Stuxnet 1

Stuxnet
Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por
VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y
reprograma sistemas industriales,[1] en concreto sistemas SCADA de control y monitorización de procesos.
Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.[2]

Historia
A mediados de junio de 2010 la compañía VirusBlokAda informó de su existencia, y se han fechado parte de sus
componentes en junio de 2009.[2] El gusano contiene algunos elementos compilados el 3 de febrero de 2010, según
indica su time stamp.[3]

Método de operación
Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo,
incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean
los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante lápices de memoria USB infectados, para luego aprovechar otros agujeros
y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las
contraseñas por defecto para obtener el control.[2] El fabricante, Siemens, aconseja no cambiar las contraseñas
originales porque esto "podría tener impacto en el funcionamiento de la planta".[4]
La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de
procesos industriales y algún tipo de deseo de atacar infraestructuras industriales.[2] [1]
El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de
errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a
sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente.
Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.[5]
Además, Stuxnet es extrañamente grande, ocupando medio megabyte,[6] y está escrito en distintos lenguajes de
programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.[2] [1]
Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene
capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto
de control haya sido desactivado.[6] [7]
Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la
verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de
experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría
haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.[6]
Stuxnet 2

Eliminación
Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens
recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que
eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB
ajenas o no controladas.[8]

Especulaciones sobre el origen del ataque

Un portavoz de Siemens declaró que el gusano Stuxnet fue encontrado en 15 sistemas, cinco de los cuales eran
plantas de fabricación en Alemania. Según Siemens, no se han encontrado infecciones activas y tampoco existen
informes de daños causados por el gusano.[9]
Symantec afirma que la mayor parte de los equipos infectados están en Irán,[10] lo que ha dado pie a especulaciones
de que el objetivo del ataque eran infraestructuras "de alto valor" en ese país,[5] incluyendo la Central Nuclear de
Bushehr o el Complejo Nuclear de Natanz.[6]
Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para
disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado,[11] aunque ha
admitido que esto son solo especulaciones.[6] Bruce Schneier, otro investigador en seguridad, ha calificado estas
teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas.[12]
Algunos especialistas (pendiente de encontrar referencias) señalan a Israel como principal sospechoso, y en concreto
a la Unidad 8200 de las Fuerzas de Defensa de Israel.

Enlaces externos
• Siemens Support about Stuxnet [13]
• Microsoft Protection Center about Win32/Stuxnet [14]
• Security analysis of Stuxnet [15]
• Exploring Stuxnet’s PLC Infection Process [16], Symantec
• Information of Stuxnet by McAfee [17], McAfee

Referencias
[1] Robert McMillan (16 September 2010). « Siemens: Stuxnet worm hit industrial systems (http:/ / www. computerworld. com/ s/ article/ print/
9185419/ Siemens_Stuxnet_worm_hit_industrial_systems?taxonomyName=Network+ Security& taxonomyId=142)». Computerworld.
Consultado el 16 September 2010.
[2] Gregg Keizer (16 September 2010). « Is Stuxnet the 'best' malware ever? (http:/ / www. infoworld. com/ print/ 137598)». Infoworld.
Consultado el 16 September 2010.
[3] Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. « Stuxnet under the microscope (http:/ / www. eset. com/ resources/
white-papers/ Stuxnet_Under_the_Microscope. pdf)» (PDF). Consultado el 24 September 2010.
[4] Tom Espiner (20 July 2010). « Siemens warns Stuxnet targets of password risk (http:/ / news. cnet. com/ 8301-1009_3-20011095-83. html)».
cnet. Consultado el 17 September 2010.
[5] Fildes, Jonathan (2010-09-23). « Stuxnet worm 'targeted high-value Iranian assets' (http:/ / www. bbc. co. uk/ news/ technology-11388018)».
BBC News. Consultado el 2010-09-23.
[6] Kim Ztter (2010-09-23). « Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target (http:/ / www. wired. com/
threatlevel/ 2010/ 09/ stuxnet/ )». Wired. Consultado el 2010-09-24.
[7] Liam O Murchu (2010-09-17). « Stuxnet P2P component (http:/ / www. symantec. com/ connect/ blogs/ stuxnet-p2p-component)». Symantec.
Consultado el 2010-09-24.
[8] « SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan (http:/ / support. automation. siemens. com/ WW/
llisapi. dll?func=ll& objid=43876783& nodeid0=10805583& caller=view& lang=en& siteid=cseus& aktprim=0& objaction=csopen&
extranet=standard& viewreg=WW#Recommended_procedure 0408)». Siemens. Consultado el 24 September 2010.
[9] crve (17 September 2010). « Stuxnet also found at industrial plants in Germany (http:/ / www. h-online. com/ security/ news/ item/
Stuxnet-also-found-at-industrial-plants-in-Germany-1081469. html)». The H. Consultado el 18 September 2010.
Stuxnet 3

[10] Robert McMillan (23 July 2010). « Iran was prime target of SCADA worm (http:/ / www. computerworld. com/ s/ article/ 9179618/
Iran_was_prime_target_of_SCADA_worm)». Computerworld. Consultado el 17 September 2010.
[11] Clayton, Mark (2010-09-21). « Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant? (http:/ / www. csmonitor. com/
USA/ 2010/ 0921/ Stuxnet-malware-is-weapon-out-to-destroy-Iran-s-Bushehr-nuclear-plant)». Christian Science Monitor. Consultado el
2010-09-23.
[12] Bruce Schneier (22 September 2010). « Schneier on Security: The Stuxnet Worm (http:/ / www. schneier. com/ blog/ archives/ 2010/ 09/
the_stuxnet_wor. html)». Consultado el 23 September 2010.
[13] http:/ / support. automation. siemens. com/ WW/ llisapi. dll?func=cslib. csinfo& lang=en& objid=43876783& caller=view
[14] http:/ / www. microsoft. com/ security/ portal/ Threat/ Encyclopedia/ Entry. aspx?Name=Win32%2fStuxnet
[15] http:/ / langner. com/ en/
[16] http:/ / www. symantec. com/ connect/ blogs/ exploring-stuxnet-s-plc-infection-process
[17] http:/ / vil. nai. com/ vil/ content/ v_268468. htm
Fuentes y contribuyentes del artículo 4

Fuentes y contribuyentes del artículo

Stuxnet  Fuente: http://es.wikipedia.org/w/index.php?oldid=40657376  Contribuyentes: BKTR, Cvalda, 4 ediciones anónimas

Licencia
Creative Commons Attribution-Share Alike 3.0 Unported
http:/ / creativecommons. org/ licenses/ by-sa/ 3. 0/