Que es STUXNET?

Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.

La compañía europea de seguridad digital Kaspersky Labs describía a Stuxnet en una nota de prensa como "un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial". Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo. Kaspersky concluye que los ataques sólo pudieron producirse "con el apoyo de una nación soberana", conviertiendo a Irán en el primer objetivo de una guerra cibernética real.

El objetivo más probable del gusano, según corroboran medios como BBC o el Daily Telegraph, pudieron ser infraestructuras de alto valor pertenecientes a Irán y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr. Fuentes iraníes han calificado el ataque como "guerra electrónica" aunque minimizan el impacto de los daños en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes.

A mediados de junio de 2010 la compañía VirusBlokAda informó de su existencia, y se han fechado parte de sus componentes en junio de 2009. El gusano contiene algunos elementos compilados el 3 de febrero de 2010, según indica su time stamp. Aunque el ataque inicial parece centrarse en Irán, desde entonces la infección ha ido expandiéndose por distintos países. 

En septiembre se hizo público en el periódico New York Times que el código del gusano contiene la referencia a un archivo con nombre "Myrtus". Este nombre es similar al hebreo Esther, hecho que puede entenderse como una indicación de que Israel podría estar detrás del ataque, o bien como una pista falsa de sus creadores para sembrar confusión.

Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.

La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por defecto para obtener el control. El fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".

La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales. En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.

El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente. Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.

Además, Stuxnet es extrañamente grande, ocupando medio megabyte, y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.

Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.

Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malwareno bloquearía los PLCs. Eric Byres, programador con años de experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.

Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB ajenas o no controladas.

Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado, aunque ha admitido que esto son solo especulaciones. Bruce Schneier, otro investigador en seguridad, ha calificado estas teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas.

Algunos especialistas (pendiente de encontrar referencias) señalaban a Israel como principal sospechoso, y en concreto a la Unidad 8200 de las Fuerzas de Defensa de Israel.

Finalmente el New York Times eliminó todo rumor o especulación confirmando que se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iranies.

Fuente: wikipedia.

General israelí se jacta por autoría del virus Stuxnet

Los periódicos The Telegraph de Gran Bretaña, y Le Monde, de Francia, hacen referencia a un artículo publicado en el diario israelí Haaretz, según el cual un general del ejército de ese país, Gabi Ashkenazi, habría confirmado la autoría israelí del gusano Stuxnet.

Diario Ti: Según el artículo de Haaretz, el general Ashkenazi habría preparado su transición a su nueva vida como jubilado creando un vídeo donde se refiere a los hitos de su carrera. El vídeo, que fue presentado durante una fiesta de homenaje para el general, incluye una secuencia en que Ashkenazi dice haber sido responsable de supervisar el desarrollo de Stuxnet. 

El ataque del gusano Stuxnet ha recibido amplia cobertura mediática en Iran. Según el diario Haaretz, el vídeo incluye una secuencia en que Ashkenazi admite que Israel bombardeó instalaciones atómicas en Siria en 2007. Esta sería la primera vez que un jefe militar israelí admite los hechos. 

Stuxnet dejó fuera de servicio un gran número de centrífugas usadas para el enriquecimiento de uranio en las instalaciones de Natanz. 

El miércoles 16 de febrero, el Institute for Science and International Security (ISIS), presentó una actualización de su primer informe sobre Stuxnet, publicado el 22 de diciembre. El informe fue elaborado en asociación con Symantec, que fue la primera empresa de seguridad informática en revelar la gran propagación que el gusano tuvo en Irán. 

El informe actualizado de ISIS constata que los responsables de las instalaciones de Natanz lograron deshacerse de Stuxnet con relativa rapidez, neutralizando el malware y cambiando las centrífugas dañadas por otras nuevas, a pesar de las sanciones internacionales que afectan al programa atómico de Irán. 

En el informe se señala además que la propagación de Stuxnet se produjo mediante memorias USB plantadas en cuatro organizaciones iraníes que Symantec prefiere no individualizar. 

Desde octubre se sospechaba que Stuxnet había sido escrito en Israel. 

Fuentes: Le Monde y The Telegraph.

El Viking S-3B es un avión de vigilancia y guerra electrónica

Caracas, 20 de mayo de 2008/ El ministro de Defensa venezolano, general Gustavo Rangel Briceño, informó que el avión militar estadounidense que penetró espacio aéreo venezolano el sábado 17 de mayo a las 8:40 pm era un Lockheed S3B Vikingo.

El Viking S-3B es un avión subsónico (puede volar hasta a 795 km/h) y multimisión de largo alcance (más de 4 mil kilómetros), capaz de transportar bombas y misiles. Fueron elaborados originalmente para identificar, seguir y destruir submarinos, pero en los años noventa fueron modificados para reabastecimiento aéreo de combustible, labores de guerra electrónica y vigilancia de objetivos en tierra.

Según la propia página web de la Marina estadounidense, "el avión S3B de los años noventa ha evolucionado hasta convertirse en una excelente plataforma de vigilancia y fijación de objetivos para la Marina, con modernas capacidades de portar misiles guiados de precisión."

Allí también se indica que es una aeronave diseñada para formar parte de un portaaviones; sus alas pueden plegarse y desmontarse para subir y bajar por las rampas que posee este tipo de embarcaciones. Se desconoce el grado de implicaciones de esta aeronave con la Cuarta Flota de la Marina estadounidense, reactivada después de estar 58 años inactiva. Tampoco fue posible determinar si esta aeronave tiene alguna relación con los ejercicios de la Confraternidad de las Américas, en las que participan Estados Unidos, Holanda, Perú y otros países suramericanos.

Si bien se planea retirar a estas aeronaves en 2009, el avión tuvo un importante rol en la invasión de Irak en 2003, cuando escuadrones de aviones S3B realizaban más de 30 misiones al día desde portaaviones bombardeando objetivos iraquíes en mar y tierra.

Radares

El modelo S-3B en particular posee un radar AN/APS-137 de "apertura sintética inversa" (Isar, por sus siglas en inglés), utilizado para obtener imágenes bidimensionales de muy alta resolución de un objetivo dado, lo que permite identificar y discriminar diferentes objetos ubicados en tierra firme.

Tiene una cámara frontal infrarroja con zoom de 3X, un detector de anormalías magnéticas (MAD, usado para identificar grandes masas metálicas en el mar, tales como submarinos) y un sistema de navegacióin inercial que permite seguir objetivos en movimiento. También posee un sistema de transmisión de video que permite enviar todo el video obtenido por los sensores del avión hasta unidades en tierra.

Armas

En cuanto a armas, puede transportar misiles antibuque AGM-84 Harpoon, misiles aire-tierra Maverick, bombas racimo, torpedos y cargas de profundidad.

Utiliza una tripulación de hasta cuatro personas, con el piloto y el copiloto/coordinador táctico (Cotac) en el frente de la cabina, y otro coordinador táctico junto a un operador de sensores en la parte de atrás.

De 200 a 300 kilómetros fue el área que violó la aeronave estadounidense

El sobrevuelo del espacio aéreo de La Orchila está prohibido para todo tipo de aviación civil y militar, y así se refleja en cartas de navegación, según explicó el ministro de Defensa venezolano. El geógrafo Ricardo Menéndez explicó en el programa "Dando y Dando" de VTV que el avión violó de 200 a 300 kilómetros de espacio aéreo venezolano. Cree que, más que una provocación o una forma de poder a prueba los radares y sistemas de detección venezolanos, lo que se está logrando con estas contínuas violaciones a la soberanía venezolana es adentrarse en nuestro territorio.

VTV/YVKE/Página Web de la Marina de EEUU/Wikipedia en inglés-mm