'Ciberarsenal': otra forma de atacar los reactores nucleares de Irán

Un reporte que se esperaba esta semana de la Agencia Internacional de Energía Atómica (AIEA) tiene a Israel muy ocupado con pláticas sobre el potencial de un ataque preventivo sobre las instalaciones nucleares de Irán.

Diplomáticos occidentales dijeron a CNN que el reporte indica que Irán ya domina los pasos críticos necesarios para diseñar y construir un arma nuclear.

Los misiles no son, por supuesto, la única manera de lanzar un ataque.

Las instalaciones nucleares de Irán están bajo el fuego de una serie de ataques cibernéticos. Y uno de ellos, el virus Stuxnet, pudo penetrar la instalación nuclear iraní Natanz, dicen los investigadores.

¿Cómo lo hizo?

Stuxnet fue astuto y sigiloso. La red computacional de Natanz es un sistema cerrado, separado de cualquier otra red o acceso de internet. Así que Stuxnet primero infectó a un tercero, probablemente un contratista de confianza de esas instalaciones. Ese contratista tendría que haber transferido, sin conocimiento de causa, un dispositivo móvil (como una unidad de USB) a las computadoras dentro de Natanz.

Aún más importante, Stuxnet fue inteligente. Sabía exactamente lo que estaba buscando: un software específico llamado Step 7, utilizado específicamente para correr los controladores marca Siemens que operaban en Natanz.

Stuxnet se esparció en la red sin ser detectado. Si no encontraba el software Step 7, dejaba todo en paz. Pero una vez que encontró su blanco, empezó a trabajar.

Primero, logró secuestrar el sistema de control de Natanz, acelerando o ralentizando las máquinas centrífugas , gastándolas prematuramente.

Mientras las centrifugadoras se autodestruían, Stuxnet enviaba señales de que todo estaba en orden y operando tranquilamente. Así que los operadores puede que no se dieran cuenta de que esto estaba pasando hasta que fue demasiado tarde.

Así que, ¿cuán efectivo fue Stuxnet?

De acuerdo con el Instituto para la Ciencia y la Seguridad Internacional, las bases de datos de la AIEA muestran que entre finales de 2009 y principios de 2010, tuvieron que reemplazar cerca de 1,000 centrifugadoras en Natanz. Stuxnet es el principal sospechoso.

Sin embargo, eso es solo una de cada nueve centrifugadoras y, a pesar de una reducción menor en la producción, el enriquecimiento de uranio siguió en pie .

La identidad de los creadores de Stuxnet sigue siendo un misterio. Muchos investigadores de seguridad computacional creen que el virus es tan complejo y sofisticado que para producirlo se habrían necesitado los recursos de una nación entera —o la combinación de varias—.

Una nueva versión de la ciberarma

Los investigadores de la firma de seguridad en internet Symantec dicen que ya identificaron un nuevo virus llamado Duqu, el cual creen que es el sucesor de Stuxnet, aunque no todos los especialistas en seguridad están de acuerdo.

“No es un copycat (una copia)”, insiste Orla Cox, de Symantec. “Quien haya creado éste (Duqu), tuvo acceso al mismo código fuente de Stuxnet”.

Cox dice que Duqu es, en esta etapa, un malware diseñado simplemente para espiar y recolectar información de los sistemas computacionales de Irán, pero sospecha que su fin último podría ser el sabotaje.

“Podría ser que Stuxnet no logró completamente lo que se deseaba la primera vez”, dijo Cox a CNN.

Duqu fue lanzado a finales de agosto de 2010, justo cuando Stuxnet ya había hecho daño, y sorprendió a muchos investigadores, quienes no esperaban ver otro virus de la misma complejidad tan inmediatamente.

Ralph Langner, el especialista alemán de seguridad computacional a quien se le acredita el descubrimiento de Stuxnet, dice que no importa quién creó Duqu. El problema, dice, es que Stuxnet, en su intento por detener la proliferación nuclear, podría haber dado inicio a su propia carrera armamentista.

“La primera arma de ciberguerra es comparable a la primer arma nuclear ”, escribió en un post de su blog recientemente. “Para construir la primera bomba nuclear tomó un genio como Oppenheimer y los recursos del Proyecto Manhattan. Copiar el diseño requiere solamente de un grupo de ingenieros; no se necesitan genios”.