Ciberataque via STUXNET.

En medio de la cacería internacional del técnico de la Agencia de Seguridad Nacional, Edward Snowden, quien reveló que el gobierno de Washington espió a millones de estadunidenses e instituciones de otros países, y la reactivación del juicio al soldado Bradley Manning, quien filtró cientos de miles de documentos confidenciales al sitio Wikileaks, casi pasó inadvertida la acusación contra James E. Cartwright, un general retirado que habría contado a la prensa los detalles de un ataque cibernético secreto contra Irán en 2010.

La noticia quizá no se destacó porque ya desde hace un año se conocía la participación de Estados Unidos e Israel en la introducción de un virus informático en la planta nuclear de Natanz, con el fin de frenar el programa atómico iraní que Teherán afirma es con fines pacíficos, y estadunidenses e israelíes aseguran que tiene objetivos bélicos.

En junio de 2012, el corresponsal de The New York Times en Washington, David E. Sanger, publicó un adelanto de su libro Confront and Conceal: Obama´s Secret Wars and Surprising Use of American Power, en el que tras 18 meses de investigación y entrevistas a exfuncionarios y personal militar retirado de Estados Unidos, Europa e Israel involucrados en el programa, confirmó que el virus conocido como Stuxnet había sido infiltrado en las instalaciones nucleares iraníes no sólo para impedir la fabricación de armas atómicas, sino para disuadir a Israel de lanzar un ataque preventivo contra Teherán.

Por lo tanto, aquí lo revelador no es el hecho, sino el peso del personaje acusado de filtración. El 28 de junio pasado, la cadena televisiva NBC informó que Cartwright, un general de cuatro estrellas retirado hace dos años, habría sido uno de los informantes anónimos del periodista. Sanger dijo que ninguno de sus entrevistados había querido dar su nombre, porque mientras realizó la investigación el operativo todavía era calificado como “altamente confidencial” y algunos de sus programas seguían en curso.

Según el artículo del rotativo neoyorkino, el presidente Barack Obama habría ordenado personalmente el ataque con el virus Stuxnet a las instalaciones nucleares de Irán e inclusive habría acelerado ese plan secreto heredado de su antecesor, George W. Bush, y conocido con la clave de “Juegos Olímpicos”. La infiltración del gusano informático inhabilitó por lo menos mil de las seis mil centrifugadoras de la planta de Natanz y retrasó por meses el avance del programa atómico iraní.

Revelado el hecho, el Congreso estadunidense exigió una investigación criminal, no por el ataque encubierto a un país soberano, sino para saber quién había filtrado la información. Obama, exhibido, advirtió que tendría “tolerancia cero” hacia este tipo de filtraciones.

El diario británico The Guardian reseñó que la revelación inclusive tuvo repercusiones políticas, ya que los republicanos acusaron a altos funcionarios de la administración demócrata de pasar los datos para apuntalar los méritos de Obama en materia de seguridad nacional durante su campaña presidencial de 2012.

Como quiera, la investigación encabezada por el secretario de Justicia, Eric Holder, y el fiscal general del estado de Maryland, Rod Rosenstein, siguió su curso y algo descubrió, porque ahora tiene en la mira a Cartwright, quien tendrá que presentarse a declarar, y sus declaraciones podrían volver el asunto aún más explosivo, ya que el condecorado general es más que un militar de alto rango.

James E. Cartwright fue vicepresidente del Estado Mayor Conjunto de Estados Unidos de 2007 a 2011 y jugó un papel central en el desarrollo y ejecución de la operación cibernética secreta contra Irán. De hecho, el artículo del Times lo menciona dos veces por su nombre, pero no como declarante, sino como actor de la trama. En la primera, a la letra dice:

“Durante años, la CIA introdujo partes y programas defectuosos dentro de los sistemas de Irán –inclusive ajustando refacciones importadas para que éstos estallaran–, pero el sabotaje tuvo efectos reducidos. Entonces, el general James E. Cartwright, quien había establecido un pequeño centro de operaciones cibernéticas dentro del Comando Estratégico de Estados Unidos, responsable de muchas de la fuerzas nucleares del país, se reunió con varios oficiales de inteligencia para presentar al presidente Bush y a su equipo de seguridad nacional una idea nueva y radical: un arma cibernética mucho más sofisticada de la que Estados Unidos hubiera diseñado jamás”.

Bush se mostró escéptico, dice Sanger, pero a falta de otras opciones autorizó el proyecto. Después de meses de trabajo preparatorio, la Agencia de Seguridad Nacional y una unidad secreta de Israel, a la que los funcionarios de inteligencia estadunidenses respetaban mucho por sus habilidades informáticas, “se pusieron a trabajar para desarrollar el extremadamente complicado gusano cibernético que atacaría de ahí en adelante”.

Sin embargo, cuando Bush terminó su periodo, ningún daño mayor a las instalaciones nucleares de Irán se había logrado, por lo que el presidente saliente le pidió a su sucesor que mantuviera dos programas clasificados: los “Juegos Olímpicos” y el despliegue de drones en Pakistán. Barack Obama siguió su consejo.

Aunque durante su campaña había expresado su preocupación sobre las implicaciones que el manejo informático podía tener en la privacidad de las personas, en redes de infraestructura y en el control del tráfico aéreo, el demócrata muy pronto descubrió las virtudes de una guerra cibernética, escribió Sanger. Obama autorizó que continuaran los ataques con el virus contra las instalaciones nucleares de Irán; cada determinado número de semanas recibiría un informe y, dependiendo de él, autorizaría el siguiente paso.

Todo iba bien hasta el verano de 2010, cuando un error de programación hizo que el gusano cibernético, que nunca debió abandonar las instalaciones de Natanz, se difundiera por la red. Y ahí es donde el Times cita otra vez por su nombre al general sospechoso: “Les tocó al señor León Panetta (entonces secretario de Defensa) y a dos actores cruciales de “Juegos Olímpicos” –el general Cartwright, vicepresidente del Estado Mayor Conjunto, y Michael J. Morell, subdirector de la CIA– darle las malas noticias al presidente Obama y al vicepresidente Biden”.

Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.

La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por defecto para obtener el control.

El fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".
La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales. En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.

El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente. Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano

Además, Stuxnet es extrañamente grande, ocupando medio megabyte y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.

Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado. 

Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.

No quedó claro quién fue causante del error, pero los estadunidenses responsabilizaron a los israelíes. Suelto en el ciberespacio, el virus podía ser diseccionado por otros especialistas informáticos y descubiertos sus propósitos. A pesar del riesgo, Obama ordenó que los ataques continuaran. Con una nueva variante, el virus inhabilitó en Irán a poco más de mil centrifugadoras.

Retozando libremente por la red, por supuesto que el gusano llamó la atención de otros expertos informáticos, particularmente de los desarrolladores de programas antivirus y, entre ellos, el gigante alemán Siemens, cuyos sistemas automatizados de control industrial –que operan en fábricas, refinerías, plantas químicas y plantas nucleares como la de Natanz– aparecían como los más atacados.

Transmitido primero por un dispositivo USB, el virus, que tras su aparición pública fue bautizado como Stuxnet, había infectado hacia julio de 2012 unas 50 mil computadoras y, según refirió Siemens, unos 15 sistemas de control, la mayoría en Alemania. También se rumoró que era causante de una falla en el satélite INSAT-4B de la India. Sin embargo, en ningún lado se reportaron daños físicos mayores y todos los programas antivirus detectaban y eliminaban a Stuxnet de los sistemas Windows.

Ese mismo mes corrían ya versiones de que un gobierno –los principales sospechosos eran desde el principio Estados Unidos e Israel– había diseñado el virus para atacar las plantas nucleares de Irán.

En un artículo publicado por la revista Forbes, Bruce Schneier, jefe de seguridad cibernética de la empresa BT, escribió que se trataba de una historia atractiva que “combina ataques cibernéticos, energía nuclear, agencias de espionaje y un país visto como paria por muchos en el mundo”. Pero, alertaba, todo se basa en especulaciones: “No sabemos quién creó Stuxnet ni para qué. Tampoco sabemos cuál era su blanco ni si lo alcanzó”. Y apostó a que nunca se revelaría el misterio.

Aceptó, sin embargo, que Stuxnet no se comportaba como un virus criminal, que su creación fue muy costosa y que se habrían requerido de ocho a 10 personas durante por lo menos seis meses para diseñarlo. “Quien quiera que haya sido estaba dispuesto a gastar mucho dinero para asegurarse de que la tarea que tenía que hacer fuera hecha”.

Dos meses después ya había más evidencias y The Guardian tituló una de sus notas “Stuxnet obra de una agencia gubernamental”. Escrita por Josh Halliday, describía al virus como “la pieza más refinada jamás descubierta” y destacaba la coincidencia de sus entrevistados en que por sus características y costo no podía ser obra de un particular. Para entonces, 60% de las computadoras infectadas estaban en Irán.

Alan Bently, vicepresidente de la empresa de seguridad Lumension, por ejemplo, dijo que el gusano “no tiene como propósito hacer travesuras en la red u obtener ganacias financieras, sino que está dirigido al núcleo de una infraestructura crítica”. Consideró que evidencias circunstanciales apuntaban a Irán como blanco, entre ellas el hecho de que el virus fuera identificado por una empresa informática bielorrusa que trabajaba para un cliente iraní, y que la planta nuclear de Natanz llevara meses sin funcionar correctamente. “Pero no podemos estar seguros”, remató.

Graham Cluley, de la compañía de seguridad Sophos, alertó sobre “conclusiones sensacionalistas que no se pueden probar 100%”, pero aceptó que “es más apropiado hablar de un ataque patrocinado por un Estado que de un ciberataque terrorista”. Desde su óptica se estaba entrando a “una tercera era, en la que Internet puede ser explotada política, económica y militarmente”.

Rik Ferguson, asesor de Trend Micro, consideró por su parte que parecía un “ataque dirigido”, porque la mayor parte de las infecciones se concentraba en el Medio Oriente. “Probablemente el blanco era Irán y los demás son daños colaterales”, dedujo. David Emm, investigador en seguridad de Kaspersky Lab, insistió en que por su sofisticación y características, Stuxnet sugería “la participación de un Estado y objetivos de sabotaje”.

Ninguno de los consultados se atrevió a señalar un responsable. Sin embargo, entrevistado en noviembre de 2010 por la agencia Reuters, Olli Heinonen, exsubdirector de la Agencia Internacional de Energía Atómica, concedió que el retraso en el programa de enriquecimiento de uranio de la planta nuclear iraní de Natanz podía deberse al ataque de Stuxnet. “Seguro, éste puede ser uno de los motivos”, dijo.

Cuestionados al respecto, ni el gobierno de Estados Unidos ni el de Israel hicieron comentario alguno. El régimen de Teherán tampoco dijo nada, porque no quería confirmar que sus centrifugadoras efectivamente habían sido vulneradas por el virus. Pero todo el misterio se develó con el artículo del New York Times y el libro de David Sanger. Tal vez ahora que declare el general Cartwright nos quiera contar más detalles.

Cortesía de

 Miss Chiches USB v. 3.0