Stuxnet es considerado la primera arma digital de la historia. Su irrupción en el tablero geopolítico sentó las bases que han inaugurado un tipo de guerra diferente. Batallas que no se libran en teatros operacionales convencionales sino en el ciberespacio, un escenario que hace imposible discernir el bien del mal y en el que, cada paso que se inicia, supone asumir un riesgo de consecuencias imprevisibles…acaso apocalípticas.
Las disputas geopolíticas han cambiado; decía Clausewitz que la guerra es la continuación de la política por otros medios. Esta declaración sigue tan vigente hoy como en el siglo XIX: cuando la diplomacia ha agotado sus recursos, se abre paso el conflicto bélico. La diferencia es que antaño el poder de las naciones y su fuerza intimidatoria dependía del número de sus soldados y la calidad y cantidad de su armamento, hoy el panorama es harto distinto.
Las nuevas armas se basan en la sofisticación tecnológica y en el ataque invisible, trepidante y fugaz. Los drones, aviones espía, armamento de gran poder destructivo, etc., ocupan ahora los escenarios bélicos que antes llenaban decenas de miles de soldados agolpados en angostas trincheras disparándose proyectiles día tras día de forma inmisericorde.
El escenario geopolítico.
El programa nuclear de Irán tiene sus orígenes en la época del todopoderoso sha de Persia: Reza Pahleví, en la década de 1950, contando con el beneplácito de Estados Unidos. Este programa perseguía el sueño iraní de desarrollar tecnología nuclear para fines civiles y pacíficos, en palabras de sus responsables. Tras la Revolución del 1979, el programa fue suspendido de manera temporal. Cuando se reanudó, ya no contaba con el apoyo occidental del que gozó en sus orígenes. Posteriormente, el programa nuclear iraní constaba de varios laboratorios de investigación, una mina de uranio, un reactor nuclear y algunas instalaciones de procesamiento de uranio. Según Irán, el fin de su programa era generar energía nuclear de uso civil, pero el convencimiento del OIEA (Organismo Internacional de Energía Atómica), ONU y demás potencias y organismos occidentales de que lo que en realidad perseguía era proveerse de armas nucleares, desembocaron en el llamado Conflicto Nuclear iraní.
Al iniciarse el nuevo milenio, EE. UU incrementó sus sospechas de que Irán, con el cual mantenía un conflicto desde 1979, estaba diseñando y produciendo armas nucleares de forma encubierta.
En 2002 estas suposiciones se materializaron cuando se descubrió que se estaba construyendo una infraestructura secreta de enriquecimiento de uranio cerca de la ciudad iraní de Natanz. Esta instalación nunca fue declarada por Irán, que era miembro del Tratado de No Proliferación Nuclear que obliga a notificar todo aquello que se desarrolle o construya en este ámbito, el no hacerlo constituye una violación del acuerdo con el OIEA.
Por su tamaño, se concluyó que esta central era demasiado pequeña para generar energía para uso civil, este correspondía, más bien, al de una central nuclear usada con fines armamentísticos, para enriquecer uranio. Aunque Irán negó las acusaciones, en el año 2003 accedió a suspender la actividad nuclear de Natanz, sin embargo, dos años más tarde, el nuevo presidente, Mahmoud Ahmadinejad, volvió a activar el programa de forma desafiante y, en cuestión de meses, la central de Natanz estaba enriqueciendo uranio de nuevo. La ONU impuso sanciones sobre Irán y, en una crisis de intensidad creciente, en el 2009 el presidente de Israel, Benjamín Netanyahu, exigió a la ONU que zanjase el problema de una vez, amenazando con bombardear la central de Natanz de forma unilateral.
Aparición de Stuxnet.
En esta vorágine, en julio de 2010, un misterioso virus aparece de forma imponente, Stuxnet: la primera arma digital de la historia. Se trata de un enemigo tan eficaz como inquietante, pues su ataque puede llegar a ser devastador y, su atacante, absolutamente anónimo.
Una empresa de seguridad informática bielorrusa fue la primera en descubrir la amenaza. A raíz del hallazgo, los expertos de Symantec, empresa líder mundial en ciberseguridad, analizaron y desentrañaron el código, tardando más de tres meses en hacerlo. Teniendo en cuenta que Symantec emplean entre cinco y veinte minutos para analizar una amenaza convencional, podemos tener una idea de la complejidad de este código.
El virus aprovechaba hasta cuatro vulnerabilidades de día cero, algo absolutamente insólito y desconcertante. Una vulnerabilidad de día cero (ataque día cero) es una brecha -error de programación- en la seguridad del software, que puede afectar a un navegador, a un sistema operativo o a un programa cualquiera. Esta vulnerabilidad es aprovechada por el atacante para penetrar y ejecutar un código en dicho equipo o sistema de manera inadvertida para el usuario. Los día cero son muy valiosos al ser extraordinariamente inusuales.
Este software malicioso incluía además líneas de SCADA, una tecnología para ordenadores que permite controlar y supervisar procesos industriales a distancia: robots, sistemas automatizados, centrales eléctricas y un sinfín de infraestructuras industriales. Algo nunca visto antes por los expertos en ciberseguridad.
El virus también era capaz de dirigir los PLC, controladores lógicos programables, computadoras usadas para automatizar procesos electromecánicos tales como máquinas de fábricas, sistemas de calefacción, atracciones mecánicas, cadenas de montaje, etcétera.
Es el primer virus informático que permite causar estragos en el mundo físico, los atacantes adquieren control total sobre el equipamiento que gestiona material crítico, lo cual lo hace extremadamente peligroso.
Requirió importantes fondos económicos para ser desarrollado y no existen actualmente muchos grupos que puedan crear una amenaza de este tipo.
Se trata de un complejísimo código que requiere el concurso de diversas tecnologías y la coordinación de equipos multidisciplinares. Los expertos estiman que se necesitaron entre cinco y diez personas, trabajando durante seis meses, para desarrollar este proyecto. Además, los involucrados debían tener conocimiento de sistemas de control industrial y acceso a dichos sistemas para realizar pruebas de calidad, con lo que el proyecto precisó grandes dosis de organización, infraestructura y fondos económicos. En base a esto, los investigadores dedujeron que se trataba de algo tutelado o dirigido por uno o varios Estados o empresas multinacionales.
Una vez conocido todo lo anterior, se concluyó que el virus estaba especialmente diseñado para atacar y sabotear sistemas de control industrial, más específicamente, centrales nucleares.
Ataque letal
Sin motivo aparente, de forma repentina y sin activación previa de alarma o sistema de emergencia alguno, en la central de Natanz, las centrifugadoras comenzaron a actuar de manera muy extraña.
El virus, oculto en el sistema, observó cómo trabajaban las centrifugadoras de la central, registrando los datos generados de ese funcionamiento durante treinta días, como si se tratase de una cámara de vídeo. Luego, cuando su código atacó a dichas centrifugadoras, exhibió esa monitorización, reproduciendo los datos recogidos cuando todo era correcto en los paneles y sistemas de control, para que los técnicos no pudiesen detectar el comportamiento defectuoso que se estaba produciendo. Los treinta días no fueron un periodo elegido al azar, es lo que tardan en llenarse las centrifugadoras de uranio, se trata de un comportamiento notablemente perverso. El virus alteraba, por exceso o por defecto, su velocidad de giro, las reprogramaba. Los sistemas de aviso y el botón de parada de emergencia también estaban controlados y anulados por Stuxnet.
Incluso, cuando los operadores detectaron que la central estaba fuera de control, Stuxnet impidió el apagado de los sistemas.
Central y trabajadores estaban abocados a un final dantesco, a merced del enemigo más etéreo que ha surcado los anales de la historia.
Con el tiempo, la tensión provocada por las variaciones de velocidad provocó que las máquinas infectadas se colapsaran. Las centrifugadoras fueron destruidas sin que los ingenieros supiesen el motivo. La central cerró sus puertas.
Uno de los puntos más misteriosos de este ataque es la forma en la que Stuxnet penetró en la red informática de la central de Natanz, ya que esta no estaba conectada a Internet. Según Symantec, seguramente lo hizo a través de una memoria USB infectada. Esto implica que alguien introdujo, de forma deliberada o inconsciente, el virus en la central de uranio conectando una memoria a un ordenador de la misma: ¿Un ingeniero al que le infectaron el dispositivo de forma secreta?,¿un técnico que realizó el trabajo a cambio de alguna gratificación?,¿alguien que accedió a la central sin ser visto? …nunca lo sabremos. La primera arma digital de la historia había destruido físicamente su objetivo.
Las consecuencias
El presidente Ahmadinejad, tras reconocer el cierre de la central, culpó a Israel y a Estados Unidos de ser los creadores de Stuxnet.
Lo que ya era un secreto a voces trascendió a los medios. Efectivamente, no pasó mucho tiempo hasta que diversos periódicos y medios de comunicación, como el diario New York Times, publicasen artículos sumamente polémicos en el que afirmaban que, según fuentes confidenciales, el virus había sido desarrollado de forma conjunta por los Gobiernos de Estados Unidos e Israel, como parte de una operación secreta llamada Juegos Olímpicos. A tenor de las acusaciones, el Gobierno americano inició una investigación tendente a aclarar tan turbio asunto, dicha investigación quedó suspendida en el año 2015 sin arrojar ningún resultado.
Según la periodista Kim Zetter, que investigó el caso de Stuxnet para la revista Wired, Estados Unidos creó Stuxnet como arma precisa, desarrollada bajo un paraguas de legalidad, haciendo hincapié en no causar más daños que los estrictamente necesarios para cubrir su objetivo, o sea, hay unas preocupaciones implícitas acerca de los efectos legales que el uso del virus pudiese acarrear. Según Zetter este matiz arroja fuera del grupo de Estados sospechosos a países como China o Rusia, menos susceptibles, en teoría, a valorar la licitud de las acciones de sus Gobiernos o servicios secretos. Evidentemente el Ejecutivo de EE.UU. niega que existan evidencias o pruebas concluyentes de quién pudo estar detrás del diseño de Stuxnet.
La valoración de las consecuencias del ataque de Stuxnet no ofrece una exposición consensuada. Por una parte, su acción disuadió a Israel de un ataque aéreo sobre Irán, también retrasó el programa iraní al menos de seis meses a dos años, ganando tiempo para que se impusiese la diplomacia. No evitó, en cambio, el progreso armamentístico nuclear por parte de Irán, ya que este se vio asediado políticamente y su orgullo le hizo autoconvencerse de que tenía que hacer frente a esta nueva guerra digital y culminar sus planes nucleares. Un problema político quiso afrontarse con instrumentos técnicos.
Finalmente, tras años de sanciones por parte de la ONU, el 14 de julio de 2015, Irán y seis potencias internacionales lograron en Viena un acuerdo que limitaba el programa nuclear iraní a cambio de un levantamiento de las sanciones. Además de poner fin a décadas de desencuentros entre Washington y Teherán, el acuerdo puede reordenar los equilibrios geopolíticos de poder en una región sacudida por el terror extremista.
Lo innegable es que Stuxnet inaugura una nueva era que redefine el concepto de guerra. Nos movemos por terrenos difusos y altamente peligrosos, donde una nación puede atacar a otra sin declaración de hostilidades ni reconocimiento oficial de ofensivas, aun habiendo asolado parte de sus infraestructuras.
Hoy en día, muchos Estados llevan a cabo operaciones de guerra digital a espaldas de sus ciudadanos y de la opinión pública. El destino ha dictado sentencia: el futuro es digital.
En esta guerra cibernética todos somos víctimas potenciales y, por tanto, cada vez que encendamos nuestro ordenador o consultemos el teléfono móvil, deberemos indefectiblemente preguntarnos: ¿Seré yo el siguiente?
Puedes leer más sobre Ciberseguridad >> Panorama de la ciberseguridad en los smartphones