la administración Bush , se expandió rápidamente durante los primeros meses de la presidencia de Barack Obama . [6]
Stuxnet ataca específicamente a los controladores lógicos programables (PLC), que permiten la automatización de procesos electromecánicos como los que se utilizan para controlar maquinaria y procesos industriales, incluidas las centrífugas de gas para separar material nuclear. Explotando cuatro fallas de día cero , [7] Stuxnet funciona atacando máquinas que utilizan el sistema operativo y redes Microsoft Windows , y luego buscando el software Siemens Step7. Stuxnet habría comprometido los PLC iraníes, recopilando información sobre los sistemas industriales y provocando que las centrífugas de rápido giro se desmantelaran. [2] El diseño y la arquitectura de Stuxnet no son específicos de un dominio y podrían adaptarse como una plataforma para atacar sistemas SCADA y PLC modernos (por ejemplo, en líneas de montaje de fábricas o plantas de energía), la mayoría de las cuales se encuentran en Europa, Japón y Estados Unidos. [8] Stuxnet habría destruido casi una quinta parte de las centrífugas nucleares de Irán . [9] Apuntando a los sistemas de control industrial, el gusano infectó más de 200.000 computadoras y provocó la degradación física de 1.000 máquinas. [10]
Stuxnet tiene tres módulos: un gusano que ejecuta todas las rutinas relacionadas con la carga útil principal del ataque; un archivo de enlace que ejecuta automáticamente las copias propagadas del gusano; y un componente rootkit responsable de ocultar todos los archivos y procesos maliciosos, para evitar la detección de Stuxnet. [11] Por lo general, se introduce en el entorno de destino a través de una unidad flash USB infectada , cruzando así cualquier espacio de aire . Luego, el gusano se propaga a través de la red, buscando el software Siemens Step7 en las computadoras que controlan un PLC. En ausencia de cualquiera de los criterios, Stuxnet queda inactivo dentro de la computadora. Si se cumplen ambas condiciones, Stuxnet introduce el rootkit infectado en el PLC y el software Step7, modificando el código y dando comandos inesperados al PLC mientras devuelve un bucle de valores normales del sistema operativo a los usuarios. [12] [13]
Stuxnet, descubierto por Sergey Ulasen de la empresa de antivirus bielorrusa VirusBlokAda , se propagó inicialmente a través de Microsoft Windows y tenía como objetivo los sistemas de control industrial de Siemens . Si bien no es la primera vez que los piratas informáticos atacan los sistemas industriales [14] ni el primer acto intencional de ciberguerra conocido públicamente que se implementa, es el primer malware descubierto que espía y subvierte los sistemas industriales [15] y el primero que incluye un rootkit de controlador lógico programable (PLC) . [16] [17]
El gusano se propaga inicialmente de forma indiscriminada, pero incluye una carga útil de malware altamente especializada que está diseñada para atacar únicamente los sistemas de control de supervisión y adquisición de datos (SCADA) de Siemens que están configurados para controlar y monitorear procesos industriales específicos. [18] [19] Stuxnet infecta los PLC subvirtiendo la aplicación de software Step-7 que se utiliza para reprogramar estos dispositivos. [20] [21]
Diferentes variantes de Stuxnet apuntaron a cinco organizaciones iraníes, [22] con el probable objetivo ampliamente sospechado de ser la infraestructura de enriquecimiento de uranio en Irán ; [21] [23] [24] Symantec señaló en agosto de 2010 que el 60 por ciento de las computadoras infectadas en todo el mundo estaban en Irán. [25] Siemens afirmó que el gusano no causó daños a sus clientes, [15] pero el programa nuclear de Irán , que utiliza equipo embargado de Siemens adquirido en secreto, fue dañado por Stuxnet. [26] [27] [28] Kaspersky Lab concluyó que el sofisticado ataque solo podría haberse llevado a cabo "con el apoyo de un estado nacional ". [29] El investigador jefe de F-Secure , Mikko Hyppönen , cuando se le preguntó si era posible que hubiera apoyo de un estado nacional, estuvo de acuerdo: "Así es como se vería, sí". [30]
En mayo de 2011, el programa de PBS Need To Know citó una declaración de Gary Samore , Coordinador de la Casa Blanca para el Control de Armas y Armas de Destrucción Masiva, en la que dijo: "estamos contentos de que ellos [los iraníes] estén teniendo problemas con su máquina centrífuga y que nosotros -los EE.UU. y sus aliados- estemos haciendo todo lo posible para asegurarnos de complicarles las cosas", ofreciendo un "reconocimiento" de la participación de Estados Unidos en Stuxnet. [31] Según The Daily Telegraph , un showreel que se reprodujo en una fiesta de jubilación del jefe de las Fuerzas de Defensa de Israel (FDI), Gabi Ashkenazi , incluía referencias a Stuxnet como uno de sus éxitos operativos como jefe de personal de las FDI. [32]
El 1 de junio de 2012, un artículo en The New York Times informó que Stuxnet era parte de una operación de inteligencia estadounidense e israelí llamada Operación Juegos Olímpicos , ideada por la NSA bajo el presidente George W. Bush y ejecutada bajo el presidente Barack Obama . [33]
El 24 de julio de 2012, un artículo de Chris Matyszczyk de CNET [34] informó que la Organización de Energía Atómica de Irán envió un correo electrónico al director de investigación de F-Secure , Mikko Hyppönen , para informar sobre una nueva instancia de malware.
El 25 de diciembre de 2012, una agencia de noticias semioficial iraní anunció que Stuxnet había sufrido un ciberataque, esta vez contra industrias de la zona sur del país. El malware había atacado una central eléctrica y otras industrias de la provincia de Hormozgan en los últimos meses. [35]
Según Eugene Kaspersky , el gusano también infectó una planta de energía nuclear en Rusia. Sin embargo, Kaspersky advierte que, dado que la planta no está conectada a Internet, el sistema debería permanecer seguro. [36]
El gusano fue identificado por primera vez por la empresa de seguridad VirusBlokAda a mediados de junio de 2010. [20] La publicación del blog del periodista Brian Krebs del 15 de julio de 2010 fue el primer informe ampliamente leído sobre el gusano. [37] [38] El nombre original dado por VirusBlokAda fue "Rootkit.Tmphider"; [39] Symantec, sin embargo, lo llamó "W32.Temphid", cambiando más tarde a "W32.Stuxnet". [40] Su nombre actual se deriva de una combinación de algunas palabras clave en el software (".stub" y "mrxnet.sys"). [41] [42] La razón para el descubrimiento en este momento se atribuye a que el virus se propagó accidentalmente más allá de su objetivo previsto (la planta de Natanz ) debido a un error de programación introducido en una actualización; Esto provocó que el gusano se propagara a la computadora de un ingeniero que había estado conectada a las centrifugadoras y se propagara aún más cuando el ingeniero regresó a casa y conectó su computadora a Internet. [33]
Los expertos de Kaspersky Lab estimaron inicialmente que Stuxnet comenzó a propagarse alrededor de marzo o abril de 2010, [43] pero la primera variante del gusano apareció en junio de 2009. [20] El 15 de julio de 2010, el día en que se conoció ampliamente la existencia del gusano, se realizó un ataque distribuido de denegación de servicio en los servidores de dos importantes listas de correo sobre seguridad de sistemas industriales. Este ataque, de origen desconocido pero probablemente relacionado con Stuxnet, deshabilitó una de las listas, interrumpiendo así una importante fuente de información para plantas de energía y fábricas. [38] Por otra parte, los investigadores de Symantec han descubierto una versión del virus informático Stuxnet que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007, y que se estaba desarrollando ya en 2005, cuando Irán todavía estaba instalando su planta de enriquecimiento de uranio. [44]
La segunda variante, con mejoras sustanciales, apareció en marzo de 2010, aparentemente porque sus autores creían que Stuxnet no se estaba propagando lo suficientemente rápido; una tercera, con mejoras menores, apareció en abril de 2010. [38] El gusano contiene un componente con una marca de tiempo de compilación del 3 de febrero de 2010. [45] En el Reino Unido, el 25 de noviembre de 2010, Sky News informó que había recibido información de una fuente anónima en una organización de seguridad de TI no identificada de que Stuxnet, o una variación del gusano, había sido comercializado en el mercado negro . [46]
En 2015, Kaspersky Lab observó que Equation Group había utilizado dos de los mismos ataques de día cero antes de su uso en Stuxnet, en otro malware llamado fanny.bmp. [47] [48] y comentó que "el tipo similar de uso de ambos exploits juntos en diferentes gusanos informáticos, aproximadamente al mismo tiempo, indica que Equation Group y los desarrolladores de Stuxnet son la misma persona o trabajan en estrecha colaboración". [49]
En 2019, los investigadores de Chronicle Juan Andrés Guerrero-Saade y Silas Cutler presentaron evidencia de al menos cuatro plataformas de malware de actores de amenazas distintos que colaboraban para crear las diferentes versiones de Stuxnet. [50] [51] La colaboración se denominó 'GOSSIP GIRL' después de que un grupo de amenazas filtrara diapositivas clasificadas de CSE que incluían a Flame. [52] GOSSIP GIRL es un paraguas cooperativo que incluye a Equation Group , Flame , Duqu y Flowershop (también conocido como 'Cheshire Cat'). [53] [54] [55]
En 2020, el investigador Facundo Muñoz encontró evidencia que sugiere que Equation Group colaboró con los desarrolladores de Stuxnet en 2009 al prestarles al menos un exploit de día cero, [56] y un exploit de 2008 [57] que estaba siendo utilizado activamente por el gusano informático Conficker y piratas informáticos chinos. [58] En 2017, un grupo de piratas informáticos conocido como The Shadow Brokers filtró una enorme cantidad de herramientas pertenecientes a Equation Group, incluidas nuevas versiones de ambos exploits compilados en 2010, mostrando superposiciones de código significativas, ya que tanto los exploits de Stuxnet como los de Equation Group se desarrollaron utilizando un conjunto de bibliotecas llamadas "Exploit Development Framework", también filtradas por The Shadow Brokers.
Un estudio sobre la propagación de Stuxnet realizado por Symantec mostró que los principales países afectados en los primeros días de la infección fueron Irán, Indonesia e India: [59]
Se informó que Irán había fortalecido sus capacidades de ciberguerra después del ataque Stuxnet, y se sospecha que ha llevado a cabo ataques de represalia contra bancos estadounidenses en la Operación Ababil . [60]
A diferencia de la mayoría de programas maliciosos, Stuxnet causa poco daño a los ordenadores y redes que no cumplen con los requisitos de configuración específicos; "Los atacantes tuvieron mucho cuidado de asegurarse de que sólo sus objetivos designados fueran atacados... Era un trabajo de tiradores". [61] Aunque el gusano es promiscuo, se vuelve inerte si no se encuentra software de Siemens en los ordenadores infectados, y contiene salvaguardas para evitar que cada ordenador infectado propague el gusano a más de otros tres, y para borrarse a sí mismo el 24 de junio de 2012. [38]
Para sus objetivos, Stuxnet contiene, entre otras cosas, código para un ataque de intermediario que falsifica las señales de los sensores de control de procesos industriales para que un sistema infectado no se apague debido a un comportamiento anormal detectado. [38] [61] [62] Tal complejidad es muy inusual para el malware . El gusano consiste en un ataque en capas contra tres sistemas diferentes:
Stuxnet atacó sistemas Windows utilizando cuatro ataques de día cero sin precedentes (más la vulnerabilidad CPLINK y una vulnerabilidad utilizada por el gusano Conficker [63] ). Inicialmente se propaga utilizando unidades extraíbles infectadas, como unidades flash USB , [21] [45] que contienen archivos de acceso directo de Windows para iniciar código ejecutable. [64] El gusano luego utiliza otros exploits y técnicas como la llamada a procedimiento remoto peer-to-peer (RPC) para infectar y actualizar otras computadoras dentro de redes privadas que no están conectadas directamente a Internet. [65] [66] [67] El número de exploits de día cero utilizados es inusual, ya que son muy valorados y los creadores de malware normalmente no hacen uso de (y por lo tanto hacen visibles simultáneamente) cuatro exploits de día cero diferentes en el mismo gusano. [23] Entre estas vulnerabilidades se encontraban la ejecución remota de código en un ordenador con la función Compartir impresora habilitada, [68] y la vulnerabilidad LNK/PIF, [69] en la que la ejecución de un archivo se lleva a cabo cuando se ve un icono en el Explorador de Windows, lo que elimina la necesidad de interacción del usuario. [70] Stuxnet es inusualmente grande, con un tamaño de medio megabyte, [65] y está escrito en varios lenguajes de programación diferentes (incluidos C y C++ ), lo que también es irregular para el malware. [15] [20] [62] El componente de Windows del malware es promiscuo, ya que se propaga con relativa rapidez e indiscriminadamente. [45]
El malware tiene capacidad de rootkit tanto en modo usuario como en modo kernel en Windows, [67] y sus controladores de dispositivo han sido firmados digitalmente con las claves privadas de dos certificados de clave pública que fueron robados de compañías separadas y conocidas, JMicron y Realtek , ambas ubicadas en el Parque Científico de Hsinchu en Taiwán. [45] [65] La firma del controlador lo ayudó a instalar controladores de rootkit en modo kernel con éxito sin que los usuarios fueran notificados, y por lo tanto permaneció sin detectar durante un período de tiempo relativamente largo. [71] Ambos certificados comprometidos han sido revocados por Verisign .
Dos sitios web en Dinamarca y Malasia fueron configurados como servidores de comando y control para el malware, lo que permitió su actualización y el espionaje industrial mediante la carga de información. Ambos nombres de dominio fueron posteriormente redirigidos por su proveedor de servicios DNS a Dynadot como parte de un esfuerzo global para desactivar el malware. [67] [38]
Según el investigador Ralph Langner, [72] [73] una vez instalado en un sistema Windows, Stuxnet infecta archivos de proyecto pertenecientes al software de control WinCC /PCS 7 SCADA de Siemens [74] (Paso 7), y subvierte una biblioteca de comunicación clave de WinCC llamada s7otbxdx.dll
. Al hacerlo, intercepta las comunicaciones entre el software WinCC que se ejecuta en Windows y los dispositivos PLC de Siemens de destino, cuando los dos están conectados a través de un cable de datos. El malware puede modificar el código en los dispositivos PLC sin que se note y, posteriormente, enmascarar su presencia de WinCC si el software de control intenta leer un bloque de memoria infectado del sistema PLC. [67]
El malware además utilizó un exploit de día cero en el software de base de datos WinCC/SCADA en forma de una contraseña de base de datos codificada. [75]
La carga útil de Stuxnet se dirige únicamente a aquellas configuraciones SCADA que cumplen los criterios que está programado para identificar. [38]
Stuxnet requiere que se conecten variadores de frecuencia esclavos específicos (variadores de frecuencia) al sistema Siemens S7-300 de destino y sus módulos asociados. Solo ataca a aquellos sistemas PLC con variadores de frecuencia de dos proveedores específicos: Vacon con sede en Finlandia y Fararo Paya con sede en Irán. [76] Además, monitorea la frecuencia de los motores conectados y solo ataca a los sistemas que giran entre 807 Hz y 1210 Hz. Esta es una frecuencia mucho más alta que la que suelen utilizar los motores en la mayoría de las aplicaciones industriales, con la notable excepción de las centrífugas de gas . [76] Stuxnet instala malware en el bloque de memoria DB890 del PLC que monitorea el bus de mensajería Profibus del sistema. [67] Cuando se cumplen ciertos criterios, modifica periódicamente la frecuencia a 1410 Hz y luego a 2 Hz y luego a 1064 Hz, y así afecta el funcionamiento de los motores conectados al cambiar su velocidad de rotación. [76] También instala un rootkit –el primer caso documentado en esta plataforma– que oculta el malware en el sistema y oculta los cambios en la velocidad de rotación de los sistemas de monitoreo.
Siemens ha lanzado una herramienta de detección y eliminación de Stuxnet. Siemens recomienda ponerse en contacto con el servicio de atención al cliente si se detecta una infección y aconseja instalar actualizaciones de Microsoft para solucionar vulnerabilidades de seguridad y prohibir el uso de unidades flash USB de terceros . [77] Siemens también recomienda actualizar inmediatamente los códigos de acceso con contraseña. [78]
La capacidad del gusano para reprogramar los PLC externos puede complicar el procedimiento de eliminación. Liam O'Murchu, de Symantec, advierte que reparar los sistemas Windows puede no resolver por completo la infección; puede ser necesaria una auditoría exhaustiva de los PLC. A pesar de las especulaciones de que la eliminación incorrecta del gusano podría causar daños, [15] Siemens informa que en los primeros cuatro meses desde su descubrimiento, el malware se eliminó con éxito de los sistemas de 22 clientes sin ningún efecto adverso. [77] [79]
La prevención de incidentes de seguridad en los sistemas de control, [80] como los de infecciones virales como Stuxnet, es un tema que se está abordando tanto en el sector público como en el privado.
La División Nacional de Seguridad Cibernética (NCSD) del Departamento de Seguridad Nacional de los Estados Unidos opera el Programa de Seguridad del Sistema de Control (CSSP). [81] El programa opera un equipo especializado de respuesta a emergencias informáticas llamado Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT), lleva a cabo una conferencia bianual ( ICSJWG ), proporciona capacitación, publica prácticas recomendadas y proporciona una herramienta de autoevaluación. Como parte de un plan del Departamento de Seguridad Nacional para mejorar la seguridad informática estadounidense, en 2008, este y el Laboratorio Nacional de Idaho (INL) trabajaron con Siemens para identificar agujeros de seguridad en el ampliamente utilizado Sistema de Control de Procesos 7 (PCS 7) de la compañía y su software Step 7. En julio de 2008, INL y Siemens anunciaron públicamente fallas en el sistema de control en una conferencia de Chicago; Stuxnet explotó estos agujeros en 2009. [61]
Varias organizaciones de la industria [82] [83] y sociedades profesionales [84] [85] han publicado estándares y pautas de mejores prácticas que brindan orientación y guía para los usuarios finales del sistema de control sobre cómo establecer un programa de gestión de seguridad del sistema de control . La premisa básica que comparten todos estos documentos es que la prevención requiere un enfoque de múltiples capas, a menudo denominado defensa en profundidad . [86] Las capas incluyen políticas y procedimientos, concientización y capacitación, segmentación de red , medidas de control de acceso , medidas de seguridad física , fortalecimiento del sistema , por ejemplo, administración de parches y monitoreo del sistema, antivirus y sistema de prevención de intrusiones (IPS). Los estándares y las mejores prácticas [ ¿quién? ] también todos [¿ síntesis incorrecta? ] recomiendan comenzar con un análisis de riesgos y una evaluación de seguridad del sistema de control. [87] [88]
Los expertos creen que Stuxnet requirió el mayor y más costoso esfuerzo de desarrollo en la historia del malware. [38] Desarrollar sus muchas habilidades habría requerido un equipo de programadores altamente capacitados, un profundo conocimiento de los procesos industriales y un interés en atacar la infraestructura industrial. [15] [20] Eric Byres, quien tiene años de experiencia en el mantenimiento y resolución de problemas de sistemas Siemens, le dijo a Wired que escribir el código habría llevado muchos meses-hombre, si no años-hombre. [65] Symantec estima que el grupo que desarrolló Stuxnet habría consistido en entre cinco y treinta personas, y habría tardado seis meses en prepararse. [89] [38] The Guardian , la BBC y The New York Times afirmaron que los expertos (anónimos) que estudian Stuxnet creen que la complejidad del código indica que solo un estado-nación tendría las habilidades para producirlo. [23] [89] [90] La autodestrucción y otras salvaguardas dentro del código implicaban que un gobierno occidental era responsable, o al menos es responsable de su desarrollo. [38] Sin embargo, el experto en seguridad de software Bruce Schneier inicialmente condenó la cobertura de noticias de 2010 sobre Stuxnet como exageración, afirmando que se basaba casi en su totalidad en especulaciones. [91] Pero después de una investigación posterior, Schneier declaró en 2012 que "ahora podemos vincular de manera concluyente a Stuxnet con la estructura de la centrífuga en el laboratorio de enriquecimiento nuclear de Natanz en Irán". [92]
En enero de 2024, De Volkskrant informó que el ingeniero holandés Erik van Sabben era el saboteador que se había infiltrado en el complejo nuclear subterráneo de la ciudad de Natanz e instalado equipos infectados con Stuxnet. [93]
Ralph Langner, el investigador que identificó que Stuxnet infectaba los PLC, [21] especuló por primera vez públicamente en septiembre de 2010 que el malware era de origen israelí y que apuntaba a las instalaciones nucleares iraníes. [94] Sin embargo, Langner más recientemente, en una conferencia TED , grabada en febrero de 2011, declaró que "Mi opinión es que el Mossad está involucrado, pero que la fuerza líder no es Israel. La fuerza líder detrás de Stuxnet es la superpotencia cibernética - sólo hay una; y esa es Estados Unidos". [95] Kevin Hogan, Director Senior de Respuesta de Seguridad en Symantec, informó que la mayoría de los sistemas infectados estaban en Irán (alrededor del 60%), [96] lo que ha llevado a la especulación de que puede haber estado apuntando deliberadamente a "infraestructura de alto valor" en Irán [23] incluyendo la Planta de Energía Nuclear de Bushehr o la instalación nuclear de Natanz . [65] [97] [98] Langner llamó al malware "un arma de un solo uso" y dijo que el objetivo previsto probablemente fue alcanzado, [99] aunque admitió que esto era especulación. [65] Otro investigador alemán y portavoz del Chaos Computer Club con sede en Alemania , Frank Rieger, fue el primero en especular que Natanz era el objetivo. [38]
Según el periódico israelí Haaretz , en septiembre de 2010 los expertos en Irán y los especialistas en seguridad informática estaban cada vez más convencidos de que Stuxnet tenía como objetivo " sabotear las instalaciones de enriquecimiento de uranio en Natanz, donde la capacidad operativa de las centrifugadoras había disminuido en un 30 por ciento durante el año pasado". [100] El 23 de noviembre de 2010 se anunció que el enriquecimiento de uranio en Natanz había cesado varias veces debido a una serie de problemas técnicos importantes. [101] Un "grave accidente nuclear" (supuestamente el apagado de algunas de sus centrifugadoras [102] ) ocurrió en el sitio en la primera mitad de 2009, que se especula que obligó a Gholam Reza Aghazadeh , el jefe de la Organización de Energía Atómica de Irán (AEOI), a dimitir. [103] Las estadísticas publicadas por la Federación de Científicos Estadounidenses (FAS) muestran que el número de centrifugadoras de enriquecimiento operativas en Irán disminuyó misteriosamente de aproximadamente 4.700 a aproximadamente 3.900 a partir de la época en que habría ocurrido el incidente nuclear mencionado por WikiLeaks. [104] El Instituto para la Ciencia y la Seguridad Internacional (ISIS) sugiere, en un informe publicado en diciembre de 2010, que Stuxnet es una explicación razonable para el daño aparente [105] en Natanz, y puede haber destruido hasta 1.000 centrifugadoras (10 por ciento) en algún momento entre noviembre de 2009 y fines de enero de 2010. Los autores concluyen:
Los ataques parecen diseñados para forzar un cambio en la velocidad del rotor de la centrífuga, primero aumentando la velocidad y luego disminuyéndola, probablemente con la intención de inducir vibraciones o distorsiones excesivas que destruirían la centrífuga. Si su objetivo era destruir rápidamente todas las centrífugas de la FEP [planta de enriquecimiento de combustible], Stuxnet fracasó. Pero si el objetivo era destruir un número más limitado de centrífugas y retrasar el progreso de Irán en el funcionamiento de la FEP, al tiempo que dificultaba la detección, es posible que haya tenido éxito, al menos temporalmente. [105]
El informe del Instituto de Ciencia y Seguridad Internacional (ISIS) señala además que las autoridades iraníes han intentado ocultar la avería instalando nuevas centrifugadoras a gran escala. [105] [106]
El gusano funcionó haciendo que una centrífuga iraní IR-1 infectada aumentara su velocidad de funcionamiento normal de 1.064 hercios a 1.410 hercios durante 15 minutos antes de volver a su frecuencia normal. Veintisiete días después, el gusano volvió a entrar en acción, reduciendo la velocidad de las centrífugas infectadas a unos pocos cientos de hercios durante 50 minutos completos. Las tensiones de las velocidades excesivas, y luego más lentas, hicieron que los tubos de aluminio de la centrífuga se expandieran, lo que a menudo obligaba a las partes de las centrífugas a entrar en contacto suficiente entre sí para destruir la máquina. [107]
Según The Washington Post , las cámaras del Organismo Internacional de Energía Atómica (OIEA) instaladas en las instalaciones de Natanz registraron el repentino desmantelamiento y la retirada de aproximadamente 900 a 1.000 centrifugadoras durante el tiempo en que el gusano Stuxnet estuvo supuestamente activo en la planta. Sin embargo, los técnicos iraníes pudieron reemplazar rápidamente las centrifugadoras y el informe concluyó que el enriquecimiento de uranio probablemente sólo se vio interrumpido brevemente. [108]
El 15 de febrero de 2011, el Instituto de Ciencia y Seguridad Internacional publicó un informe en el que concluía que:
Si Irán actúa con cautela, es poco probable que Stuxnet destruya más centrífugas en la planta de Natanz. Es probable que Irán haya eliminado el malware de sus sistemas de control. Para evitar una nueva infección, Irán tendrá que actuar con especial cautela, ya que muchos ordenadores en Irán contienen Stuxnet. Aunque Stuxnet parece estar diseñado para destruir centrífugas en las instalaciones de Natanz, la destrucción no fue total. Además, Stuxnet no redujo la producción de uranio poco enriquecido (LEU) durante 2010. Las cantidades de LEU podrían haber sido mayores, y Stuxnet podría ser una parte importante de la razón por la que no aumentaron significativamente. No obstante, quedan preguntas importantes sobre por qué Stuxnet destruyó sólo 1.000 centrífugas. Una observación es que puede ser más difícil destruir centrífugas mediante el uso de ataques cibernéticos de lo que se cree a menudo. [109]
La Associated Press informó que la agencia de noticias semioficial Iranian Students News Agency publicó un comunicado el 24 de septiembre de 2010 en el que afirmaba que expertos de la Organización de Energía Atómica de Irán se habían reunido la semana anterior para discutir cómo se podía eliminar Stuxnet de sus sistemas. [19] Según analistas, como David Albright , las agencias de inteligencia occidentales habían estado intentando sabotear el programa nuclear iraní durante algún tiempo. [110] [111]
El director de la central nuclear de Bushehr dijo a Reuters que sólo los ordenadores personales del personal de la planta habían sido infectados por Stuxnet y el periódico estatal Iran Daily citó a Reza Taghipour , ministro de telecomunicaciones de Irán, diciendo que no había causado "daños graves a los sistemas gubernamentales". [90] El director del Consejo de Tecnología de la Información del Ministerio de Industrias y Minas de Irán, Mahmud Liaii, ha dicho que: "Se ha lanzado una guerra electrónica contra Irán... Este gusano informático está diseñado para transferir datos sobre las líneas de producción de nuestras plantas industriales a lugares fuera de Irán". [112]
En respuesta a la infección, Irán reunió un equipo para combatirla. Con más de 30.000 direcciones IP afectadas en Irán, un funcionario dijo que la infección se estaba propagando rápidamente en Irán y que el problema se había agravado por la capacidad de Stuxnet para mutar. Irán había establecido sus propios sistemas para limpiar las infecciones y había desaconsejado el uso del antivirus Siemens SCADA, ya que se sospecha que el antivirus contiene un código integrado que actualiza Stuxnet en lugar de eliminarlo. [113] [114] [115] [116]
Según Hamid Alipour, subdirector de la Compañía de Tecnología de la Información del gobierno iraní, "el ataque sigue en curso y se están propagando nuevas versiones de este virus". Informó de que su compañía había iniciado el proceso de limpieza en los "centros y organizaciones sensibles" de Irán. [114] "Habíamos previsto erradicar el virus en uno o dos meses, pero el virus no es estable y desde que comenzamos el proceso de limpieza se han propagado tres nuevas versiones", declaró a la Agencia de Noticias de la República Islámica el 27 de septiembre de 2010. [116]
El 29 de noviembre de 2010, el presidente iraní Mahmud Ahmadineyad declaró por primera vez que un virus informático había causado problemas con el controlador que manejaba las centrifugadoras en sus instalaciones de Natanz. Según Reuters, dijo a los periodistas en una conferencia de prensa en Teherán: "Consiguieron crear problemas en un número limitado de nuestras centrifugadoras con el software que habían instalado en los componentes electrónicos". [117] [118]
El mismo día, dos científicos nucleares iraníes fueron blanco de ataques separados, pero casi simultáneos, con coches bomba cerca de la Universidad Shahid Beheshti en Teherán. Majid Shahriari , un físico cuántico, fue asesinado. Fereydoon Abbasi , un alto funcionario del Ministerio de Defensa, resultó gravemente herido. Wired especuló que los asesinatos podrían indicar que quienquiera que estuviera detrás de Stuxnet sintió que no era suficiente detener el programa nuclear. [119] Ese mismo artículo de Wired sugirió que el gobierno iraní podría haber estado detrás de los asesinatos. [119] En enero de 2010, otro científico nuclear iraní, un profesor de física en la Universidad de Teherán , murió en una explosión de bomba similar. [119] El 11 de enero de 2012, un director de la instalación de enriquecimiento nuclear de Natanz, Mostafa Ahmadi Roshan , murió en un ataque bastante similar al que mató a Shahriari. [120]
Un análisis del FAS demuestra que la capacidad de enriquecimiento de Irán aumentó durante 2010. El estudio indicó que las centrifugadoras iraníes parecían funcionar un 60% mejor que el año anterior, lo que reduciría significativamente el tiempo que tardaría Teherán en producir uranio apto para bombas. El informe del FAS fue revisado por un funcionario del OIEA que confirmó el estudio. [121] [122] [123]
Funcionarios europeos y estadounidenses, junto con expertos privados, dijeron a Reuters que los ingenieros iraníes lograron neutralizar y purgar Stuxnet de la maquinaria nuclear de su país. [124]
Dado el crecimiento de la capacidad de enriquecimiento de uranio de Irán en 2010, es posible que el país haya difundido intencionalmente información errónea para hacer creer a los creadores de Stuxnet que el gusano tuvo más éxito en deshabilitar el programa nuclear iraní de lo que realmente tuvo. [38]
Israel , a través de la Unidad 8200 , [125] [126] ha sido especulado como el país detrás de Stuxnet en muchos informes de los medios [89] [102] [127] y por expertos como Richard A. Falkenrath , ex Director Senior de Política y Planes dentro de la Oficina de Seguridad Nacional de los EE. UU . [128] [90] Yossi Melman, quien cubre inteligencia para el periódico israelí Haaretz y escribió un libro sobre inteligencia israelí, también sospechó que Israel estaba involucrado, señalando que Meir Dagan , el ex (hasta 2011) jefe de la agencia de inteligencia nacional Mossad , tuvo su mandato extendido en 2009 porque se decía que estaba involucrado en proyectos importantes. Además, en 2010 Israel comenzó a esperar que Irán tuviera un arma nuclear en 2014 o 2015, al menos tres años más tarde que las estimaciones anteriores, sin la necesidad de un ataque militar israelí a las instalaciones nucleares iraníes; "Parece que saben algo, que tienen más tiempo del que se pensaba originalmente", añadió. [27] [61] Israel no ha comentado públicamente el ataque Stuxnet, pero en 2010 confirmó que la ciberguerra estaba ahora entre los pilares de su doctrina de defensa, con una unidad de inteligencia militar creada para perseguir opciones tanto defensivas como ofensivas. [129] [130] [131] Cuando se les preguntó si Israel estaba detrás del virus en el otoño de 2010, algunos funcionarios israelíes [¿ quiénes? ] esbozaron "amplias sonrisas", alimentando la especulación de que el gobierno de Israel estaba involucrado en su génesis. [132] El asesor presidencial estadounidense Gary Samore también sonrió cuando se mencionó Stuxnet, [61] aunque los funcionarios estadounidenses han sugerido que el virus se originó en el extranjero. [132] Según The Telegraph , el periódico israelí Haaretz informó que un video que celebraba los éxitos operativos de Gabi Ashkenazi , Jefe de Estado Mayor retirado de las Fuerzas de Defensa de Israel (FDI), se mostró en su fiesta de retiro e incluyó referencias a Stuxnet, fortaleciendo así las afirmaciones de que las fuerzas de seguridad de Israel eran responsables. [133]
En 2009, un año antes de que se descubriera Stuxnet, Scott Borg, de la Unidad de Consecuencias Cibernéticas de los Estados Unidos (US-CCU) [134], sugirió que Israel podría preferir montar un ciberataque en lugar de un ataque militar contra las instalaciones nucleares de Irán. [111] A finales de 2010, Borg declaró: "Israel ciertamente tiene la capacidad de crear Stuxnet y hay pocas desventajas en un ataque de ese tipo porque sería virtualmente imposible probar quién lo hizo. Por lo tanto, una herramienta como Stuxnet es el arma obvia de elección de Israel". [135] Irán utiliza centrifugadoras P-1 en Natanz, cuyo diseño robó AQ Khan en 1976 y llevó a Pakistán. Su red de proliferación nuclear en el mercado negro vendió P-1 a, entre otros clientes, Irán. Los expertos creen que Israel también adquirió de alguna manera P-1 y probó Stuxnet en las centrifugadoras, instaladas en la instalación de Dimona que es parte de su propio programa nuclear . [61] El equipo puede ser de Estados Unidos, que recibió los P-1 del antiguo programa nuclear de Libia . [136] [61]
Algunos también han citado varias pistas en el código, como una referencia oculta a la palabra MYRTUS , que se cree que hace referencia al nombre latino myrtus del árbol de mirto , que en hebreo se llama hadassah . Hadassah era el nombre de nacimiento de la ex reina judía de Persia, la reina Ester . [137] [138] Sin embargo, puede ser que la referencia "MYRTUS" sea simplemente una referencia malinterpretada a los componentes SCADA conocidos como RTU (Unidades Terminales Remotas) y que esta referencia sea en realidad "Mis RTU", una característica de gestión de SCADA. [139] Además, el número 19790509 aparece una vez en el código y puede referirse a la fecha 1979 May 09 , el día en que Habib Elghanian , un judío persa, fue ejecutado en Teherán . [67] [140] [141] Otra fecha que aparece en el código es el "24 de septiembre de 2007", el día en que el presidente de Irán, Mahmoud Ahmadinejad, habló en la Universidad de Columbia e hizo comentarios que cuestionaban la validez del Holocausto . [38] Estos datos no son concluyentes, ya que, como señaló Symantec, "... los atacantes tendrían el deseo natural de implicar a otra parte". [67]
También ha habido informes sobre la participación de los Estados Unidos y su colaboración con Israel, [142] [143] con un informe que afirma que "hay muy pocas dudas de que [jugó] un papel en la creación del gusano". [38] Se ha informado de que Estados Unidos, en el marco de uno de sus programas más secretos, iniciado por la administración Bush y acelerado por la administración Obama , [144] ha tratado de destruir el programa nuclear de Irán mediante métodos novedosos, como socavar los sistemas informáticos iraníes. Un cable diplomático filtrado mostró cómo se aconsejó a Estados Unidos que atacara las capacidades nucleares de Irán mediante un "sabotaje encubierto". [145] Un artículo del New York Times de enero de 2009 atribuyó a un programa entonces no especificado la prevención de un ataque militar israelí contra Irán, donde algunos de los esfuerzos se centraron en formas de desestabilizar las centrifugadoras. [146] Un artículo de Wired afirmó que "se cree que Stuxnet fue creado por los Estados Unidos". [147] El historiador holandés Peter Koop especuló que las Operaciones de Acceso a Medida podrían haber desarrollado Stuxnet, posiblemente en colaboración con Israel. [148]
El hecho de que John Bumgarner, ex oficial de inteligencia y miembro de la Unidad de Consecuencias Cibernéticas de los Estados Unidos (US-CCU), publicara un artículo antes de que Stuxnet fuera descubierto o descifrado, en el que se esbozaba un ciberataque estratégico contra las centrifugadoras [149] y se sugería que los ciberataques son permisibles contra estados nacionales que están llevando a cabo programas de enriquecimiento de uranio que violan los tratados internacionales, da cierta credibilidad a estas afirmaciones. Bumgarner señaló que las centrifugadoras utilizadas para procesar combustible para armas nucleares son un objetivo clave para las operaciones de ciberataque y que se puede hacer que se autodestruyan manipulando sus velocidades de rotación. [150]
En una entrevista de marzo de 2012 con 60 Minutes , el general retirado de la Fuerza Aérea estadounidense Michael Hayden –que se desempeñó como director tanto de la Agencia Central de Inteligencia como de la Agencia de Seguridad Nacional– , aunque negó tener conocimiento de quién creó Stuxnet, dijo que creía que había sido "una buena idea", pero que tenía un inconveniente, ya que había legitimado el uso de armas cibernéticas sofisticadas diseñadas para causar daños físicos. Hayden dijo: "Hay quienes pueden echarle un vistazo a esto... y tal vez incluso intentar utilizarlo para sus propios fines". En el mismo informe, Sean McGurk, un ex funcionario de seguridad cibernética del Departamento de Seguridad Nacional, señaló que el código fuente de Stuxnet ahora se podía descargar en línea y modificar para que se dirigiera a nuevos sistemas objetivo. Hablando de los creadores de Stuxnet, dijo: "Abrieron la caja. Demostraron la capacidad... No es algo que se pueda devolver". [151]
En abril de 2011, el funcionario del gobierno iraní Gholam Reza Jalali declaró que una investigación había concluido que Estados Unidos e Israel estaban detrás del ataque Stuxnet. [152] Frank Rieger afirmó que las agencias de inteligencia de tres países europeos coincidieron en que Stuxnet era un esfuerzo conjunto de Estados Unidos e Israel. El código para el inyector de Windows y la carga útil del PLC difieren en estilo, lo que probablemente implica una colaboración. Otros expertos creen que es poco probable que haya una cooperación entre Estados Unidos e Israel porque "el nivel de confianza entre los servicios de inteligencia y los establecimientos militares de los dos países no es alto". [38]
Un artículo de la revista Wired sobre el general estadounidense Keith B. Alexander afirmaba: "Él y sus guerreros cibernéticos ya han lanzado su primer ataque. El arma cibernética que llegó a conocerse como Stuxnet fue creada y construida por la NSA en asociación con la CIA y la inteligencia israelí a mediados de la década de 2000". [153]
China , [154] Jordania y Francia son otras posibilidades, y Siemens también puede haber participado. [38] [142] Langner especuló que la infección puede haberse propagado desde unidades USB pertenecientes a contratistas rusos, ya que los objetivos iraníes no eran accesibles a través de Internet. [21] [155] En 2019, se informó que un topo iraní que trabajaba para la inteligencia holandesa a instancias de Israel y la CIA insertó el virus Stuxnet con una unidad flash USB o convenció a otra persona que trabajaba en las instalaciones de Natanz para que lo hiciera. [156] [157]
Sandro Gaycken, de la Universidad Libre de Berlín, argumentó que el ataque a Irán fue una artimaña para distraer la atención del verdadero propósito de Stuxnet. Según él, su amplia difusión en más de 100.000 plantas industriales en todo el mundo sugiere una prueba de campo de un arma cibernética en diferentes culturas de seguridad, poniendo a prueba su preparación, resiliencia y reacciones, toda información muy valiosa para una unidad de guerra cibernética. [158]
El Reino Unido ha negado su participación en la creación del gusano. [159]
En julio de 2013, Edward Snowden afirmó que Stuxnet fue desarrollado en cooperación entre Estados Unidos e Israel. [160]
Según un informe de Reuters, la NSA también intentó sabotear el programa nuclear de Corea del Norte utilizando una versión de Stuxnet. La operación habría sido lanzada en tándem con el ataque que tuvo como objetivo las centrifugadoras iraníes en 2009-10. El programa nuclear norcoreano comparte muchas similitudes con el iraní, ya que ambos fueron desarrollados con tecnología transferida por el científico nuclear paquistaní AQ Khan . Sin embargo, el esfuerzo fracasó porque el extremo secreto y aislamiento de Corea del Norte hicieron imposible introducir Stuxnet en la instalación nuclear. [161]
En 2018, Gholamreza Jalali, jefe de la Organización Nacional de Defensa Pasiva (NPDO) de Irán, afirmó que su país había rechazado un ataque similar al de Stuxnet contra la infraestructura de telecomunicaciones del país. El ministro de Telecomunicaciones de Irán, Mohammad-Javad Azari Jahromi, ha acusado desde entonces a Israel de orquestar el ataque. Irán planea demandar a Israel a través de la Corte Internacional de Justicia (CIJ) y también está dispuesto a lanzar un ataque de represalia si Israel no desiste. [162]
Un artículo de noviembre de 2013 [163] en la revista Foreign Policy afirma la existencia de un ataque anterior, mucho más sofisticado, contra el complejo de centrifugadoras de Natanz, centrado en aumentar la tasa de fallos de las centrifugadoras durante un largo período de tiempo induciendo de forma sigilosa incidentes de sobrepresión de gas hexafluoruro de uranio. Este malware era capaz de propagarse únicamente mediante su instalación física, probablemente mediante equipos de campo previamente contaminados utilizados por contratistas que trabajaban en los sistemas de control de Siemens dentro del complejo. No está claro si este intento de ataque tuvo éxito, pero el hecho de que fuera seguido por un ataque diferente, más simple y más convencional es indicativo.
El 1 de septiembre de 2011, se encontró un nuevo gusano, que se cree que está relacionado con Stuxnet. El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad de Tecnología y Economía de Budapest analizó el malware y denominó la amenaza Duqu . [164] [165] Symantec , basándose en este informe, continuó el análisis de la amenaza, llamándola "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y publicó un documento técnico detallado. [166] El componente principal utilizado en Duqu está diseñado para capturar información [62] como pulsaciones de teclas e información del sistema. Los datos exfiltrados pueden usarse para permitir un futuro ataque similar a Stuxnet. El 28 de diciembre de 2011, el director de investigación y análisis global de Kaspersky Lab habló con Reuters sobre los resultados de una investigación reciente que muestra que la plataforma Stuxnet y Duqu se originaron en 2007 y se las conoce como Tilded debido al ~d al comienzo de los nombres de archivo. También se descubrió en esta investigación la posibilidad de tres variantes más basadas en la plataforma Tilded. [167]
En mayo de 2012 se descubrió el nuevo malware "Flame", que se cree que está relacionado con Stuxnet. [168] Los investigadores bautizaron el programa como "Flame" por el nombre de uno de sus módulos. [168] Después de analizar el código de Flame, Kaspersky Lab afirmó que existe una fuerte relación entre Flame y Stuxnet. Una versión anterior de Stuxnet contenía un código para propagar infecciones a través de unidades USB que es casi idéntico a un módulo de Flame que explota la misma vulnerabilidad. [169]
Desde 2010, Stuxnet y sus consecuencias han recibido una amplia cobertura mediática internacional. En un comentario inicial, The Economist señaló que Stuxnet era "un nuevo tipo de ciberataque". [170] El 8 de julio de 2011, Wired publicó un artículo que detallaba cómo los expertos en seguridad de redes lograron descifrar los orígenes de Stuxnet. En ese artículo, Kim Zetter afirmó que la "relación costo-beneficio" de Stuxnet "aún está en duda". [171] Los comentaristas posteriores tendieron a centrarse en la importancia estratégica de Stuxnet como arma cibernética. Después del artículo de Wired, Holger Stark calificó a Stuxnet como la "primera arma digital de importancia geopolítica, que podría cambiar la forma en que se libran las guerras". [172] Mientras tanto, Eddie Walsh se refirió a Stuxnet como "la nueva amenaza asimétrica de alto nivel del mundo". [173] En última instancia, algunos afirman que "la amplia cobertura mediática brindada a Stuxnet solo ha servido como publicidad de las vulnerabilidades utilizadas por varios grupos cibercriminales". [174] Si bien ese puede ser el caso, la cobertura mediática también ha aumentado la conciencia sobre las amenazas a la seguridad cibernética.
El documental de 2016 de Alex Gibney , Zero Days , trata el fenómeno en torno a Stuxnet. [175] Una vulnerabilidad de día cero (también conocida como 0-day) es una vulnerabilidad de software informático que es desconocida o no ha sido abordada por aquellos que deberían estar interesados en mitigar la vulnerabilidad (incluido el proveedor del software objetivo). Hasta que la vulnerabilidad se mitigue, los piratas informáticos pueden explotarla para afectar negativamente a los programas informáticos, los datos, otras computadoras o una red.
En 2016, se reveló que el general James Cartwright , exjefe del Comando Estratégico de Estados Unidos, había filtrado información relacionada con Stuxnet. Posteriormente se declaró culpable de mentir a los agentes del FBI que investigaban la filtración. [176] [177] El 17 de enero de 2017, el presidente Obama le concedió un indulto total en este caso, anulando así su condena.
Además del mencionado documental de Alex Gibney Zero Days (2016), que analiza el malware y la ciberguerra que lo rodea, otros trabajos que hacen referencia a Stuxnet incluyen: