Stuxnet : sistemas de control industrial e infraestructura crítica

Si bien se han hecho breves referencias a Stuxnet a lo largo del trabajo de investigación, sus ramificaciones y complejidad convierten a este ataque informático en una de las Amenazas Persistentes Avanzadas más sofisticadas conocidas hasta la actualidad, y requiere un análisis de sus capacidades y las consecuencias que un ataque de estas características produjeron en el escenario internacional. Como sostiene Langner, especialista en seguridad informática que estudió el ataque en profundidad,

Stuxnet aún sigue desconcertando a estrategas militares, expertos en seguridad, tomadores de decisiones políticas y hasta al público en general; y considera que sus capacidades ofensivas lo convierten en un “claro giro en la historia de la seguridad informática, así como también de la historia militar” (Langner, 2013, p. 4).

El concepto de un ataque en el ciberespacio conserva algunas características de los ataques en el mundo material. Para realizar un ataque nuclear interestatal o intercontinental, por ejemplo, no solo basta con poder fabricar una bomba nuclear, sino que también es necesario desarrollar la capacidad misilística para transportar de manera

128 efectiva el explosivo hasta el objetivo. De manera similar, salvando las particularidades que la virtualidad introduce, un ataque llevado a cabo en el ciberespacio mantiene una estructura análoga: se compone por su carga útil, es decir el ataque per se, y también por diversos mecanismos que le permiten llegar hasta el objetivo. Stuxnet puede ser considerado como un “tipo ideal” weberiano de Amenaza Persistente Avanzada, ya que alcanza un nivel de sofisticación sin precedentes, haciendo un uso ecléctico de diversas estrategias no solo para realizar su cometido, sino también para transportarse y propagarse a computadoras en todo el mundo.

En primer lugar, se constituye como uno de los gusanos informáticos más infecciosos del mundo, ya que hace uso de múltiples vulnerabilidades desconocidas (zero days, o días cero) en el sistema operativo Windows, exclusivamente para infectar y expandirse por redes de computadoras, con una capacidad y una escala de propagación sin precedentes hasta el momento de su descubrimiento (Fruhlinger, 2017). Esta característica no es menor, ya que las vulnerabilidades día cero se llegan a subastar por cientos de miles de dólares en la dark web, y el hecho de que un ataque informático posea más de una unidad de este tipo de vulnerabilidades, es un indicador no solo de los recursos con los que cuenta el orquestador de Stuxnet, sino también de su obstinación para lograr su objetivo (Langner, 2013, p. 4). Las estadísticas ilustran esta capacidad superlativa de propagación, ya que apenas un mes después de su descubrimiento y publicación en julio de 2010, existían más de 100.000 infecciones reportadas de Stuxnet, en más de 115 países diferentes.

En segundo lugar, una vez que logra colarse en un sistema informático, Stuxnet

se configura como un malware altamente disruptivo y peligroso, pero sólo realiza las acciones maliciosas si se conjugan una serie de variables muy específicas. Este es uno de los elementos que más llamó la atención de los especialistas en seguridad informática que diseccionaron y estudiaron el accionar de Stuxnet: estaba diseñado para infectar una computadora y mantenerse inactivo, a no ser que a ésta se encontrara conectado un modelo específico de controlador lógico programable de la marca alemana Siemens

(Kushner, 2013). Cuando comenzaron a indagar, los especialistas descubrieron la trama de una de las operaciones en el ciberespacio más elaboradas hasta el momento, ya que los controladores Siemens contra los que apuntaba Stuxnet son especialmente utilizados para controlar la velocidad de rotación de centrifugadoras de uranio, equipamientos utilizados para producir uranio enriquecido, componente primordial en la generación de energía nuclear.

129 Sin embargo, la discriminación de Stuxnet para realizar su ataque no se detenía en la detección de este tipo de equipamiento industrial, sino que era aún más minuciosa: buscaba una formación de centrifugadoras organizada en seis grupos, cada uno compuesto por 164 máquinas. Este nivel de especificidad fue el factor que más llamó la atención a los expertos en seguridad informática que descubrieron Stuxnet, y fue lo que permitió determinar rápidamente el objetivo del ataque, ya que esta formación de centrifugadoras era la presente en la planta de enriquecimiento de uranio de Natanz, en Irán (Albright et al., 2010, p. 1).

De esta manera, Stuxnet se configuró como una Amenaza Persistente Avanzada que infectó miles de computadoras en todo el mundo, con el objetivo de alcanzar las computadoras que controlaban los sistemas de control industrial de la planta nuclear de Irán. Una vez que detectaba estas variables, Stuxnet desplegaba su ataque: tenía la capacidad de alterar la programación de los controladores, variando la velocidad y el tiempo de rotación de las centrifugadoras. Esto se traducía en que los rotores giraran más lento que las velocidades necesarias para el proceso de refinamiento de uranio; o también en que giraran más rápido y por períodos de tiempo mayores, resultando en un desgaste y un daño de los equipos. Estas alteraciones se tradujeron en la destrucción efectiva de las centrifugadoras: entre los años 2009 y 2010, resultaron dañados, o totalmente destruidos hasta 1.000 equipos que confirmaban la planta de enriquecimiento de uranio de Natanz (Albright et al., 2010, p. 1).

Por último, para coronar este elaborado ataque, Stuxnet toma el control de a las computadoras que están conectadas a los controladores Siemens, y muestra a los operadores de la misma que el proceso industrial se está ejecutando de manera correcta. De esta manera, era imposible para los expertos iraníes diagnosticar el motivo por el cual su equipamiento no producía eficientemente, o directamente se destruía, ya que las computadoras que controlaban el sistema no mostraban errores o anomalías (Fruhlinger, 2017). Esta breve descripción de las capacidades ofensivas altamente dañinas de

Stuxnet, que se constituyó en un ataque informático integral y persistente al proceso industrial de refinamiento de uranio en instalaciones iraníes, lleva a la pregunta de quién es el actor con la capacidad y la intención de crear un ataque informático de esta envergadura, que, debido a sus capacidades concretas de causar daño físico en el mundo material, lo convierten en un arma informática.

La respuesta a este interrogante se encuentra enmarcada en el mencionado dilema de la atribución en el ciberespacio, motivo por el cual se complejiza la

130 determinación fehaciente del atacante. Sin embargo, hay dos elementos clave para lograr reducir los posibles perpetradores de una APT tan compleja: el primero se remite a las capacidades de acción, ya que no son muchos los actores capaces de emprender un ataque informático de estas características; y el segundo elemento refiere a los beneficios obtenidos a partir de la acción de este ataque. La extensión y la sofisticación de Stuxnet no solo elimina a los crackers individuales y a los movimientos hacktivistas

de los posibles atacantes, dejando como única alternativa a un Estado, sino que también descarta a los Estados que no cuentan con los recursos económicos y humanos para realizarlo.

Esta reducción de los posibles agresores, sumada a algunos indicios que los especialistas informáticos encontraron en el código, lleva a los expertos a sugerir que

Stuxnet fue desarrollado por un trabajo conjunto entre Estados Unidos e Israel, ya que fueron éstos los actores que mayor provecho geopolítico obtuvieron de las consecuencias del ataque. Aunque no fue admitido por ninguno de los dos Estados, existe un consenso generalizado de que esta Amenaza Persistente Avanzada fue efectivamente elaborada por el trabajo conjunto de ambos países con el objetivo de frenar el desarrollo de las capacidades nucleares en Irán (Nakashima y Warrick, 2012).

Esta APT se enmarca en un conflicto geopolítico extenso entre Estados Unidos e Irán, el cual se constituye en un caso de estudio específico de las relaciones internacionales. En el momento de redacción de este trabajo de investigación, se encuentra vigente un acuerdo internacional firmado en el 2015 entre Irán, el P5+1 (los miembros del Consejo de Seguridad de la ONU más Alemania), y la Unión Europea, llamado Plan de Acción Conjunto y Completo, más conocido por sus siglas en inglés

JCPOA. En este acuerdo, Irán se compromete a minimizar las capacidades de su programa nuclear y a aceptar rigurosas inspecciones rutinarias de la OIEA, a cambio del levantamiento de sanciones comerciales, previamente impuestas por el resto de los países involucrados en el acuerdo. Este acuerdo se constituyó como un hito de cooperación y consenso internacional en el siglo XXI, pero antes de su negociación, la relación histórica entre la República Islámica de Irán y occidente no se caracterizó por poseer tintes particularmente benévolos.

A partir de la revolución islámica de 1979, en la cual se estableció la República Islámica de Irán bajo el mando del Ayatollah Khomeini, Irán adoptó una postura internacional de un marcado antisemitismo, y profundamente anti-israelí y anti- occidental. Desde la emblemática toma de rehenes en Teherán de 1979, Estados Unidos

131 tuvo un cambio radical de política externa respecto de quien había sido uno de sus principales socios en medio oriente: le impusieron a Irán sanciones comerciales y financieras, e inclusive prohibieron la inversión de capitales estadounidenses en el país. Los atentados del 11 de septiembre del 2001 no hicieron más que incrementar la conflictividad, ya que Irán fue incluido por el presidente Bush en el “Eje del Mal”, y fue acusado explícitamente de financiar al terrorismo internacional.

El programa nuclear iraní se presenta como una paradoja de las estrategias de política exterior estadounidenses en medio oriente: el puntapié que permitió el desarrollo nuclear en Irán fue un reactor nuclear obsequiado en la década de 1960 por los Estados Unidos a la administración del Shah de Irán, un gobierno caracterizado por una relación amigable con occidente. Irónicamente, fue el Estado norteamericano quien permitió de manera involuntaria el desarrollo de las capacidades nucleares de uno de los gobiernos islámicos más radicalizados en Medio Oriente, que comenzó a regir Irán desde 1979. Cuando el plan nuclear iraní se comenzó a percibir como una amenaza, las posiciones estadounidenses hacia Irán comenzaron a endurecerse, y la secretaria de Estado de Bush, Condolezza Rice, llegó a emitir la advertencia en el 2008 de que los Estados Unidos defenderían “vigorosamente a sus amigos y sus intereses” si Irán no cambiaba su postura respecto al desarrollo de un programa nuclear con capacidades ofensivas (Rice, 2008).

De esta manera, y enmarcado en el contexto la guerra contra el terrorismo de la administración estadounidense de George W. Bush, se comenzó en 2005 con la implementación de estrategias que pudieran limitar los desarrollos nucleares de Irán, destacándose dentro de éstas la Amenaza Persistente Avanzada que posteriormente se conoció como Stuxnet. Un hecho significativo es que esta APT fue descubierta en 2010, por lo que fue también utilizada por la administración de Obama, la cual detrás de una política exterior aparentemente más dialoguista, evidenciaba elementos que perpetuaban estas estrategias intervencionistas en Medio Oriente. La capacidad de acción de Stuxnet

en el momento de su descubrimiento no tenía parangón con otro ataque informático, e inclusive fue catalogado por los expertos en seguridad informática que lo desentrañaron como “la pieza de código más compleja que hemos visto, en una liga completamente diferente respecto a lo que habíamos visto antes” (Fruhlinger, 2017).

Stuxnet es relevante por diversos motivos. Es uno de los ataques informáticos más tangibles llevados a cabo por una potencia que tuvieron consecuencias en el mundo material, y que efectivamente convirtieron un ataque informático en un arma. La

132 capacidad de acción de Stuxnet llamó la atención de diversos académicos, que inclusive llegaron a describirlo como un ataque que cambió las reglas de juego en el ciberespacio, y que da lugar a una carrera armamentista digital (Singer y Friedman, 2014, p. 117). Mediante la utilización de Stuxnet, los gobiernos de Estados Unidos e Israel lograron efectivamente ralentizar el programa nuclear iraní, alterando el balance de poder en medio oriente y en el sistema internacional. Así, esta APT abre una gran incógnita respecto a las capacidades que introducen las herramientas informáticas en manos de actores con suficientes recursos como para desarrollar ataques persistentes y avanzados de estas características.