Los adelantos en la sofisticada programación de este código malicioso ponen a temblar a los oficiales de seguridad. Tan pequeño que se contagia por un usb infectado, pero tan peligroso que puede paralizar operaciones industriales.
POR LIZZETTE PÉREZ ARBESÚ
En la historia de la seguridad han existido varios parte aguas, de esos que modifican la forma en que solíamos ver los problemas y darles solución. Se habla del virus ILoveYou, que explotó la ingeniería social usando la curiosidad de los usuarios, de los incidentes del 11 de septiembre de 2001 que llevaron los planes de contingencia y recuperación de desastres a un nuevo nivel, de los primeros spyware y más. Con cada nueva noticia, la lección es que sin importar cuánto avancen los desarrollos en seguridad de la información, los atacantes seguirán encontrando métodos para burlar los controles.
Stuxnet no fue la excepción, más bien, fue el ejemplo de oro para demostrar la realidad de esta regla. En 2010 este código malicioso acaparó los titulares de varios medios, con encabezados tan alarmantes como que era considerada la primer ciberarma, o el prototipo de herramienta para iniciar una ciberguerra.
De acuerdo con un reporte de BBC, Stuxnet es el primer virus que se conoce cuyo objetivo es atacar infraestructura en el mundo real, como plantas eléctricas. El análisis inicial apuntó a que el código podría haber sido escrito atacar el programa nuclear iraní, incluyendo los centros de enriquecimiento de uranio en Natanz. Una fuerte aseveración, ante la cual los funcionarios de Irán han admitido que el gusano infectó computadoras de sus empleados; sin embargo, repetidamente han negado que el virus haya provocado retrasos en su programa nuclear aunque se sabe que su programa de enriquecimiento de uranio ha sufrido tropiezos.
Pero no solamente Irán fue víctima de los ciberataques. Este malware diseñado para espionaje industrial se dispersó profusamente en Indonesia, India y China, pero también se encontró en México, Brasil, Europa, Australia, Rusia y una buena parte del continente africano.
Malicia dirigida
De acuerdo con la firma Symantec, el gusano atacó cinco organizaciones con procesos industriales en Irán; estas empresas fueron repetidamente atacadas entre junio de 2009 y abril de 2010. Fue posible identificar los objetivos porque Stuxnet recopilaba información de cada computadora que infectaba, incluyendo su nombre, ubicación y fecha en la que se vio comprometida. Por ello no es aventurado pensar que este gusano podría interrumpir las operaciones de los centrifugadores que enriquecen uranio.
Debido a que reprograma las instrucciones de las máquinas contaminadas, Stuxnet puede incluso destruir oleoductos, causar que una planta nuclear funcione mal y que las calderas de las fábricas exploten. Es el primer virus conocido que apunta e interfiere con los controles industriales, en este caso a través del común programa industrial vendido por Siemens.
El análisis de las diferentes cepas y el tiempo que tomó entre que se escribió el código y causó la primera infección, sugiere que los diseñadores del virus se «infiltraron» en las organizaciones objetivo. Los investigadores llegaron a esta conclusión porque Stuxnet atacó sistemas industriales que no están conectados a internet por razones de seguridad. Los equipos fueron infectados vía memorias USB. Por lo tanto, el virus tiene que haber sido sembrado, ya sea intencional o accidentalmente, por alguien que tenía acceso a dichas organizaciones.
Por todo lo anterior, Stuxnet es considerado como el primer código malicioso capaz de causar estragos físicos y no sólo informáticos, porque tiene la función de controlar los sistemas infectados, no para robarles información sino para apoderarse y decidir su funcionamiento. Eso, inevitablemente, hace recordar el Skynet de Terminator y el consecuente fin de la humanidad.
No hemos llegado a ese punto. No todavía. Pero definitivamente este código malicioso ha lanzado una advertencia sobre la forma en que se deben esperar y combatir los ciberataques a futuro.
La buena noticia es que este virus viene con fecha de caducidad: el 24 de junio de 2012 el gusano dejará su difusión y se eliminará.
La rebelión de las máquinas
Stuxnet ha usado hasta cuatro vulnerabilidades desconocidas hasta el momento para ejecutar código en las máquinas infectadas. Esto lo hacía 100% eficaz contra cualquier Windows, desde 2000 hasta 7. Solamente los administradores que hubiesen tomado las máximas precauciones se habrían podido librar de la amenaza.
De las cuatro vulnerabilidades desconocidas, una permitía la ejecución de código aunque el AutoPlay y AutoRun estuvieran desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.
La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo.
Las otras dos permitían la elevación de privilegios. Esto cerraba el círculo: si los administradores habían tomado la precaución de limitar los permisos de los usuarios, el troyano podía conseguir ser administrador a través de estos fallos. No había escapatoria, puesto que podía ejecutar código tanto en red como a través de dispositivos extraíbles, y una vez ahí, obtener todos los privilegios.
Lo que resultó atemorizante de este código es que, al más puro estilo de las películas de ciencia ficción como Terminator, pareciera que el programa es capaz de colocar a las máquinas contra el ser humano.
Una vez que está en una red corporativa, el gusano busca una configuración específica de sistemas industriales, como los diseñados por Siemens. Después, el código reprograma los controles industriales conocidos como PLC -utilizados para operar máquinas- y les da nuevas instrucciones.
A diferencia de las películas, esta re-programación no es generada por una máquina rebelde, sino por una mente maliciosa que busca sabotear operaciones y conseguir información, valiéndose de la ingenuidad de los usuarios quienes, probablemente sin saberlo, portan el virus en sus dispositivos usb y los transmiten a cuanta computadora se conectan.