En junio de 2010, una empresa bielorrusa de ciberseguridad encontró algo asombroso: un gusano informático tan avanzado que cambiaría para siempre la forma de librar guerras. No se trataba de un malware más que robaba números de tarjetas de crédito o colapsaba ordenadores. Era la primera arma digital del mundo capaz de destruir cosas más allá de las fronteras sin disparar una sola bala. El descubrimiento de Stuxnet marcó el inicio de una nueva era para las personas: la era de la ciberguerra.
El comienzo de la guerra digital
Algo extraño ocurría en las profundidades de la planta de enriquecimiento de uranio de Natanz (Irán) a finales de la década de 2000. Las delicadas máquinas que Irán utiliza para enriquecer uranio para su programa nuclear, llamadas centrifugadoras, giraban sin control y se averiaban. Los ingenieros iraníes estaban confusos. Los sistemas de control decían que todo funcionaba como debía. Las lecturas de los equipos mostraban que todo funcionaba perfectamente. Pero cada semana, cientos de centrifugadoras se averiaban a lo grande.
Los científicos iraníes no sabían que eran el objetivo de la Operación Juegos Olímpicos, un programa secreto de cibersabotaje realizado por Estados Unidos e Israel. El presidente George W. Bush inició la operación en 2006, y el presidente Barack Obama la aceleró. Su objetivo era audaz: detener o ralentizar el programa de armas nucleares de Irán sin recurrir a ataques militares que pudieran desencadenar una guerra en Oriente Próximo.
Crearon Stuxnet, un gusano informático más complicado que ningún otro. Stuxnet era diferente de otros tipos de malware que roban datos o causan problemas en el mundo digital. Estaba hecho para cruzar la línea entre el mundo digital y el físico. Estaba hecho para romper.
Cómo funcionó Stuxnet: Una obra de arte de la ingeniería del mal
La tecnología de Stuxnet era alucinante. El malware se aprovechó de cuatro vulnerabilidades de día cero en Microsoft Windows, que son más de las que ha utilizado cualquier otro ataque. Las vulnerabilidades de día cero son agujeros de seguridad que los fabricantes de software desconocen. A los hackers les encantan y normalmente se las guardan para ellos. Utilizar cuatro a la vez era muy inusual y demostraba cuánto dinero había detrás de la operación.
Stuxnet se propagó a través de unidades USB infectadas, que es una forma inteligente de entrar en lo que los expertos en ciberseguridad denominan redes "air-gapped", es decir, sistemas aislados de Internet por motivos de seguridad. Cuando un trabajador desprevenido conectó una unidad USB infectada a un ordenador de las instalaciones de Natanz, el gusano se instaló silenciosamente y empezó a buscar cosas.
A Stuxnet, en cambio, no le importaban todos los ordenadores. Buscaba un objetivo muy concreto: El software Siemens Step 7, que controlaba los controladores lógicos programables (PLC) de las centrifugadoras iraníes de enriquecimiento de uranio. Stuxnet permanecía inactivo si el software no estaba allí. El gusano pudo propagarse a más de 100.000 ordenadores de todo el mundo, y alrededor de dos tercios de las infecciones se produjeron en Irán. Esto se hizo para limitar los daños a otros ordenadores.
Una vez que Stuxnet encontró su objetivo, envió una carga mortal. El malware se apoderó de los PLC e introdujo pequeños cambios en su programación para que las centrifugadoras giraran a diferentes velocidades, a veces demasiado rápido y a veces demasiado lento. Estos cambios, que al principio no eran perceptibles, sometieron a las centrifugadoras a un estrés físico que provocó que se averiaran y acabaran dejando de funcionar.
Lo brillante del diseño de Stuxnet era cómo engañaba a la gente. Enviaba datos falsos a los sistemas de control mientras saboteaba las centrifugadoras, creando un "bucle" de valores operativos normales. Los ingenieros iraníes que vigilaban sus pantallas pensaban que todo funcionaba perfectamente. Durante meses, nadie supo por qué las centrifugadoras se averiaban sin que nadie lo viera.
El elemento humano: El trabajo mortal de un ingeniero holandés
Durante años, nadie supo cómo Stuxnet se introdujo en las instalaciones de seguridad de Natanz. En enero de 2024, una investigación periodística holandesa descubrió un hecho sorprendente: un agente humano había entrado físicamente en la instalación para plantar el malware.
Un ingeniero holandés de 36 años llamado Erik van Sabben fue contratado por los servicios de inteligencia holandeses AIVD en 2005 y fue una pieza clave de la operación. En muchos sentidos, Van Sabben era el agente perfecto. Trabajaba para una empresa de transportes con sede en Dubai que colaboraba con la industria del petróleo y el gas de Irán. Estaba casado con una iraní, lo que le daba cobertura y la posibilidad de viajar a Irán sin levantar sospechas.
Van Sabben irrumpió en el complejo nuclear subterráneo de Natanz en 2007 e introdujo equipos, que al parecer eran bombas de agua, que llevaban una versión temprana del virus Stuxnet. Fueron necesarios años de planificación y cooperación entre la CIA, el Mossad israelí y las agencias de inteligencia holandesas para llevar a cabo la infiltración.
La historia da un giro a peor. Van Sabben se asustó y quiso abandonar Irán tras un solo día durante una visita familiar a finales de 2008. Murió en un accidente de moto en enero de 2009, dos semanas después de regresar a Dubai. Algunas personas de la comunidad de inteligencia holandesa dijeron que Van Sabben "pagó un alto precio" por lo que hizo, aunque el accidente no se consideró sospechoso. Aún quedan muchos interrogantes sobre su muerte.
El efecto: Aplazar los objetivos nucleares de Irán
Stuxnet ya había causado muchos daños cuando fue descubierto en 2010. Se cree que el gusano destruyó unas 1.000 centrifugadoras, casi una quinta parte de la capacidad total de enriquecimiento de Irán. Esto retrasó el programa nuclear iraní entre uno y dos años, dando tiempo a que las conversaciones diplomáticas y las sanciones económicas surtieran efecto.
Los efectos psicológicos pueden haber sido igual de graves. Los extraños fallos hicieron que la gente del programa nuclear iraní perdiera la confianza. Se despidió a ingenieros por considerarlos incompetentes. Cambiaron al responsable del programa nuclear iraní. El hecho de que sus instalaciones más seguras hubieran sido asaltadas y dañadas les volvió paranoicos e inseguros, y este sentimiento perduró mucho después de que se arreglaran los daños técnicos.
Abrir la caja de Pandora: Lo que ocurre en el mundo
El descubrimiento de Stuxnet conmocionó a la comunidad de la ciberseguridad. Muchos expertos vieron enseguida que el logro técnico era impresionante, pero también sentaba un peligroso precedente. Stuxnet demostró que los ciberataques podían dañar cosas en el mundo real. Demostró que importantes infraestructuras como centrales eléctricas, plantas de tratamiento de aguas y sistemas de transporte podían ser atacadas digitalmente.
La periodista especializada en ciberseguridad Kim Zetter escribió en su libro "Countdown to Zero Day" que "cuando lanzas un arma cibernética, no sólo envías el arma a tus enemigos
Tras el descubrimiento de Stuxnet, empezaron a aparecer otros programas maliciosos similares:
Duqu (encontrado en 2011) era casi igual que Stuxnet, pero estaba hecho para espiar en lugar de destruir cosas. Grababa pulsaciones de teclas, capturas de pantalla e información del sistema, probablemente para recabar información para futuros ataques.
Flame, descubierto en 2012, era aún mayor y más complicado que Stuxnet. Pesaba más de 20 MB, frente a los 500 KB de Stuxnet. Este enorme kit de herramientas de ciberespionaje podía grabar conversaciones a través de los micrófonos de los ordenadores, hacer capturas de pantalla, registrar pulsaciones de teclas, husmear el tráfico de red y propagarse por Bluetooth a dispositivos que no estuvieran conectados a Internet.
Gauss, descubierto en 2012, iba tras sistemas bancarios de Oriente Próximo. Tenía un módulo cifrado que solo podía descifrarse en determinados sistemas objetivo. El spyware se creó para robar información de acceso de bancos libaneses.
El nuevo campo de batalla: La ciberguerra ya es real
Stuxnet cambió radicalmente la mentalidad de los países sobre la guerra. En 2012, Leon Panetta, antiguo Secretario de Defensa de Estados Unidos, advirtió de que podría producirse un "Pearl Harbor cibernético" que detuviera trenes, envenenara el suministro de agua y desconectara las redes eléctricas. Las preocupaciones resultaron ser ciertas.
El ataque de ransomware WannaCry de 2017, vinculado a Corea del Norte, se aprovechó de un fallo llamado EternalBlue que supuestamente realizó la Agencia de Seguridad Nacional de Estados Unidos lo consiguió y luego salió a la luz. WannaCry infectó más de 200.000 ordenadores en 150 países, cerrando hospitales del Servicio Nacional de Salud del Reino Unido y costando miles de millones de dólares en daños.
Irán empezó a desarrollar sus propias capacidades cibernéticas después de Stuxnet. Piratas informáticos iraníes atacaron grandes bancos estadounidenses en 2012 y 2013. También irrumpieron en los sistemas de control de una pequeña presa en Nueva York, lo que es aún más preocupante. Irán comenzó los ciberataques contra Saudi Aramco dos años después de conocer la existencia de Stuxnet. Los piratas informáticos destruyeron los datos de 30.000 ordenadores y más tarde atacaron bancos estadounidenses, lo que costó millones de dólares en pérdidas de negocio.
La moralidad de la guerra digital
Stuxnet plantea profundas cuestiones morales y jurídicas que aún deben resolverse. ¿Fue un acto de guerra? ¿Un acto deliberado de sabotaje? ¿Una forma real de hacer negocios por parte del gobierno? Los expertos dicen que la falta de leyes internacionales sobre ciberarmas crea una "peligrosa zona gris".
Cuando se utilizan herramientas cibernéticas, es difícil controlarlas después. Como demostró la infección mundial de Stuxnet, pueden propagarse a lugares a los que no estaban destinadas. Los enemigos pueden atraparlas, estudiarlas y utilizarlas para sus propios fines. El problema de la atribución -demostrar de forma inequívoca quién ha lanzado un ciberataque- sigue siendo difícil, lo que podría permitir ataques sin responsabilidad.
También resulta irónico que las armas cibernéticas se utilicen para detener la proliferación de armas nucleares. Kennette Benedict, director ejecutivo del Boletín de los Científicos Atómicos, declaró: "El primer uso militar reconocido de la guerra cibernética es ostensiblemente para impedir la propagación de armas nucleares. Pero al hacerlo, puede que hayamos abierto la puerta a una forma de guerra aún más peligrosa."
El legado de Nitro Zeus: Una ciberguerra a gran escala
Lo que Stuxnet mostró sobre las herramientas de ciberguerra de mayor envergadura que se están fabricando es probablemente lo más preocupante. El programa Nitro Zeus, que se hizo público en 2016, demostró que Stuxnet era solo una pequeña parte de un conjunto mucho mayor de armas cibernéticas.
"Gastamos cientos de millones, tal vez miles de millones en ello", dijo una fuente anónima de la Agencia de Seguridad Nacional. "Estábamos dentro, esperando y vigilando. Estábamos preparados para utilizar ciberataques para interrumpir, degradar y destruir esos sistemas". En comparación, Stuxnet fue una operación clandestina. [Nitro Zeus] era el plan para una ciberguerra a gran escala sin atribución".
Con Nitro Zeus, la NSA podía atacar los sistemas de mando y control de Irán, desactivar las defensas aéreas y atacar las redes eléctricas, las comunicaciones y los sistemas financieros. No se trataba sólo de centrales nucleares
Vivir a la sombra de Stuxnet
El legado de Stuxnet sigue afectando a la seguridad mundial más de diez años después de su descubrimiento. Demostró que se podía cruzar la línea que separa el mundo digital del real. Demostró que el código podía utilizarse para librar guerras tan bien como las bombas. Demostró que incluso los sistemas más seguros que no están conectados a Internet pueden ser pirateados por personas astutas y que saben cómo hacer negocios.
El malware también demostró que los sistemas de control industrial siguen teniendo agujeros de seguridad básicos que hay que solucionar. Muchos de estos sistemas se construyeron hace años sin pensar demasiado en la ciberseguridad. Nunca se pensó que pudieran conectarse a Internet o ser pirateados por hackers de otros países.
Un mundo cambiado
¿Causó Stuxnet la Tercera Guerra Mundial? Tal vez no en la forma habitual de concebir un conflicto militar global. Pero sí dio comienzo a un nuevo tipo de guerra, una que se libra en las sombras del ciberespacio, donde las armas están hechas de código en lugar de acero y el campo de batalla se extiende a todos los ordenadores, redes e infraestructuras del planeta.
Las operaciones cibernéticas son ahora una parte normal del funcionamiento de un gobierno. Las armas digitales que no se ven pueden causar daños reales. Donde el próximo ataque podría no provenir de bombarderos que vuelen sobre nosotros, sino del código que se introduce en los sistemas que utilizamos a diario. Donde la línea que separa el espionaje en tiempos de paz del ataque en tiempos de guerra se ha vuelto peligrosamente delgada.
Stuxnet fue una maravilla técnica, un arma compleja que alcanzó sus objetivos con pocas muertes. Pero también fue un punto de no retorno. Una vez mostradas, las habilidades de guerra cibernética que demostraba no podían retirarse. El genio había salido de la botella.
La cuestión ya no es si los países utilizarán armas cibernéticas
Una cosa es segura mientras nos adentramos en este futuro incierto: el mundo es muy diferente ahora que ha ocurrido lo de Stuxnet. En cierto modo, todos estamos viviendo las primeras fases de un nuevo tipo de guerra global. Esta guerra es diferente de la mayoría de las demás porque no tiene un final claro a la vista. La mayoría de las guerras terminan con tratados y armisticios.
Todavía estamos descifrando las reglas de la carrera armamentística digital mientras luchamos en ella.