En medio de la cacería internacional del técnico de la Agencia de
Seguridad Nacional, Edward Snowden, quien reveló que el gobierno de
Washington espió a millones de estadunidenses e instituciones de otros
países, y la reactivación del juicio al soldado Bradley Manning, quien
filtró cientos de miles de documentos confidenciales al sitio Wikileaks,
casi pasó inadvertida la acusación contra James E. Cartwright, un
general retirado que habría contado a la prensa los detalles de un
ataque cibernético secreto contra Irán en 2010.
La noticia quizá
no se destacó porque ya desde hace un año se conocía la participación de
Estados Unidos e Israel en la introducción de un virus informático en
la planta nuclear de Natanz, con el fin de frenar el programa atómico
iraní que Teherán afirma es con fines pacíficos, y estadunidenses e
israelíes aseguran que tiene objetivos bélicos.
En junio de 2012,
el corresponsal de The New York Times en Washington, David E. Sanger,
publicó un adelanto de su libro Confront and Conceal: Obama´s Secret
Wars and Surprising Use of American Power, en el que tras 18 meses de
investigación y entrevistas a exfuncionarios y personal militar retirado
de Estados Unidos, Europa e Israel involucrados en el programa,
confirmó que el virus conocido como Stuxnet había sido infiltrado en las
instalaciones nucleares iraníes no sólo para impedir la fabricación de
armas atómicas, sino para disuadir a Israel de lanzar un ataque
preventivo contra Teherán.
Por lo tanto, aquí lo revelador no es
el hecho, sino el peso del personaje acusado de filtración. El 28 de
junio pasado, la cadena televisiva NBC informó que Cartwright, un
general de cuatro estrellas retirado hace dos años, habría sido uno de
los informantes anónimos del periodista. Sanger dijo que ninguno de sus
entrevistados había querido dar su nombre, porque mientras realizó la
investigación el operativo todavía era calificado como “altamente
confidencial” y algunos de sus programas seguían en curso.
Según
el artículo del rotativo neoyorkino, el presidente Barack Obama habría
ordenado personalmente el ataque con el virus Stuxnet a las
instalaciones nucleares de Irán e inclusive habría acelerado ese plan
secreto heredado de su antecesor, George W. Bush, y conocido con la
clave de “Juegos Olímpicos”. La infiltración del gusano informático
inhabilitó por lo menos mil de las seis mil centrifugadoras de la planta
de Natanz y retrasó por meses el avance del programa atómico iraní.
Revelado el hecho, el Congreso estadunidense exigió una investigación
criminal, no por el ataque encubierto a un país soberano, sino para
saber quién había filtrado la información. Obama, exhibido, advirtió que
tendría “tolerancia cero” hacia este tipo de filtraciones.
El
diario británico The Guardian reseñó que la revelación inclusive tuvo
repercusiones políticas, ya que los republicanos acusaron a altos
funcionarios de la administración demócrata de pasar los datos para
apuntalar los méritos de Obama en materia de seguridad nacional durante
su campaña presidencial de 2012.
Como quiera, la investigación
encabezada por el secretario de Justicia, Eric Holder, y el fiscal
general del estado de Maryland, Rod Rosenstein, siguió su curso y algo
descubrió, porque ahora tiene en la mira a Cartwright, quien tendrá que
presentarse a declarar, y sus declaraciones podrían volver el asunto aún
más explosivo, ya que el condecorado general es más que un militar de
alto rango.
James E. Cartwright fue vicepresidente del Estado
Mayor Conjunto de Estados Unidos de 2007 a 2011 y jugó un papel central
en el desarrollo y ejecución de la operación cibernética secreta contra
Irán. De hecho, el artículo del Times lo menciona dos veces por su
nombre, pero no como declarante, sino como actor de la trama. En la
primera, a la letra dice:
“Durante años, la CIA introdujo partes y
programas defectuosos dentro de los sistemas de Irán –inclusive
ajustando refacciones importadas para que éstos estallaran–, pero el
sabotaje tuvo efectos reducidos. Entonces, el general James E.
Cartwright, quien había establecido un pequeño centro de operaciones
cibernéticas dentro del Comando Estratégico de Estados Unidos,
responsable de muchas de la fuerzas nucleares del país, se reunió con
varios oficiales de inteligencia para presentar al presidente Bush y a
su equipo de seguridad nacional una idea nueva y radical: un arma
cibernética mucho más sofisticada de la que Estados Unidos hubiera
diseñado jamás”.
Bush se mostró escéptico, dice Sanger, pero a
falta de otras opciones autorizó el proyecto. Después de meses de
trabajo preparatorio, la Agencia de Seguridad Nacional y una unidad
secreta de Israel, a la que los funcionarios de inteligencia
estadunidenses respetaban mucho por sus habilidades informáticas, “se
pusieron a trabajar para desarrollar el extremadamente complicado gusano
cibernético que atacaría de ahí en adelante”.
Sin embargo, cuando
Bush terminó su periodo, ningún daño mayor a las instalaciones
nucleares de Irán se había logrado, por lo que el presidente saliente le
pidió a su sucesor que mantuviera dos programas clasificados: los
“Juegos Olímpicos” y el despliegue de drones en Pakistán. Barack Obama
siguió su consejo.
Aunque durante su campaña había expresado su
preocupación sobre las implicaciones que el manejo informático podía
tener en la privacidad de las personas, en redes de infraestructura y en
el control del tráfico aéreo, el demócrata muy pronto descubrió las
virtudes de una guerra cibernética, escribió Sanger. Obama autorizó que
continuaran los ataques con el virus contra las instalaciones nucleares
de Irán; cada determinado número de semanas recibiría un informe y,
dependiendo de él, autorizaría el siguiente paso.
Todo iba bien
hasta el verano de 2010, cuando un error de programación hizo que el
gusano cibernético, que nunca debió abandonar las instalaciones de
Natanz, se difundiera por la red. Y ahí es donde el Times cita otra vez
por su nombre al general sospechoso: “Les tocó al señor León Panetta
(entonces secretario de Defensa) y a dos actores cruciales de “Juegos
Olímpicos” –el general Cartwright, vicepresidente del Estado Mayor
Conjunto, y Michael J. Morell, subdirector de la CIA– darle las malas
noticias al presidente Obama y al vicepresidente Biden”.
Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por defecto para obtener el control.
El fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".
La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales. En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.
El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente. Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano
Además, Stuxnet es extrañamente grande, ocupando medio megabyte y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.
Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.
Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.
No quedó
claro quién fue causante del error, pero los estadunidenses
responsabilizaron a los israelíes. Suelto en el ciberespacio, el virus
podía ser diseccionado por otros especialistas informáticos y
descubiertos sus propósitos. A pesar del riesgo, Obama ordenó que los
ataques continuaran. Con una nueva variante, el virus inhabilitó en Irán
a poco más de mil centrifugadoras.
Retozando libremente por la
red, por supuesto que el gusano llamó la atención de otros expertos
informáticos, particularmente de los desarrolladores de programas
antivirus y, entre ellos, el gigante alemán Siemens, cuyos sistemas
automatizados de control industrial –que operan en fábricas, refinerías,
plantas químicas y plantas nucleares como la de Natanz– aparecían como
los más atacados.
Transmitido primero por un dispositivo USB, el
virus, que tras su aparición pública fue bautizado como Stuxnet, había
infectado hacia julio de 2012 unas 50 mil computadoras y, según refirió
Siemens, unos 15 sistemas de control, la mayoría en Alemania. También se
rumoró que era causante de una falla en el satélite INSAT-4B de la
India. Sin embargo, en ningún lado se reportaron daños físicos mayores y
todos los programas antivirus detectaban y eliminaban a Stuxnet de los
sistemas Windows.
Ese mismo mes corrían ya versiones de que un
gobierno –los principales sospechosos eran desde el principio Estados
Unidos e Israel– había diseñado el virus para atacar las plantas
nucleares de Irán.
En un artículo publicado por la revista Forbes,
Bruce Schneier, jefe de seguridad cibernética de la empresa BT,
escribió que se trataba de una historia atractiva que “combina ataques
cibernéticos, energía nuclear, agencias de espionaje y un país visto
como paria por muchos en el mundo”. Pero, alertaba, todo se basa en
especulaciones: “No sabemos quién creó Stuxnet ni para qué. Tampoco
sabemos cuál era su blanco ni si lo alcanzó”. Y apostó a que nunca se
revelaría el misterio.
Aceptó, sin embargo, que Stuxnet no se
comportaba como un virus criminal, que su creación fue muy costosa y que
se habrían requerido de ocho a 10 personas durante por lo menos seis
meses para diseñarlo. “Quien quiera que haya sido estaba dispuesto a
gastar mucho dinero para asegurarse de que la tarea que tenía que hacer
fuera hecha”.
Dos meses después ya había más evidencias y The
Guardian tituló una de sus notas “Stuxnet obra de una agencia
gubernamental”. Escrita por Josh Halliday, describía al virus como “la
pieza más refinada jamás descubierta” y destacaba la coincidencia de sus
entrevistados en que por sus características y costo no podía ser obra
de un particular. Para entonces, 60% de las computadoras infectadas
estaban en Irán.
Alan Bently, vicepresidente de la empresa de
seguridad Lumension, por ejemplo, dijo que el gusano “no tiene como
propósito hacer travesuras en la red u obtener ganacias financieras,
sino que está dirigido al núcleo de una infraestructura crítica”.
Consideró que evidencias circunstanciales apuntaban a Irán como blanco,
entre ellas el hecho de que el virus fuera identificado por una empresa
informática bielorrusa que trabajaba para un cliente iraní, y que la
planta nuclear de Natanz llevara meses sin funcionar correctamente.
“Pero no podemos estar seguros”, remató.
Graham Cluley, de la
compañía de seguridad Sophos, alertó sobre “conclusiones
sensacionalistas que no se pueden probar 100%”, pero aceptó que “es más
apropiado hablar de un ataque patrocinado por un Estado que de un
ciberataque terrorista”. Desde su óptica se estaba entrando a “una
tercera era, en la que Internet puede ser explotada política, económica y
militarmente”.
Rik Ferguson, asesor de Trend Micro, consideró por
su parte que parecía un “ataque dirigido”, porque la mayor parte de las
infecciones se concentraba en el Medio Oriente. “Probablemente el
blanco era Irán y los demás son daños colaterales”, dedujo. David Emm,
investigador en seguridad de Kaspersky Lab, insistió en que por su
sofisticación y características, Stuxnet sugería “la participación de un
Estado y objetivos de sabotaje”.
Ninguno de los consultados se
atrevió a señalar un responsable. Sin embargo, entrevistado en noviembre
de 2010 por la agencia Reuters, Olli Heinonen, exsubdirector de la
Agencia Internacional de Energía Atómica, concedió que el retraso en el
programa de enriquecimiento de uranio de la planta nuclear iraní de
Natanz podía deberse al ataque de Stuxnet. “Seguro, éste puede ser uno
de los motivos”, dijo.
Cuestionados al respecto, ni el gobierno de
Estados Unidos ni el de Israel hicieron comentario alguno. El régimen
de Teherán tampoco dijo nada, porque no quería confirmar que sus
centrifugadoras efectivamente habían sido vulneradas por el virus. Pero
todo el misterio se develó con el artículo del New York Times y el libro
de David Sanger. Tal vez ahora que declare el general Cartwright nos
quiera contar más detalles.
Cortesía de
Miss Chiches USB v. 3.0
