Stuxnet va marcar un abans i un després en la història de la ciberseguretat. Descobert el 2010, és considerat la primera ciberarma dissenyada específicament per causar danys físics en infraestructures industrials, amb un objectiu atribuït de manera generalitzada al sabotatge del programa nuclear iranià.
El malware estava preparat per atacar sistemes de control de Siemens emprats en les centrifugadores d'enriquiment d'urani a l'Iran. El seu funcionament anava més enllà de l'espionatge o del robatori d'informació. Alterava el comportament de les màquines mentre mostrava als operadors dades falses que aparentaven una activitat normal, cosa que permetia que el deteriorament avancés sense ser detectat a temps pels enginyers.
Un sabotatge silenciós en instal·lacions aïllades
L'amenaça es propagava mitjançant memòries USB, un detall clau perquè el seu entorn d'actuació eren instal·lacions aïllades i sense connexió a Internet. Per obrir-se pas, Stuxnet explotava diverses vulnerabilitats desconegudes, conegudes en l'àmbit tècnic com a zero days, cosa que va elevar el seu nivell de sofisticació molt per sobre del malware habitual de la seva època.
Les estimacions apunten que va destruir una part rellevant de les centrifugadores de la planta de Natanz i que el seu impacte va arribar a endarrerir durant diversos anys el programa nuclear iranià. Tot i que mai hi va haver una confirmació oficial, nombrosos experts n'han atribuït el desenvolupament als Estats Units.
La troballa d'un possible precursor
Ara, investigadors de la firma de seguretat SentinelOne han identificat un malware anterior amb un modus operandi similar, creat al voltant del 2005 i conegut internament com a Fast16. La peça no estava orientada a destruir sistemes de manera directa, sinó a introduir errors progressius i difícils de detectar en entorns d'enginyeria i ciència d'alta precisió.
En aparença, Fast16 es presentava com un programa normal de Windows. Un cop actiu, podia introduir-se en programes importants de l'ordinador i modificar-los mentre estaven en execució, alterant resultats de càlculs i simulacions. Aquest disseny el feia especialment apte per manipular programari tècnic avançat usat en simulacions científiques destinades a estudiar explosions o impactes físics.
Manipulació encoberta i moviment dins de la xarxa
El malware incloïa a més un sistema que permetia als atacants canviar el seu comportament en temps real. També estava vinculat a un component homònim, Fast16, pensat per desplaçar-se dins de xarxes informàtiques mitjançant eines legítimes del mateix sistema operatiu, una tàctica que en complicava la detecció.
La diferència principal amb Stuxnet és que no buscava un dany físic immediat sobre maquinària industrial. El seu efecte era més subtil. Introduïa petites alteracions acumulatives en càlculs i simulacions, amb capacitat per desviar resultats sense aixecar sospites en un primer moment.
La pista de la NSA
El nom Fast16 ja havia aparegut el 2017 en una filtració d'eines associades a l'Agència de Seguretat Nacional dels Estats Units. En aquell material, Fast16 figurava vinculat a eines d'espionatge considerades fiables dins d'operacions d'intel·ligència.
SentinelOne no estableix una atribució definitiva, però els seus investigadors sostenen que el moment en què va ser creat, la seva complexitat tècnica i la seva posterior relació amb aquesta filtració suggereixen fermament un suport governamental o militar dels Estats Units o d'un aliat proper. La troballa reforça la idea que les operacions ofensives en el ciberespai feia anys que evolucionaven abans que Stuxnet tragués aquesta realitat a la llum pública.