El gusano 'Stuxnet' afectó a instalaciones nucleares en Irán en septiembre. Fue un ataque sin precedentes con un nuevo tipo de arma que pone en entredicho la doctrina militar tradicional
Aquello fue distinto de cualquier otro ataque conocido hasta el momento. A finales de septiembre, miles de computadores habían sido infectados en Irán por un gusano con nombre de película: Stuxnet. Las autoridades iraníes reconocieron que el ataque alcanzó al sistema informático de la central nuclear de uso civil de Bushehr, inaugurada en agosto. Irán no reconoció daños graves pero no ha dudado en calificar el incidente como un ataque desde Occidente. El gusano había alcanzado instalaciones críticas y estaba preparado para atacar sus sistemas de control. Nada que ver con los apagones informáticos que afectaron a Estonia y Georgia, respectivamente, en 2007 y 2008: quien lo desarrolló quería tomar el control de los sistemas infectados. Y si el objetivo era Irán, asestar un golpe a su programa nuclear con un arma silenciosa y no violenta.
"Es la primera vez que detectamos una amenaza de este tipo que tiene como objetivo los sistemas de control industrial", explica Miguel Suárez, experto de Symantec en España, una empresa dedicada a la seguridad informática. Tras el descubrimiento del virus en junio por VirusBlokAda, una empresa de seguridad bielorrusa, Symantec empezó a estudiar el gusano que por esa fecha ya había contaminado decenas de miles de computadores en todo el mundo. El virus tenía un objetivo preciso: el software producido por la empresa alemana Siemens que se utiliza para el control automático de operaciones en plantas químicas, instalaciones petrolíferas y centrales nucleares. Ese software era el mismo que se instaló en la central iraní de Bushehr.
Según los análisis de Symantec, el 60% de los 100.000 computadores infectados se encontraba en Irán. ¿Era Irán el objetivo principal del ataque? ¿Quién golpeó a su programa nuclear? "No sabemos quien desarrolló Stuxnet. El que lo hizo gastó mucho dinero para asegurarse de que el trabajo que tenía que hacer estuviera bien hecho", dice Schneier.
El ataque se efectuó sobre instalaciones que, por su naturaleza, no están conectadas a la Red. Así, la hipótesis más probable es que el virus haya sido introducido a través de un dispositivo de almacenamiento de tipo USB.
Hay serias dudas de que se llegue a identificar al autor del ataque. De momento, solo hay especulaciones. Una de ellas es la pista de la familia de los mirtos. Mirto en hebreo es hadassah, que es también el nombre utilizado para referirse a Esther, la reina judía que desbarató un complot persa según la historia contada en el Libro de Esther, en el Antiguo Testamento. Hay otra referencia en el código. Un número que puede ser una fecha: 19790509. El 9 de mayo de 1979 es el día en el que Habib Elghanian, personaje relevante de la comunidad judía iraní, fue ejecutado por el nuevo régimen de Teherán. ¿Es una firma de los autores? ¿Es Stuxnet el primer resultado de la actividad de las unidades especiales que varios países han puesto en marcha?
"Sería muy arriesgado. Pero no sería la primera vez que los programadores dejan su firma", afirma desde Londres Mark Fitzpatrick, director del Programa de No Proliferación y Desarme del Instituto Internacional de Estudios Estratégicos. Para Fitzpatrick sería importante saber si el virus, además de la central de uso civil de Bushehr, también afectó a la instalación de Natanz, el centro de enriquecimiento de uranio. Según el experto, puede que el ataque sirva "para limitar la amenaza nuclear iraní sin causar víctimas mortales ni desatar una guerra. Pero es una vía peligrosa porque si Stuxnet no se controla puede atacar objetivos no intencionales y entrar en un ámbito de ciberguerra muy difícil de controlar". Stuxnet puede ser la primera arma de esta nueva guerra. "El virus es muy complejo. Para su desarrollo se requiere el dominio de distintos lenguajes de programación de diferentes sistemas. Y el conocimiento de la estructura del sistema que quiere invadir o alguno muy similar", explica Suárez. Todos los expertos consultados coinciden en afirmar que no puede ser obra de un simple grupo de hackers. "Estamos hablando de otro nivel. Tiene que tener detrás una infraestructura científica y técnica muy grande. Solo puede ser un Gobierno o una gran organización", opina el teniente coronel Néstor Ganuza-Artiles, jefe de adiestramiento y doctrina del Centro de Ciberdefensa de la OTAN, en Tallin (Estonia). El centro se creó en 2008, un año después del ataque informático que colapsó los computadores de instituciones públicas y bancos del país estonio. "Es algo totalmente distinto. Un código malicioso programado de tal manera que una vez que haya contagiado el sistema es capaz de tomar el control y llegar a causar daño físico a las instalaciones en las que se encuentra. En una planta nuclear o una industria bioquímica es capaz de hacerla explotar. Stuxnet, en este sentido, es la primera ciberarma", dice. Un arma que abre escenarios militares desconocidos y obliga a nuevas respuestas.
Así, el artículo 5 del Tratado de la OTAN, que prevé la respuesta conjunta a un ataque armado sufrido por uno de sus miembros, podría quedarse corto. "No hay una postura oficial de la OTAN. De momento se analizaría caso por caso. Pero hay una serie de dificultades. En el caso del ciberataque, el problema es la atribución, el origen de la amenaza. Para rastrear el origen hay que tener la autorización de todas las autoridades por donde ha pasado el ataque informático, y no hay de momento una legislación ni acuerdos específicos. Hay que revisar la doctrina militar", dice el militar. Tampoco vale la doctrina de la disuasión que se ha aplicado al campo nuclear. "¿Cómo disuadir a un atacante que se desconoce?", se pregunta. La incertidumbre en el ciberespacio amplifica la dificultad.
Aaron Hampton, de 29 años, es un estudiante de seguridad informática en la Universidad de Wilmington, en Delaware (EE UU). Su vocación arranca del impacto que le causó siendo niño ver cómo actuaban los hackers en películas como Superman III o War Games. Ahora experimenta la sutil diferencia entre realidad y ficción.
Este verano participó en uno de los cursos organizados por el Departamento de Defensa de EE UU para seleccionar talentos y reclutarlos para una guerra que no se combate con armas convencionales y para la que el país aún no está preparado. Según una estimación oficial, EE UU necesita entre 10.000 y 30.000 expertos para proteger al Gobierno y a las grandes empresas de un ataque cibernético. Y, de momento, solo dispone de alrededor de 1.000.
En mayo, el Pentágono creó una unidad especial, el Cyber Command, con una dotación anual de 150 millones de dólares bajo el mando del director de la Agencia de Seguridad Nacional, el general Keith Alexander. Algo parecido a la Unidad 8200, el comando especial de ciberinteligencia creado hace años por Israel.
Aaron Hampton es ahora uno de los potenciales reclutas del nuevo Ejército que el Gobierno prepara para combatir en un nuevo tipo de guerra.
No hay comentarios:
Publicar un comentario