*JUAN MARTORANO
A 994 días del inicio de la contingencia en la República Bolivariana de Venezuela producto de la pandemia global de la Covid 19, en la finalización de la semana 142 de esta contingencia, y siendo el domingo 04 de diciembre de 2022, continuaré desarrollando ahora por escrito algunas de las reflexiones que realicé sobre el título de este articulo que así mismo es el título de una conferencia que elaboré para compañeros militares en Fuerte Tiuna como indiqué en ediciones anteriores de esta columna.
En la edición anterior había señalado que colocaría algunos ejemplos de acciones de ciberguerra, y me detendría particularmente en el ataque del gusano informático Stuxnet y de los daños que ocasionó en el año 2010 a la planta nuclear de Natanz, en Irán.
Por ejemplo, en marzo de 2014 el gobierno ruso supuestamente habría perpetrado una acción de guerra cibernética, específicamente un ataque DOS (Denegación de Servicio) que interrumpió el acceso a internet en Ucrania, permitiendo a partidarios de su causa (esto fue cuando realmente comenzó el conflicto ruso- ucraniano y no en febrero de 2022 como algunos pudieron creer) tomar el control del Crimea con más facilidad al mantener al enemigo incomunicado.
El 24 de noviembre de 2014 se atribuyó a piratas informáticos asociados al gobierno de la República Democrática Popular de Corea (Corea del Norte) el ataque contra Sony Picture, después de que esta empresa estrenara la película “The Interview”. Una comedia la cual trata sobre un complot para asesinar al líder norcoreano Kim Jon Un. Los funcionarios de inteligencia de EEUU, tras evaluar el software, las técnicas y las fuentes de red utilizadas en el hackeo, alegaron que el ataque fue patrocinado por el gobierno de Corea del Norte, que desde entonces ha negado toda responsabilidad en el mismo.
También hubo un ataque en el año 2015 al parlamento alemán, que algunos pretenden atribuírsele al gobierno ruso. Lo cierto es que este ataque causo una perturbación masiva cuando el ataque infectó 20 mil computadoras utilizadas por políticos alemanes, miembros del personal de apoyo y funcionarios. Se robaron datos sensibles y los atacantes exigieron varios millones de euros para limpiar o resolver los daños. Un perfecto ejemplo de una operación de ransom ware como indiqué en la edición anterior de esta columna.
En el año 2015 se acusó a ciberdelincuentes supuestamente respaldados por China de penetrar en el sitio web de Administración de Personal del gobierno de Estados Unidos para sustraer datos de aproximadamente 22 millones de empleados actuales y antiguos del gobierno de ese país, específicamente del gobierno federal.
Otro ataque que ha impactado fue el ocurrido un frío día de diciembre de 2016, donde más de 230.000 ciudadanos y ciudadanas de Ucrania sufrieron un apagón masivo, esto como resultado de instrucciones remotas en tres empresas regionales de distribución de energía eléctrica. Se sospecha que el ataque se originó en Rusia, donde los hackers inundaron las líneas telefónicas con un ataque DOS, que ya ha sido explicado a lo largo de estos trabajos que he venido presentando a la opinión pública, además de haber utilizado malware para atacar y destruir los datos de los discos duros de las empresas afectadas.
Aunque el suministro de energía eléctrica se restableció en cuestión de horas, las empresas tardaron meses en recuperar la plena funcionabilidad de los centros de control que habían sido atacados.
En 2016, 2017 y de nuevo en 2018, variaciones del malware conocido como “shamun” atacaron empresas del Medio Oriente y Europa. La investigación de amenazas avanzadas de MAcAfee arrojó que un grupo de hackers iraníes APT 33 sería probablemente el responsable de estos ataques.
Pero acá si quiero detenerme un poco sobre el que algunos consideran el primer caso de ciberguerra (personalmente discrepo de ese criterio, pero así ha sido considerado) en toda la definición de la palabra, como lo fue el empleado por el gusano Stuxnet, a la planta nuclear de Natanz, en Irán, como lo he señalado anteriormente.
Este ataque se ha relacionado con Estados Unidos e Israel, específicamente a la unidad 8.200, quienes habrían sido los responsables de la creación de este gusano informático para atacar el programa nuclear iraní. Pero ninguna de las dos naciones ha reconocido formalmente su papel en este ataque.
Stuxnet es un gusano informático que fue descubierto por primera vez por los laboratorios de Kaspersky, en Rusia, por los desarrolladores del antivirus NOD32 que seguramente muchos conocen.En 2010 los laboratorios de Kaspersky recibieron la muestra de este “virus”, el cual no se había identificado en aquel momento y empezaron a analizarlo.
Normalmente, cuando se descubre un nuevo virus, el procedimiento es tomar ese programa y empezar a analizarlo, descodificarlo, pasarlo a un código máquina básico, leerlo e intentar entender todo lo que se pueda, es buscar instrucciones, patrones y entender lo que más o menos el virus intenta hacer. Normalmente este proceso toma unos cuantos días, o una semana a lo mucho.
Sin embargo, con Stuxnet, este proceso tardó más de seis meses.
Una de las primeras cosas que hizo Kaspersky fue subir este código y lo que habían sido capaces de encontrar y compartirlo con el resto de la comunidad interesada en seguridad. Dentro de esta comunidad interesada en seguridad se encontraba la empresa Symantec, empresa californiana muy conocida a nivel mundial, porque son los desarrolladores del norton antivirus y que más allá de realizar los antivirus que muchas veces usamos en nuestras computadoras, también esta empresa se dedica a la seguridad en el tema informático.
Pues bien, este virus tenía características alucinantes para cualquiera que maneje el tema informático. Cosas que nunca antes se habían visto, como por ejemplo, el virus para empezar pesaba unas seis veces más de lo que suele pesar un virus normalmente en cuanto al tamaño de fichero. Por otro lado, aprovechaba unas vulnerabilidades muy peculiares del sistema operativo Windows. Cabe destacar que los programas tienen fallos de seguridad, a veces aprovechando bugs, se aprovechan de errores o descuidos de los programadores se pueden encontrar formas de evadir lo que viene a ser el sistema de jerarquía básico de esta aplicación.
Por ejemplo, podríamos conseguir entrar en Windows como administrador o conseguir pasar un archivo a una máquina de Windows sin que el usuario se dé cuenta, comprometiendo así la seguridad del pc. Este tipo de vulnerabilidades se aprovechan haciendo pequeños programas que se encargan de abrir estas brechas y se denominan “exploits” , que es como el que coloca una mina para que estalle y así aprovechar esas vulnerabilidades y abrir brechas, valga la redundancia.
Pero hay un tipo de vulnerabilidades muy especiales. Se trata de las vulnerabilidades “Zero Days” o sea, vulnerabilidades “cero días”, que se tratan de vulnerabilidades que generalmente las descubren hackers, pero los desarrolladores no están al tanto de esto, no sabe que este problema existe, por lo cual no ha dedicado ningún día para solucionar esta incidencia, ya que no ha sido reportada, por lo que este es un elemento que es muy aprovechado por hackers y desarrolladores de virus en todo el mundo, porque si realmente llegas a tener conocimiento de un exploit que jamás ha sido cubierto, que ni siquiera se conoce la vulnerabilidad que busca explotar, entonces tienes el control para hacer lo que quieras y afectar el equipo o los equipos que quieras.
Este tipo de vulnerabilidades cuando se descubren, generalmente son vendidas al “mercado negro”, y un exploit de estas características puede llegar a costar cientos de miles de euros; dependiendo, claro está.
El hecho curioso con Stuxnet es que se aprovechaba de cuatro vulnerabilidades distintas “zero days” de Windows , las cuales no son muy comunes, ya que se suelen encontrar unas 5 a 7 en un año, lo que es bastante raro.
Otro elemento importante es que Stuxnet estaba firmado por Realtek. Básicamente todos los drivers y programas básicos que corren en Windows necesitan un certificado para realmente corroborar que ese software no es hecho por una tercera parte maliciosa sino que realmente lo ha hecho esa empresa. Solo los drivers oficiales de las placas de sonido están firmados por Realtek, nada más en el mundo y con un código con el cual se firma, se le pone el sello al driver y está pactado entre Microsoft y Realtek, y nadie más tiene acceso, ya que se encuentra en una sala en una computadora que no está conectada a internet y que para acceder a ella hay que atravesar puertas con lecturas biométricas y códigos de seguridad, por lo cual, no es nada fácil conseguir este código para firmar un software de forma ilícita.
Esto quiere decir que estaríamos hablando de elementos de espionaje o de la participación de gobiernos en acciones de ciberguerra de manera clandestina. Ya que se desconoce cuál fue el proceso para conseguir esta firma digital.
Bueno Stuxnet rápidamente infectó a todo el mundo. Su principal vía de transmisión eran los pent drives, usb, más sin embargo, tenía otros y variados métodos para transmitirse, no sólo ese, y llegó a computadoras de prácticamente todo el planeta. Aparentemente este virus no hacía nada, no se encontraba realmente cual era el payload que se trata de la finalidad de lo que el virus pretende hacer una vez instalado en los equipos.
Así que tras semanas y semanas de investigación, se empezaron a entender pequeñas partes de su código, además que el mismo era larguísimo. Y encontraron algunas partes en donde se hacía referencia a un sistema de siemens y un modelo. Un PLC es básicamente un modelo de computadora a la cual se le puede programar para que haga tareas básicas a través de un aparato físico, como por ejemplo las pc que controlan los brazos mecánicos, los que controlan los semáforos, incluso cadenas de montaje, o sea, son mecanismos muy especializados para controlar maquinarias concretas, básicamente se emplea un lenguaje de programación bastante básico que se instala y el PLC es capaz de dar instrucciones a esa maquinaria.
Y he aquí lo extraño de todo esto. ¿Para qué infectar un PLC? Y Stuxnet, además de infectar los computadores, infectaba con código malicioso dentro de un PLC, a un modelo muy concreto y se trataba de una caja gris y conseguir un exploit para este tipo de aparatos no es nada simple y cabría la pregunta del por qué atacar a un dispositivo físico de este tipo.
Pues esta es la parte que más miedo da, porque estos aparatos se encuentran a la base de las infraestructuras que hoy sostienen ciudades enteras. De ahí que atacar, por ejemplo un PLC de una central nuclear y hacerla fallar o PLC de centrales eléctricas, podrías dejar ciudades enteras si este servicio, e incluso causar pérdidas de vidas humanas.
Pero, para el momento del ataque de Stuxnet a la central nuclear de Natanz no se conocía exactamente el objetivo del virus, por lo que se tuvo que analizar cuáles eran los países del mundo más atacados por este virus, y ahí es en donde se pudo constatar que la República Islámica de Irán era la principal víctima de los ataques de este gusano informático.
Irán fue el país con más PLC infectados en el mundo, y esto les hizo sospechar que había algo de interés y que además tuviera PLC s . Así que investigaron un poco más de PLC y descubrieron que este modelo en concreto se utilizaba para centrifugadoras de uranio, y en especial la planta de tratamiento de uranio enriquecido en Natanz. Una planta creada para impulsar la energía nuclear en Irán , pero que en las imágenes de satélite se podía observar que además de ser una simple planta nuclear industrial con unos cuantos edificios, poco a poco se fue sumergiendo bajo tierra, es decir, construyeron edificios bajo tierra dejando a los de la superficie prácticamente para almacenamiento de logística. Además esta planta de tratamiento estaba altamente vigilada por equipos de seguridad tanto aéreos como de tierra.
Stuxnet era un virus muy especial preparado para aprovechar un punto muy específico, un ordenador muy específico con un modelo muy especifico que se fue propagando por todo el mundo hasta que consiguió llegar a esta planta. Lo peor de todo es que ni siquiera había internet por razones de seguridad. Por lo que se especula que técnicos informáticos, utilizando un pent drive introdujeron el virus. Las centrifugadoras de uranio se encargan de agitar el uranio en forma de gas para enriquecerlo. En Natanz había 3.000 centrifugadoras distintas que son extremadamente delicadas y costosas.
Stuxnet logró ingresar al ordenador central que controlaba estas centrifugadoras y durante dos semanas fue extrayendo los datos de los pequeños PLC que tenían estos dispositivos que eran marca Siemens que específicamente en su código este gusano informático poseía. Estos datos de control son muy importantes porque permiten a los técnicos de la planta vigilar que todo marchara bien dentro de la misma. Transcurridas esas dos semanas, entonces se activó y empezó a atacar los diferentes PLC de las centrifugadoras, básicamente instalando un programa que hacía aumentar las revoluciones de las centrifugadoras de forma peligrosa. Después de unos minutos de acelerar la centrifugadora, luego la reducía a una velocidad muy lenta.
Estos cambios bruscos en la velocidad de las centrifugadoras empezaron a hacer que estas se rompieran, se la abrieran grietas o incluso algunas llegasen a explotar.
Incluso Stuxnet hizo como las películas de acción en la que el espía se infiltra, pincha la cámara de seguridad e introduce una grabación para que el guardia de seguridad no vea lo que realmente está pasando. Es decir el virus le enviaba señales al computador de que todo “estaba bien”, mientras ocurrían estos daños en las centrifugadoras.
El virus se activaba, rompía unas cuantas centrifugadoras y luego se volvía a apagar. Esto ocurría cada 28 días, y lo volvía a hacer y así sucesivamente.
Se sabe que durante este período de tiempo en el cual este virus estuvo activo logró destruir unas mil centrifugadoras de la central de Natanz. Obviamente no se conocen todos los detalles por razones de seguridad de Estado de la República Islámica de Irán. Pero tras todo el análisis realizado y la relación de los hechos se llegó a la conclusión de que el virus fue el responsable de estos daños y del ataque al programa nuclear iraní.
La respuesta de esta acción por parte de Irán a los ataques de EEUU e Israel fue el hackeo de páginas de bancos de EEUU en la que no se podía acceder a los mismos vía web y consiguieron tener unos cuantos servicios.
Esta edición estuvo algo extensa, pero era necesaria para poder entender sobre la gravedad y además la peligrosidad que las acciones de guerra cibernética tiene en el mundo. Pero esta historia continuará…
¡Bolívar y Chávez viven y sus luchas y la Patria que nos legaron siguen!
¡Independencia y patria socialista!
¡Viviremos y Venceremos!
* Abogado, Defensor de Derechos Humanos, Militante Revolucionario y de la Red Nacional de Tuiteros y Tuiteras Socialistas. , jmartoranoster@gmail.com, j_martorano@hotmail.com , juan_martoranocastillo@yahoo.com.ar , cuenta tuiter e instagram: @juanmartorano, cuenta facebook: Juan Martorano Castillo. Canal de Telegram: El Canal de Martorano.