Buscar en este blog

miércoles, 20 de noviembre de 2013

El virus Stuxnet tiene un gemelo secreto


Corbis / RT

Años después de su descubrimiento, el Stuxnet, primer arma cibernética revelada públicamente, sigue envuelta en sombras. Quizá porque, en realidad, no es un arma, sino dos, según el especialista en seguridad cibernética Ralph Langner.

En su artículo para 'Foreign Policy', Langner escribe que, tras llevar a cabo una investigación escrupulosa de tres años, está seguro de que el virus que intentó cambiar las velocidades de los rotores en una centrífuga de la central iraní de Natanz fue bastante insignificante y rutinario. Asimismo, advierte que este ataque bastante simple fue precedido años antes por otro, mucho más sofisticado y peligroso, y acentúa que sin aquel gemelo sigiloso de Stuxnet, complicado y potente, que habría pasado desapercibido para la atención pública, el virus, probablemente, no habría escapado para afectar a medio mundo.

El Stuxnet II, la última y más simple versión del malware, intentó hacer que los rotores de las centrifugas que enriquecen el uranio girasen demasiado rápidamente, a unas velocidades que habrían de causar su ruptura. El Stuxnet original, en cambio, debía sabotear los sistemas de protección de las centrifugas de Natanz.

Estos sistemas constan de tres válvulas de cierre instaladas en cada centrifugadora. En caso de incidente, una vibración lo pone al descubierto y las válvulas se cierran, aislando la centrifuga accidentada del resto del sistema. En otras palabras, el proceso sigue su curso mientras los ingenieros sustituyen la centrifuga dañada. El sistema de protección en Natanz se basa en los mandos industriales Siemens S7-417, que operan las válvulas y sensores de presión. El Stuxnet I estaba diseñado para tomar el control completo de estos mandos, es decir, de los sistemas informáticos incorporados, directamente conectados con un equipamiento físico como las válvulas, algo inimaginable hasta entonces.

Un mando infectado con el Stuxnet I es desconectado de la realidad física. El sistema del control empieza a ver solo lo que el virus quiere que vea. Lo primero que hace el malware es tomar medidas para ocultar su presencia. Graba los valores de los sensores del sistema durante un período de 21 segundos. Luego reproduce estos 21 segundos en una trayectoria circular mientras se realiza el ataque (los asaltos se sucedían una vez al mes), de tal forma que para el centro de control todo va bien, tanto para los operadores humanos como para cualquier sistema automático.

Mientras tanto, el Stuxnet I empieza su trabajo sucio: Cierra las válvulas de aislamiento para las dos primeras y las dos últimas etapas del enriquecimiento, bloqueando de tal modo la salida del hexafluoruro de uranio (el gas que sirve para obtener el uranio enriquecido) y aumentando la presión sobre las centrifugas. El aumento de la presión sa lugar a que en las centrifugas se acumule más gas de lo debido, generando más estrés para el rotor mecánico. La presión puede provocar, además, que el hexafluoruro de uranio gaseoso se solidifique y dañe la centrifuga fatalmente.

Según destaca Langner, la solidificación del gas en Natanz desembocaría en una destrucción simultánea de centenares de centrifugas por cada mando infectado. Sin embargo, el experto insiste que esto no fue el objetivo de los 'hackers', porque, en este caso, los especialistas iraníes no habrían tardado mucho en descubrir el origen del desastre. En cambio, hacían todo lo posible para frenar los ataques a tiempo, antes de que se desencadenara una reacción catastrófica. Su objetivo fue más bien incrementar la carga sobre los rotores para que quedaran fuera del servicio, pero no en el momento del propio asalto, concluye Langner. Al mismo tiempo, el especialista destaca que se desconoce el resultado final de esta estrategia y que a partir de 2009 los agresores cambiaron del instrumento.

Cabe destacar que Langner no es el único especialista que denuncia la existencia de las dos versiones de Stuxnet. A inicios de este año los investigadores de Symantec Corp (SYMC.O) también declararon que había sido una versión del virus informático Stuxnet la que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007.

No hay comentarios:

Publicar un comentario