Ads-728

Ads-728

Psicología

Astrofísica

Genética

Neurociencia

» » » Seguridad informática: ¿Comienza la guerra cibernética? (1)

Hace poco más de un año, un ordenador en Irán comenzó a reiniciarse a sí mismo en varias ocasiones, sin razón aparente. Ante la sospecha de algún tipo de software malicioso (malware), los analistas de VirusBlokAda, la empresa de software antivirus de Minsk, examinó el mal comportamiento de la máquina a través de Internet, pronto descubrieron que estaban en lo correcto. Pero había algo preocupante en ello: el código que extrajeron de la máquina iraní resultó ser un virus desconocido de un tamaño y complejidad sin precedentes.

El 17 de junio de 2010, VirusBlokAda emitió una alerta por todo el mundo que desató una carrera internacional para rastrear lo que se conoce como Stuxnet: el más sofisticado malware de ordenadores que se haya encontrado y que deja entrever una nueva generación de amenazas cibernéticas. A diferencia del malware convencional, que hace daño sólo al mundo virtual de las computadoras y redes, el objetivo de este software es controlar las bombas, válvulas, generadores y otras máquinas industriales.

"Fue la primera vez que se había analizado una amenaza que podría causar daños en el mundo real, que podría, de hecho, provocar que una máquina de rompa, y ser capaz de provocar una explosión", dice Liam O Murchu, jefe de seguridad de Symantec, en Mountain View, California, la empresa de seguridad informática más grande del mundo.

Stuxnet aportó la prueba palpable de que determinados grupos o naciones podrían lanzar un ataque cibernético contra las infraestructuras vitales de una sociedad, como el agua y la energía. "Probablemente ahora estamos entrando en la era cibernética de una nueva clase de armas", indicaba Mikko Hypponen, jefe de investigación de F-Secure, una empresa de antivirus con sede en Helsinki.

Peor aún, el episodio de Stuxnet ha puesto de relieve cuán inadecuadas son las defensas actuales de la sociedad, y cómo quedan atrás frente a la ciencia cibernética.

Las empresas de seguridad informática son muy competitivas en el mercado, pero, por lo general, ante una amenaza como Stuxnet responden con una estrecha colaboración entre bastidores. Poco después de la alerta de VirusBlokAda, por ejemplo, Kaspersky Lab, en Moscú, ya estaba trabajando con Microsoft en Redmond, Washington, para detectar las vulnerabilidades que el virus estaba explotando del sistema operativo Windows (fue Microsoft, quien acuñó el nombre Stuxnet, después de ver uno en los archivos ocultos de su código. Técnicamente, Stuxnet es un "gusano", un tipo de malware que puede operar por sí mismo, sin necesidad de otro programa para infectar. Pero incluso algunos expertos a menudo lo llaman "virus", ya que se ha convertido en un término genérico para toda auto-replicación de malware).

Una de las respuestas más ambiciosas y completas fue llevada a cabo por Symantec, que mantuvo a O Murchu y su equipo internacional de expertos, trabajando con el Stuxnet todo el día durante tres meses. Un importante centro de operaciones fue el laboratorio de Symantec en Culver City, California, que funciona como el equivalente digital de una instalación de contención biológica de alto nivel. Un letrero en la puerta advierte a los visitantes que  dejen los ordenadores, memorias USB y teléfonos inteligentes en el exterior: cualquier dispositivo electrónico que pase a través de esa puerta, ni siquiera por error, se quedará allí. Dentro del laboratorio, el equipo empezó a estudiar el Stuxnet en un entorno de red simulada para saber lo que podía hacer con seguridad. El tamaño de este virus era asombroso: alrededor de 15.000 líneas de código, lo que representa un estimado de 10.000 horas / persona desarrollando software. Comparado con cualquier otro virus, dice O Murchu, "es una cantidad enorme de código".

Igualmente sorprendente fue la sofisticación de dicho Código. Stuxnet tomó la ventaja de dos certificados digitales de autenticidad robados de unas compañías respetadas, y explotaron cuatro diferentes 'vulnerabilidades día cero', agujeros de seguridad no identificados en Windows, que fueron abiertas y usadas por los hackers.

Luego fue el comportamiento del virus. "Pronto nos dimos cuenta de que estaba haciendo algo muy inusual", recuerda O Murchu. Concretamente, Stuxnet estaba intentando hablar con los controladores lógicos programables (PLC) que se utilizan para dirigir la maquinaria industrial. No obstante, Stuxnet era muy selectivo: a pesar de que el virus podía diseminarse por casi cualquier máquina con Windows, la parte fundamental de su código ejecutable se activaba sólo si la máquina era Siemens Step7, una de las muchos sistemas de control de supervisión y adquisición de datos (SCADA) que gestionan los procesos industriales.

Muchos sistemas de control industrial no están conectados a Internet, precisamente para protegerlos del malware u otras hostiles adquisiciones. Y esto nos llevó a otro aspecto de la sofisticación de Stuxnet. De igual manera que la mayoría de malware, podía propargarse por una red, y también, instalarse secretamente en una unidad USB. Así que un operador podría portarlo sin saberlo, conectar el dispositivo de memoria e infectar el sistema de control del ordenador, a partir de ahí el virus entraba en acción.

Turbios motivos

Todavía no estaba claro lo que Stuxnet tenía que hacer con el software de Siemens. El equipo de Symantec comenzó a tener pistas cuando se dieron cuenta de que el virus estaba reuniendo información acerca de los servidores que había infectado, y enviaba esos datos a unos servidores en Malasia y Dinamarca, presumiblemente para dar a los desconocidos perpetradores una manera de actualizar el encubierto virus. La identificación de comandos y servidores de control no permitió que Symantec pudiese acceder a los autores, aunque sí convencieron a los proveedores de servicios de Internet que cortaran el acceso a los culpables, redirigiendo del tráfico desde los ordenadores infectados de nuevo a Symantec, y así poder informarse. Al observar este tráfico O Murchu comentó que, la mayoría de las infecciones estaban en Irán, al menos el 60% de ellas. De hecho, las infecciones parecían haber estado allí desde 2009.

La deducción es obvia, el virus había sido deliberadamente dirigido contra Irán, por razones aún desconocidas. Pero los investigadores de Symantec no podía ir mucho más allá. Todos ellos eran grandes conocedores de computadoras y redes, pero como la mayoría, en la protección contra malware en ordenadores, con poca o ninguna experiencia en los sistemas PLC o SCADA. "En un momento del análisis, esto parecía no tener ningún sentido a falta de saber cuál era el propósito, ya que no fueron capaces de experimentar con el virus en un entorno de laboratorio", señalaba Ralph Langner, consultor de seguridad en sistemas de control en Hamburgo, Alemania.

Langner, independientemente, se encargó de llenar este vacío. Durante el verano, él y su equipo, comenzaron a ejecutar Stuxnet en un entorno de laboratorio, equipado con software de Siemens y sistemas de control industrial, y pudieron ver cómo el virus interactuaba con los PLC. "Empezamos a ver resultados muy extraños y divertidos inmediatamente, y esto fue el primer día de nuestro experimento en laboratorio."

Los resultados con el PLC permitió inferir a Langner que Stuxnet fue un ataque dirigido, buscando un software y un hardware específicos. A mediados de septiembre de 2010, anunció en su blog que la evidencia apoyaba la sospecha de que Stuxnet había sido deliberadamente dirigida contra Irán. El objetivo más probable que entonces se creía, era la planta de energía nuclear de Bushehr.

Sabotaje industrial

Aunque las palabras de Langner eran sólo especulativas, los medios de comunicación se hicieron eco rápidamente y corrieron la voz del objetivo de la nueva arma cibernética. Durante los siguientes meses, sin embargo, conforme Langner y los demás continuaron trabajando con el código, las pruebas empezaron a apuntar fuera de Bushehr, hacia una instalación de enriquecimiento de uranio en Natanz, donde miles de centrifugadoras estaban separando los isótopos de uranio-235 fisionable del más pesado ​​uranio-238. Muchos países occidentales creen que este esfuerzo de enriquecimiento, que aparentemente proporciona combustible para las centrales nucleares, está en realidad destinados a producir un armas nucleares. El código del software malicioso, según Langner y su equipo, fue diseñado para modificar la velocidad de las delicadas máquinas centrífugas, causando básicamente que giraran fuera de control y se rompieran.

A esta interpretación se le da crédito debido a los informes del Organismo Internacional de Energía Atómica (OIEA) en Viena, que documentan una caída en picado del número de centrifugadoras en funcionamiento en 2009, año en que muchos de los observadores pensaron que Stuxnet había infectado por primera vez los ordenadores en Irán.

Es cierto que las pruebas son circunstanciales en el mejor de los casos. "No sabemos lo que esas máquinas hacían" cuando no estaban en funcionamiento, advierte Ivanka Barszashka, físico búlgaro que estudió el rendimiento de las centrifugadoras iraníes, mientras ella trabajaba con la Federación de Científicos Americanos en Washington DC. "No sabemos si se rompieron o si solamente estaban allí." Por otra parte, el gobierno iraní ha negado oficialmente que Stuxnet destruyera un gran número de centrifugadoras en Natanz, aunque reconoce que la infección está muy extendida por el país. Y los informes de inspección del OIEA, desde finales de 2010, dejan claro que cualquier daño no fue más que un contratiempo: la capacidad de enriquecimiento de Irán es más alta que nunca.

Sin embargo, si Natanz era el objetivo, eso sugiere una respuesta al misterio de quién creó Stuxnet, y por qué. Teniendo en cuenta los conocimientos que se requieren para crear Stuxnet, expertos en malware, seguridad industrial y en los tipos específicos y configuraciones del equipo industrial al que fue dirigido, la mayoría de los investigadores concluyeron desde el principio que los autores estaban respaldados por un gobierno.

Los gobiernos ya han tratado antes de sabotear los programas nucleares extranjeros, señala Olli Heinonen, investigador principal del Centro Belfer para la Ciencia y Asuntos Internacionales en la Universidad de Harvard en Cambridge, Massachusetts, y ex subdirector general de la OIEA. En los años 1980 y 1990, por ejemplo, los gobiernos occidentales orquestaron una campaña para inyectar piezas defectuosas en la red que utilizaba Pakistán para suministrar tecnología nuclear a países como Irán y Corea del Norte. Las agencias de inteligencia, incluyendo la Agencia Central de Inteligencia de EE.UU., también han hecho otros tantos intentos para vender los diseños defectuosos nucleares a los posibles proliferadores. "Stuxnet", dijo Heinonen, "es otra forma de hacer la misma cosa."

Langner sostiene que el gobierno que hay detrás de Stuxnet es el de Estados Unidos, que tiene la experiencia necesaria para la guerra cibernética y el objetivo desde hace tiempo de frustrar las ambiciones nucleares de Irán. A lo largo del verano de 2010, mientras que Langner, Symantec y todos los demás investigadores estuvieron negociando vigorosamente ideas e información sobre Stuxnet, el Departamento de Seguridad Nacional de EE.UU. mantuvo un silencio desconcertante, a pesar de que el operativo Computer Emergency Readiness Teams (CERTs) fue creado específicamente para hacer frente a las amenazas cibernéticas. Es cierto que el CERT, del Laboratorio Nacional situado en las afueras de Idaho Falls, que opera uno de los bancos de pruebas más sofisticados del mundo para los sistemas de control industrial, emitió una serie de alertas, pero la primera, el 20 de julio de 2010, llegó más de un mes después de la advertencia inicial de Belarús, y no contenía nada nuevo. Más tarde, las alertas siguieron el mismo patrón: muy poco y demasiado tarde. "Un servicio de recorte por demora", apuntó en su blog Dale Peterson, fundador de Digital Bond, una empresa de seguridad de SCADA en Sunrise, Florida.

"No hay manera de que no hayan detectado este problema, o que todo esto sea un malentendido. No me lo creo", dice Langner, quien cree que la anémica respuesta del laboratorio de Idaho fue deliberada, y destinada a encubrir el hecho de que Stuxnet había sido creado allí.

Pero Langner no tiene más remedio que admitir que las pruebas contra los Estados Unidos son puramente circunstanciales. (El gobierno de EE.UU. por sí misma no confirma ni niega la acusación, tal como es su práctica habitual ante cualquier discusión sobre actividades encubiertas). Y las pruebas contra el otro sospechoso mencionado con más frecuencia, Israel, aún más. Symantec, por ejemplo, señala que hay un nombre incrustado en el código de Stuxnet, Myrtus, que podría ser una referencia al relato bíblico acerca de una masacre planificada de judíos en Persia. Sin embargo, otros investigadores observan que tales aseveraciones son tenues. "No hay pruebas reales" acerca de Israel, declara Jeffrey Carr, fundador y director ejecutivo de Taia Global, una empresa consulta de seguridad cibernética en Tysons Corner, Virginia.



,

«
Next
Entrada más reciente
»
Previous
Entrada antigua
Editor del blog Pedro Donaire

Filosofía

Educación

Deporte

Tecnología

Materiales