Nuevas evidencias sobre el ataque de Stuxnet a la planta nuclear iran de Bushehr muestra que el virus fue diseñado para sabotear lentamente la planta. El código debía implantar órdenes para acelerar y ralentizar la maquinaria física durante un par de semanas. De acuerdo con Liam O’Murchu, investigador de Symantec Security Response, los creadores de Stuxnet querían que el programa pasara inadvertido dentro del sistema, incubándose por un largo tiempo y cambiando paulatinamente el proceso sin llegar a descomponerlo.
Tras el atentado en Irán, Stuxnet ya ha infectado a más de 100 mil sistemas computacionales alrededor del mundo. Al principio, el gusano parecía ser uno más del montón, creado con la finalidad de robar información. Sin embargo, los expertos pronto determinaron que contenía código diseñado específicamente para atacar los sistemas Siemens Simatic WinCC SCADA. ¿Qué tienen de especial estos sistemas? Bueno, son los encargados de controlar el manejo de tuberías, plantas nuclereas y otros equipos industriales. No en balde, Stuxnet se ganó pronto el mote de la pieza de malware más refinada jamás creada.
Los investigadores determinaron que Stuxnet fue diseñado para interceptar órdenes enviadas desde un sistema SCADA para controlar cierta función dentro de una instalación. Aunque el último análisis de Symantec no ha encontrado qué función en específico debía ser atacada, la nueva información sí sugiere que Stuxnet apuntaba a las instalaciones nucleares de Bushehr o Natanz, en un claro intento por sabotear el naciente programa nuclear iraní.
De acuerdo con Symantec, Stuxnet ataca los variadores de frecuencias, los cuales son usados para controlar la velocidad de un dispositivo — como un motor. El gusano intercepta las órdenes del software de Siemens SCADA, y las reemplaza con comandos maliciosos para modificar la velocidad del motor, de modo que ésta varíe salvajemente a intervalos intermitentes. Sin embargo, Stuxnet no sabotea cualquier variador de frecuencia. El programa revisa la red de la planta, y sólo se activa si la instalación tiene cuando menos 33 variadores hechos por la empresa iraní Fararo Paya, o por la finlandesa Vacon.
Aún más específicamente, Stuxnet sólo ataca dispositivos diseñados por estas dos compañías si están corriendo a alta velocidad (entre 807Hz and 1210Hz). Ese rango de celeridad sólo se utiliza en aplicaciones selectas — sí adivinaron: procesos como el enriquecimiento de uranio. De hecho, la exportación de variadores de frecuencia que pueden superar los 600Hz está controlada por la Comisión Regulatoria Nuclear de Estados Unidos. O’Murchu deje entrever la posibilidad de un ataque orquestado. “Me imagino que no hay muchos países fuera de Irán que usen un dispositivo iraní. No me imagino una planta nuclear en EE.UU que use tecnología iraní”, apunta el experto.
Stuxnet se ha convertido en un dolor de cabeza. Su grado de sofisticación es tal que si el número de variadores de la firma iraní supera de la firma finlandesa, el gusano libera una secuencia. Si ocurre el caso opuesto, entonces el virus activa una secuencia diferente. Estos detalles hacen pensar que los desarrolladores de Stuxnet tenían en mente una instalación a la cual atacar, así como un conocimiento extenso sobre el sistema.
O’Murchu apunta que para que Stuxnet tuviera éxito, se necesitaría de un proceso continuo que corriera mínimo durante un mes ininterrumpidamente. El enriquecimiento de uranio cumple perfectamente esta premisa. Las centrifugadoras necesitan girar a una velocidad precisa durante largos periodos para extraer el material puro. Si esas centrifugadora cambian su aceleración, se puede interrumpir el proceso de aislamiento de los isótopos más pesados. El resultado es un uranio de muy pobre calidad.
Punto para Symantec por averiguar cómo funcionar Stuxnet. Claro que todavía nos falta saber lo más importante: ¿quién está detrás del sabotaje?