Ciberguerra y malware

Es un hecho muy preocupante a muchos niveles", afirma Ronald Deibert, director de Citizen Lab un think-tank sobre Internet de la Universidad de Toronto (Canadá), que dirige investigaciones sobre las ciberguerras, la censura y el espionaje. "En el contexto de la militarización del ciberespacio, los gobernantes de todo el mundo deberían estar preocupados".

Efectivamente, la expansión de ese código podría resultar desestabilizadora. La estrategia de ciberguerra del Pentágono, por ejemplo, deja claro que los ataques informáticos sobre infraestructuras industriales y civiles como fábricas de químicos o centrales eléctricas, así como las redes militares podría ser el equivalente a un bombardeo u otro tipo de ataque convencional si pone en peligro las vidas de civiles.

La empresa de seguridad Symantec describió Duqu el martes pasado, explicando que el objetivo del código malicioso parece ser recopilar información de sistemas informáticos de control industrial. No daña los equipos, sino que los espía para recoger información relevante para poder llevar a cabo ataques en el futuro.

Los investigadores de Symantec han escrito que Duqu lleva diez meses circulando y es "básicamente el precursor de un futuro ataque del estilo de Stuxnet", pero cuyo objetivo es desconocido. El código es capaz de hacer un seguimiento de mensajes y procesos y puede buscar información, incluyendo el diseño de los sistemas denominados SCADA (que son las siglas en ingles de "control supervisor y obtención de datos"). Son sistemas informáticos que se usan en plantas industriales y centrales eléctricas para controlar cosas como bombas, válvulas y otra maquinaria.

El código lo descubrió originalmente un equipo de investigación anónimo europeo en un puñado de sitios que no han sido identificados y lo entregó a Symantec para que lo analizara el 14 de octubre, según la empresa.

El gusano Stuxnet fue creado específicamente para la planta de Natanz en Irán, donde el enriquecimiento de uranio se lleva a cabo en búnkeres subterráneos reforzados. Irán sostiene que Natanz es un esfuerzo pacífico para crear combustible para plantas nucleares, pero algunos observadores temen que también sirva como programa de fabricación de armamento.

Stuxnet iba mucho más allá de apagar o entorpecer las operaciones. Después de infectar los sistemas de control de Siemens, lanzó instrucciones para dañar centrifugadoras delicadas en las que el uranio de grado de bomba o de reactor se separa del uranio que se da en la naturaleza. Con un toque hollywoodiense, al mismo tiempo el gusano exhibía información normal en las pantallas de los ordenadores para que los operadores humanos no notaran los ataques.

Stuxnet está considerado casi por unanimidad como el software malicioso más sofisticado que se haya creado jamás. A principios de este año el periódico The New York Times informó de que agentes israelíes habían probado Stuxnet en centrifugadoras de Israel y destacaba que ésta y otras pistas implicaban que Stuxnet pudo haber sido "creado como un proyecto americano-israelí para sabotear el programa iraní".

Pero no se sabe mucho más. "No sabemos para qué es. La especulación inicial es que es un precursor del próximo Stuxnet, pero no sabemos nada", afirma Bruce Schneier, criptólogo y experto en seguridad. "Es lo que es. No sabemos".

Duqu crea una especie de "puerta de atrás" que puede recibir órdenes de y enviar información a un servidor denominado comando y control que está situado en algún lugar de India. (No consta que ese servidor haya enviado instrucciones, según Symantec). La empresa afirma que la puerta de atrás permanece abierta solo durante 36 días, pasados los cuales el software malicioso se auto destruye.

Symantec explica que sus investigadores -después de enviar una herramienta de detección tras el descubrimiento del código en Europa- han hallado Duqu en ordenadores industriales "en todo el mundo". Al igual que Stuxnet, que infectó miles de ordenadores en 155 países el año pasado, Duqu se introdujo en los ordenadores víctimas por medio de un certificado digital robado -un código criptográfico que autentifica un trozo de software en un equipo objetivo. "En general, esto subraya la importancia clave de las políticas y prácticas de seguridad ciberespacial, a nivel nacional, regional e internacional", afirma Deibert.