Stuxnet


Las tarjetas de memoria aparecieron desparramadas en un baño de una base militar estadounidense en Medio Oriente que brindaba apoyo para la guerra de Irak.

Habían sido deliberadamente infectadas con un gusano informático. Según personas allegadas a los hechos, alguien calculó que un soldado recogería una de las tarjetas de memoria, se la guardaría y – en contra de las normas – luego la enchufaría a una laptop militar.

No se equivocó.

El resultado fue el lanzamiento de un gusano malicioso que se auto-propagó al sistema informático protegido del comando central militar estadounidense – Centcom. Éste tardaría 14 meses en erradicarlo finalmente en una operación bajo el nombre clave de Buckshot Yankee.

El ataque tuvo lugar en 2008 y recién fue reconocido por el Pentágono en agosto último. Es asombrosamente parecido al ciberataque recientemente divulgado contra centrales nucleares de Irán con el gusano Stuxnet, que también parece haber usado hardware contaminado en un intento por inhabilitar el programa nuclear iraní, en vez de utilizar bombas arrojadas desde el aire.

En lo que difieren estos dos incidentes anteriores de ciberataques de alto nivel, incluidos algunos respaldados por Estados, es en el hecho de que fueron mucho más allá de la molestia informática – aunque sea a gran escala – y avanzaron hacia una verdadera ciberguerra.

Igual que el ataque a las computadoras de Centcom, el gusano Stuxnet que, Irán admitió, afectó 30.000 de sus computadoras, fue un ataque sofisticado casi seguramente orquestado por un Estado, una operación de sabotaje utilizando como arma código informático. Al parecer, se utilizaron agentes de inteligencia para orientar el gusano hacia su meta.

Su objetivo primordial, dicen los expertos en seguridad informática, era un sistema de control fabricado por Siemens que se encuentra fácilmente en el mercado y es ampliamente utilizado por Irán – por sus centrales nucleares entre otros.

Irán confirmó que se había encontrado el gusano en laptops del reactor nuclear de Bushehr – que debía estar listo el mes próximo pero que ahora fue postergado. Negó que el gusano Stuxnet haya infectado el sistema operativo principal o que haya sido responsable de los problemas.

"Afirmo categóricamente que los enemigos no han podido dañar hasta el momento nuestros sistemas nucleares mediante Gusanos informáticos pese a todas sus medidas y hemos limpiado nuestros sistemas", dijo Ali Akbar Salehi, director de la agencia de energía atómica de Irán, a la Agencia Iranian Students News esta semana.

Si el ataque del Stuxnet a Irán dio un indicio de cómo podría ser un acto limitado de sabotaje cibernético, el martes, Estados Unidos intentó imaginar cómo sería una ciberguerra total y si estaba equipado para enfrentarla.

En un ejercicio llamado Cyber Storm III que involucra a organismos públicos y 60 organizaciones del sector privado en las áreas de bancos, química, energía nuclear y Tecnología de la Información, se presentó una situación en la que Estados Unidos se veía afectado por un shock cibernético coordinado y una campaña de miedo, alcanzando 1.500 blancos distintos. No se han publicado los resultados del ejercicio.

Uno de los que creen que finalmente llegó el momento de la ciberguerra es James Lewis del Centro de Estudios Internacionales y Estratégicos de Washington. Lewis dice que si bien los ataques de piratería a gran escala anteriores – entre otros el ataque ruso a Estonia – fueron en gran medida significativos por su valor de molestia, el Stuxnet y el ataque a CentCom representan una verdadera utilización de programas maliciosos como armas significativas.

"La ciberguerra ya está acá", dice Lewis. "Estamos en el mismo lugar en que nos encontrábamos después de la invención del avión. Era inevitable que alguien trabajara para averiguar cómo usar aviones para arrojar bombas.

"Ahora los militares van a tener cibercapacidad en sus arsenales. Ya hay cinco que tienen esa capacidad, Rusia y China incluidos".

De éstos, Lewis dice que para él sólo tres tienen tanto la motivación como la capacidad organizativa y técnica como para montar el ataque con Stuxnet contra Irán: Estados Unidos, Israel y el Reino Unido.

Lewis también dice que si bien el potencial destructivo de la ciberguerra en una época se consideraba algo hipotético, esa percepción cambió sobre todo en Estados Unidos después de un ataque pirata montado a distancia contra un generador eléctrico en el Laboratorio Nacional de Idaho. El ataque, que llegó por Internet, demostró que es posible convencer a la infraestructura – como las centrales eléctricas – de que se destruya a sí misma.

"Cada vez es mayor la preocupación por el hecho de que ya hubo un reconocimiento hostil de la red eléctrica estadounidense", dijo.

El año pasado, el Wall Street Journal citó a oficiales de inteligencia estadounidenses describiendo que ciber-espías habían hecho un mapa de los controles de encendido-apagado de grandes porciones de la red estadounidense y de su vulnerabilidad a los ataques pirata.

El general Keith Alexander, director del recién inaugurado Ciber-Comando estadounidense del Pentágono en Fort Meade, dijo hace poco que el problema no es si, sino cuándo, será atacado Estados Unidos por algo como el gusano Stuxnet.

En una reciente declaración ante el Congreso, Alexander subrayó que la amenaza de ciberguerra ha evolucionado rápidamente en los últimos tres años; describió los ataques más salientes contra países – el ataque de 2007 contra Estonia y el ataque a Georgia en 2008 durante su guerra con Rusia, los dos atribuidos a Moscú.

Fueron ambos ataques llamados "negativa de servicio" que desactivaron por un corto tiempo redes de computadoras. No es ésa la clase de ciberguerra que asusta al máximo guerrero cibernético de Estados Unidos. "Lo que más me preocupa son los ataques destructivos", dijo ante la comisión de servicios armados de la Cámara. Como Stuxnet.

Alexander es uno de los que está a favor de establecer acuerdos vinculantes – similares a los tratados referidos a armas nucleares – que hagan limitar la retención y el uso de tecnología de ciberguerra a países como Rusia.

Cada vez es más evidente que uno de los problemas que enfrentarán los Estados en esta nueva era es identificar precisamente quién está detrás de un ataque determinado.

Algunos analistas creen que Israel es el culpable más probable del ataque del Stuxnet contra Irán – quizás a través de su Unidad 8200 para la ciberguerra, que viene recibiendo más y más recursos.

Señalan una referencia en el código del gusano a Myrtus – referencia oblicua Ester en la Biblia y a la anticipación de los judíos de un complot para matarlos. Otros analistas sostienen que los autores del código informático malicioso son actualmente tan sofisticados que deliberadamente plantan pistas falsas para desorientar a los investigadores.

Dave Clemente, un investigador en materia de conflicto y tecnología del Royal United Services Institute de Chatham House, sostiene que en cuanto la amenaza de la ciberguerra fue "publicitada... la realidad la alcanzó enseguida".

"Mire el gusano Stuxnet. Es de tal complejidad que, atrás, sólo puede haber un Estado".

Clemente señala el hecho de que el ataque utilizó cuatro defectos independientes no publicitados en el sistema operativo de la central nuclear iraní en Bushehr para infectarlo. Otros expertos señalan que Stuxnet utilizó código de verificación genuino robado de una empresa de Taiwán y que los diseñadores del gusano habían incorporado salvaguardas para limitar la cantidad de daño colateral que podía causar.

"Estados Unidos y el Reino Unido están destinando en la actualidad grandes cantidades de recursos a la ciberguerra, en particular para defenderse", agrega Clemente. "Ahora tenemos un ciber-comando que funciona en Estados Unidos y en el Reino Unido se implementó un ciber-centro de operaciones de seguridad en GCHQ (la Oficina de Comunicaciones) y una nueva oficina de Seguridad cibernética en el Gabinete.

"Lo que creo que podemos decir sobre Stuxnet es que la ciberguerra es a esta altura algo muy real. Este es el primer caso de uso destructivo de un arma de la ciberguerra".