Stuxnet

Stuxnet es un gusano informático que se utilizó para atacar instalaciones nucleares iraníes. Aprende más sobre este ciberataque significativo a continuación.

ANTIVIRUS GRATIS

¿Qué es Stuxnet?

Stuxnet es un gusano informático malicioso que se hizo infame por su uso para atacar instalaciones nucleares iraníes. Ese ataque fue noticia mundial en 2010 cuando fue descubierto por primera vez. Como dijo Jérôme Segura, Director Senior de Inteligencia de Amenazas de Malwarebytes en su artículo Stuxnet: new light through old windows, "Muy pocas piezas de malware han captado la misma atención mundial que Stuxnet."

Aunque como gusano informático, Stuxnet es software malicioso, se ha utilizado para atacar equipos electromecánicos. Como en el caso del gran ataque en Irán, los atacantes usaron Stuxnet para explotar múltiples vulnerabilidades zero-day en Windows, buscar PCs infectadas con conexión al software que controlaba el equipo electromecánico y enviar instrucciones destinadas a dañar el equipo. Mientras que muchos tipos de malware infectan un ordenador a través de Internet, otra característica única del ataque de Stuxnet en Irán es que el malware se introdujo en los PCs a través de unidades USB infectadas.  

¿Es Stuxnet un virus?

Muchos llaman al malware "virus Stuxnet" a pesar de que no es un virus informático, sino un gusano informático. Aunque tanto los virus como los gusanos son tipos de malware que pueden corromper archivos, un gusano informático puede ser mucho más sofisticado. Para empezar, a diferencia de un virus, un gusano no requiere interacción humana para activarse. En su lugar, se autolimita, a veces de forma prolífica después de entrar en un sistema. Además de borrar datos, un gusano informático puede sobrecargar redes, consumir ancho de banda, abrir una puerta trasera, disminuir el espacio del disco duro y depositar otros malware peligrosos como rootkits, spyware y ransomware.

¿Qué fue el ataque de Stuxnet en Irán?

Según el libro “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon”, en 2010, los inspectores visitantes de la Agencia de Energía Atómica se sorprendieron al ver que muchas de las centrifugadoras de Irán fallaban. Ni los iraníes ni los inspectores podían entender por qué el equipo fabricado por Siemens, diseñado para enriquecer uranio para alimentar reactores nucleares, estaba funcionando mal de manera tan catastrófica.

Era difícil imaginar que una pieza de software malicioso era la responsable. Después de todo, las instalaciones nucleares de Irán estaban air gapped, lo que significa que no estaban conectadas a una red ni a Internet. Para que sucediera un ataque de malware en la planta de enriquecimiento de uranio air gapped, alguien debió haber introducido físicamente el malware, tal vez a través de una unidad USB infectada.

Cuando un equipo de seguridad de Bielorrusia vino a investigar algunas computadoras funcionando mal en Irán, encontró un software malicioso altamente complejo. Este malware agresivo más tarde se expandiría más allá, y los investigadores lo llamaron Stuxnet, la "primera arma digital del mundo".

¿Por qué Stuxnet fue tan peligroso?

Los expertos llaman a Stuxnet un código increíblemente complejo y la primera ciberarma del mundo. Puede haber degradado físicamente casi 1000 centrifugadoras iraníes. Stuxnet funcionó infectando los controladores lógicos programables (PLC) que controlaban las centrifugadoras y saboteándolos.  

Las centrifugadoras giran a velocidades extraordinariamente rápidas, creando una fuerza muchas veces mayor que la gravedad para separar los elementos en el gas de uranio. El gusano manipuló la velocidad de operación de las centrifugadoras, creando suficiente estrés para dañarlas. Stuxnet se tomó su tiempo, esperando semanas para ralentizar las centrifugadoras después de acelerarlas temporalmente, haciendo que sus actividades fueran difíciles de detectar.

Stuxnet también fue difícil de detectar porque era un malware completamente nuevo, una amenaza emergente sin firmas conocidas. Además, Stuxnet explotó múltiples vulnerabilidades zero-day, que son fallos de seguridad en software sin corregir.

Stuxnet también envió señales falsas a los sensores de control de procesos industriales para ocultar su presencia y actividad maliciosa. Además, Stuxnet también fue capaz de instalar un rootkit. Los rootkits pueden dar a un actor de amenazas el control del sistema en su núcleo. Con una instalación de rootkit, Stuxnet era más capaz de actuar furtivamente.

Mejores prácticas de ciberseguridad para redes industriales

Medidas sólidas de ciberseguridad son críticas para cualquier negocio. Los informes de ciberataques aparecen regularmente en las noticias, y no siempre es software malicioso atacando software útil; como en el caso de Stuxnet, el malware puede usarse para atacar dispositivos electromecánicos, hardware e infraestructura.

Uno de los incidentes de ciberseguridad más notables de 2021 fue un ataque de ransomware que cerró el mayor oleoducto de combustible en EE.UU. durante casi una semana. Luego se determinó que un solo password comprometido permitió el ataque. Otros objetivos de ataques de ransomware durante el año incluyeron el mayor empacador de carne del mundo y el mayor servicio de ferry en Massachusetts.

Ya sea ransomware, gusanos informáticos, phishing, compromiso de correo electrónico empresarial (BEC), u otra amenaza que te mantiene despierto en la noche, puedes tomar medidas para proteger tu negocio. En nuestra misión de llevar ciberprotección a todos, Malwarebytes ofrece soluciones de seguridad para empresas de todos tamaños. Tu empresa también puede adoptar las mejores prácticas de seguridad, como:

  • Aplica una estricta política de Bring Your Own Device (BYOD) que evite que empleados y contratistas introduzcan amenazas potenciales.
  • Aisla cualquier computadora que pueda afectar la seguridad nacional.
  • Aisla todos los sistemas heredados que sirven como interfaces humanas.
  • Adopta un régimen sofisticado de contraseñas con autenticación de dos factores que obstaculiza ataques de fuerza bruta e impide que las contraseñas robadas se conviertan en vectores de amenaza.
  • Protege computadoras y redes con los últimos parches.
  • Utiliza software de ciberseguridad potenciado por IA con capacidades de aprendizaje automático.
  • Aplica fácil respaldo y restauración en cada nivel posible para minimizar la interrupción, especialmente para sistemas críticos.
  • Monitorea constantemente procesadores y servidores para detectar anomalías.
  • Intenta una zona desmilitarizada (DMZ) para redes industriales.
  • Consulta la lista blanca de aplicaciones para una seguridad de software mejorada.

Artículos relacionados de Malwarebytes Labs

¿Te interesa leer más sobre ciberseguridad e infraestructura? Consulta los siguientes artículos de Malwarebytes Labs: