Stuxnet marcó un antes y un después en la historia de la ciberseguridad. Descubierto en 2010, está considerado el primer ciberarma diseñado específicamente para causar daños físicos en infraestructuras industriales, con un objetivo atribuido de forma generalizada al sabotaje del programa nuclear iraní.
El malware estaba preparado para atacar sistemas de control de Siemens empleados en las centrifugadoras de enriquecimiento de uranio en Irán. Su funcionamiento iba más allá del espionaje o del robo de información. Alteraba el comportamiento de las máquinas mientras mostraba a los operadores datos falsos que aparentaban una actividad normal, lo que permitía que el deterioro avanzara sin ser detectado a tiempo por los ingenieros.
Un sabotaje silencioso en instalaciones aisladas
La amenaza se propagaba mediante memorias USB, un detalle clave porque su entorno de actuación eran instalaciones aisladas y sin conexión a Internet. Para abrirse paso, Stuxnet explotaba varias vulnerabilidades desconocidas, conocidas en el ámbito técnico como zero days, lo que elevó su nivel de sofisticación muy por encima del malware habitual de su época.
Las estimaciones apuntan a que destruyó una parte relevante de las centrifugadoras de la planta de Natanz y que su impacto llegó a retrasar durante varios años el programa nuclear iraní. Aunque nunca hubo una confirmación oficial, numerosos expertos han atribuido su desarrollo a Estados Unidos.
El hallazgo de un posible precursor
Ahora, investigadores de la firma de seguridad SentinelOne han identificado un malware anterior con un modus operandi similar, creado en torno a 2005 y conocido internamente como Fast16. La pieza no estaba orientada a destruir sistemas de forma directa, sino a introducir errores progresivos y difíciles de detectar en entornos de ingeniería y ciencia de alta precisión.
En apariencia, Fast16 se presentaba como un programa normal de Windows. Una vez activo, podía introducirse en programas importantes del ordenador y modificarlos mientras estaban en ejecución, alterando resultados de cálculos y simulaciones. Ese diseño lo hacía especialmente apto para manipular software técnico avanzado usado en simulaciones científicas destinadas a estudiar explosiones o impactos físicos.
Manipulación encubierta y movimiento dentro de la red
El malware incluía además un sistema que permitía a los atacantes cambiar su comportamiento en tiempo real. También estaba vinculado a un componente homónimo, Fast16, pensado para desplazarse dentro de redes informáticas mediante herramientas legítimas del propio sistema operativo, una táctica que complicaba su detección.
La diferencia principal con Stuxnet es que no buscaba un daño físico inmediato sobre maquinaria industrial. Su efecto era más sutil. Introducía pequeñas alteraciones acumulativas en cálculos y simulaciones, con capacidad para desviar resultados sin levantar sospechas en un primer momento.
La pista de la NSA
El nombre Fast16 ya había aparecido en 2017 en una filtración de herramientas asociadas a la Agencia de Seguridad Nacional de Estados Unidos. En aquel material, Fast16 figuraba vinculado a herramientas de espionaje consideradas fiables dentro de operaciones de inteligencia.
SentinelOne no establece una atribución definitiva, pero sus investigadores sostienen que el momento en que fue creado, su complejidad técnica y su posterior relación con esa filtración sugieren firmemente un respaldo gubernamental o militar de Estados Unidos o de un aliado cercano. El hallazgo refuerza la idea de que las operaciones ofensivas en el ciberespacio llevaban años evolucionando antes de que Stuxnet sacara esa realidad a la luz pública.