¿Qué pasó con Stuxnet? Desde que destruyó cientos de centrifugadoras en una instalación de enriquecimiento nuclear en Irán en 2010, el gusano ha estado silencioso, pero no inactivo.

En comparación con muchos de sus colegas de malware, el gusano Stuxnet ha tenido mucho más que los proverbiales 15 minutos de fama.

Con una buena razón. Sentaba un precedente. Fue una de las piezas de malware más sofisticadas jamás creadas en ese momento. Kaspersky Lab estimó que un equipo de 10 programadores tardó de dos a tres años en crearlo.

También cruzó una línea. En lugar de ser utilizado «simplemente» para hackear computadoras y robar los datos en ellas, se usó para causar destrucción física.

¿Qué es Stuxnet?

Cuando se hizo pública por primera vez en 2010, Stuxnet había permitido la destrucción de casi mil, o aproximadamente una quinta parte, de las centrifugadoras de la instalación de enriquecimiento nuclear de Natanz de Irán, retrasando el programa nuclear de esa nación en 18 meses o más. Obviamente, eso se convirtió en noticia internacional que duró no solo meses, sino años.

Después de andar de puntillas alrededor del tema de la atribución por un tiempo, la mayoría de los informes se establecieron diciendo que era «ampliamente aceptado» que Stuxnet era un arma cibernética creada por agencias de inteligencia israelíes y estadounidenses. Se han escrito libros al respecto, se han realizado numerosos seminarios al respecto y, por supuesto, se han formulado acusaciones y amenazas entre los Estados nacionales involucrados.

Stuxnet también fue significativo porque los atacantes introdujeron el gusano en las computadoras Natanz a pesar de que los sistemas estaban «con espacios vacíos», no conectados a Internet. Obtuvieron acceso mediante el uso de memorias usb para plantar el malware en los sistemas de empresas de terceros que tenían una conexión con el programa nuclear iraní.

RELACIONADOS: Espacios de aire en los circuitos integrados en marcha, marcha también lo es la seguridad

Stuxnet fue altamente dirigido, diseñado para escanear solo para el software Siemens STEP 7 en computadoras que controlan un PLC (controlador lógico programable). Si faltaba alguna de las dos, Stuxnet quedaría inactiva dentro de la computadora. Pero si ambos estuvieran presentes, modificaría los códigos y daría comandos maliciosos al PLC mientras devolvía comentarios que hacían que pareciera que todo era normal.

Esos comandos hicieron que las centrifugadoras se salieran de control y se destruyeran antes de que alguien que supervisara el sistema supiera que algo andaba mal.

Según los informes, Stuxnet nunca tuvo la intención de extenderse más allá de Natanz. Sin embargo, el malware terminó en computadoras conectadas a Internet y comenzó a propagarse en la naturaleza, gracias a un diseño extremadamente sofisticado y agresivo.

¿Qué ha pasado desde entonces?

Después del ataque de Natanz, Stuxnet se desvaneció de los titulares habituales en un par de años, pero regresó brevemente en 2016, cuando un Informe de Inteligencia de seguridad de Microsoft lo identificó entre las familias de malware relacionadas con exploits detectadas en la segunda mitad de 2015.

RELACIONADOS: 6 años más tarde, la vulnerabilidad de’ Stuxnet ‘ sigue siendo explotada

Se desvaneció de nuevo hasta el pasado noviembre, cuando Reuters, seguido de numerosos otros medios, informó de una afirmación del jefe de defensa civil de Irán de que el gobierno de la nación había detectado y detenido un esfuerzo israelí para infectar sistemas informáticos con lo que describió como una nueva versión de Stuxnet.Gholamreza Jalali, jefe de la Organización Nacional de Defensa Pasiva (NPDO, por sus siglas en inglés), dijo al servicio de noticias IRNA de Irán: «Recientemente, descubrimos una nueva generación de Stuxnet que consistía en varias partes trying y estaba tratando de ingresar a nuestros sistemas.»

Mohammad-Javad Azari Jahromi, ministro de telecomunicaciones de Irán, acusó a Israel de estar detrás del ataque, diciendo que el malware tenía la intención de «dañar las infraestructuras de comunicación de Irán.»Pero dijo que los «equipos técnicos vigilantes» del país habían bloqueado el ataque, y que Israel había «regresado con las manos vacías.»

The Times of Israel informó en ese momento que los funcionarios iraníes habían admitido que se enfrentaban a un ataque de «un virus más violento, más avanzado y más sofisticado que antes, que ha golpeado la infraestructura y las redes estratégicas.»

¿Cuál es el estado actual de Stuxnet?

¿Cuál es el estado de Stuxnet ahora? Si bien ha estado en la naturaleza durante años, eso no significa que cualquiera pueda usarlo para hacer el mismo tipo de daño.

Liam O’Murchu, director del grupo de Respuesta y Tecnología de Seguridad de Symantec, dijo a la revista CSO en 2017 que era el código más complejo que el equipo había revisado y que estaba «en una liga completamente diferente a cualquier cosa que hayamos visto antes.»

También dijo que no creyera en los sitios web que afirmaban tener el código Stuxnet disponible para descargar, ya que el código fuente del gusano no se había liberado o filtrado y no se puede extraer de los binarios que están disponibles en la naturaleza.

Mientras que el código de un controlador, una parte muy pequeña del paquete general, se había reconstruido mediante ingeniería inversa, eso no es lo mismo que tener el código original.

Aún así, O’Murchu dijo que los investigadores podían entender mucho sobre el código examinando el binario en acción e ingeniería inversa. Por ejemplo,» era bastante obvio desde la primera vez que analizamos esta aplicación que estaba buscando algunos equipos Siemens», dijo.

Y después de tres a seis meses de ingeniería inversa, » pudimos determinar, diría yo, el 99 por ciento de todo lo que sucede en el código.»

Pero el anuncio de noviembre de Irán confirma lo que le está pasando a Stuxnet. Está evolucionando, como lo hacen la mayoría de las familias de malware. No es tanto que haya vuelto. Es que nunca desapareció—y es casi seguro que volverá a aparecer en los titulares.

Más información sobre ICS security