Con la aparición de Stuxnet, el malware ha entrado en una fase superior, aterradora. Es un arma creada para atacar sistemas de control de infraestructuras críticas. Ha sido gráficamente descrito como “prototipo de misil lógico”, porque sus autores lo han tuneado para que infecte objetivos específicos altamente vulnerables: ciertas configuraciones del software del tipo PLC (Programmable Logic Control) de Siemens, implantado a lo largo de los años en miles de plantas energéticas y fábricas. Eugene Kaspersky dijo la semana pasada: “durante décadas hemos luchado sucesivamente contra cibervándalos y ciberdelincuentes; hemos entrado en la era del ciberterrorismo”. Y no es sensacionalismo.
Según los datos publicados por Alexander Gostev, investigador jefe de Kaspersky Lab, Stuxnet ha tenido una inusual distribución geográfica: India (86.000 sistemas) e Indonesia (34.000) han sido los países más afectados, pero nadie duda de que el auténtico objetivo era Irán, concretamente la inconclusa planta de energía nuclear de Bushehr y la fábrica de centrifugado de uranio de Natanz.
Estas instalaciones, sospechadas como posibles tapaderas del programa de desarrollo de armas nucleares iraní, son el centro de un largo conflicto internacional. La planta de Bushehr fue inicialmente contratada a Siemens, antes de la revolución de 1979 y luego abandonada por la empresa alemana hasta que, en 1995, Rusia se hizo cargo de concluir su construcción y puesta en marcha, aún no concluida.
“Es tan preciso y elaborado que no puede haber sido diseñado para distribuir spam, robar datos personales o estafar a un banco – dijo Kaspersky en Munich – sino que estamos ante un sabotaje de escala desconocida hasta ahora”. En su opinión, Stuxnet tiene una dimensión geopolítica, estratégica: “ningún grupo de hackers, por organizado que esté, tiene el poder y los recursos para un ataque de esta magnitud; la operación sólo puede haber sido montada por algún estado”. Mientras Irán no reconozca los daños – y es improbable que lo haga – no se conocerán los alcances del ataque, pero sobran los dedos de una mano para contar las potencias que responden a esta definición: Estados Unidos, Rusia, China e Israel. La incógnita, por así llamarla, es si a este primer ataque le seguirán otros más precisos.
Cuando fue detectada, esta amenaza informática fue clasificada como un virus de día cero, y como tal ha sido tratado, como uno más. Microsoft confirma que el primer aviso lo recibió de Kaspersky y, de hecho, distribuyó un parche urgente en agosto, pero era demasiado tarde. Stuxnet ya había infectado a sus víctimas, y otra de sus características es la capacidad de regenerarse después de su presunta eliminación. Se teme, por tanto, que el daño pueda ser incontrolable, y que su éxito sirva de aliciente para lanzar ataques restringidos contra instalaciones industriales privadas, con lo que alcanzaría otra dimensión, la económica.
Los informes exhaustivos se presentarán en octubre en una conferencia sobre seguridad, en Vancouver. Entretanto, se ha publicado que uno de los problemas reside en que el software de control de Siemens es considerado muy estable, por lo que la mayoría de sus usuarios han bajado la guardia, perdiendo interés en mantenerlo con medidas de seguridad. Esta es la primera lección del episodio. Otra nos recuerda que todos los sistemas operativos, sin excepción, son vulnerables, y tanto más lo son sus versiones obsoletas. Al parecer, muchos de los sistemas afectados funcionan con Windows NT, precisamente el sistema operativo para el que Microsoft no distribuyó su parche de agosto.