Al igual que con la bomba atómica en los últimos días de la Segunda Guerra Mundial, el virus informático conocido como Stuxnet, descubierto en 2010, pareció marcar el comienzo de una nueva era de guerra. En la era de la ciberguerra, según advirtieron los expertos, en vez de explosivos, tanques y ametralladoras, tendremos ataques silenciosos y basados ​​en software, o al menos serán el primer paso antes de la artillería pesada.

O tal vez no. Casi cuatro años después de que fuera identificado por primera vez en público, Stuxnet es una anomalía: es la primera y única ciberarma que, según se sepa, haya sido desplegada. Algunos expertos en ciberseguridad e infraestructura crítica quieren saber por qué. ¿Hay un menor número de objetivos realistas de los que se sospechaba? ¿Son este tipo de armas más difíciles de construir de lo que se pensaba? ¿O es que, sencillamente, la actual generación de ciberarmas está muy bien escondida?

Estas preguntas rondaban la mente de los principales expertos del mundo en seguridad de sistemas de control industrial la semana pasada durante la conferencia anual S4 celebrada en las afueras de Miami (EEUU). S4 reúne a los mejores expertos del mundo en seguridad de reactores nucleares, redes eléctricas y líneas de montaje.

En S4 casi todos estuvieron de acuerdo en que, mucho después de que el nombre de Stuxnet haya desaparecido de los titulares, algunos sistemas de control industrial, como los Controladores Lógicos Programables Siemens, siguen siendo vulnerables.

El investigador de seguridad de la firma IOActive, Eireann Leverett, aseguró a los asistentes de la conferencia que las prácticas de seguridad comunes en el mundo de la tecnología de la información dentro de las empresas siguen siendo algo poco común entre los proveedores que desarrollan sistemas de control industrial (ver "El enorme reto de proteger las redes eléctricas frente a los 'hackers'"). Leverett observó que los sistemas de control industrial modernos, que se venden por miles de dólares la unidad, a menudo vienen con tipo de software que carece de los controles de seguridad básicos, como la autenticación de usuarios, la firma de código para evitar actualizaciones de software no autorizadas, o el registro de eventos para permitir a los clientes realizar un seguimiento de los cambios en el dispositivo.

También está claro que, en los años transcurridos desde que Stuxnet salió a la luz, tanto las naciones desarrolladas como en desarrollo han aprovechado las operaciones cibernéticas como nueva y fructífera vía para la investigación y el desarrollo (ver "Bienvenidos a la industria del software malicioso"). La exanalista de inteligencia del Departamento de Defensa de EEUU, Laura Galante, que ahora trabaja para la firma Mandiant, señaló que EEUU no sólo está haciendo un seguimiento de las actividades de naciones como Rusia y China, sino también de Siria y el objetivo preferido de Stuxnet: Irán. Galante señaló que las armas cibernéticas dan a las naciones más pequeñas y pobres una forma de aprovechar fuerza asimétrica contra enemigos mucho más grandes.

Aun así, las armas cibernéticas verdaderamente eficaces requieren un nivel de experiencia extraordinario. Ralph Langner, quien tal vez sea la máxima autoridad mundial en cuanto al gusano Stuxnet, sostiene que la mera piratería de sistemas críticos no cuenta como guerra cibernética. Por ejemplo, Stuxnet fue noticia por haber usado cuatro vulnerabilidades de agujeros de "día cero" (o no descubiertos previamente) en el sistema operativo Windows. Pero Langner señala que la experiencia metalúrgica necesaria para entender la construcción de las centrifugadoras de Irán era mucho más impresionante. Los que crearon Stuxnet necesitaban saber la cantidad exacta de presión o el par necesario para dañar los rotores de aluminio por dentro y sabotear, así, la operación de enriquecimiento de uranio del país.

Concentrarse en herramientas basadas en software que puedan causar daño físico establece un listón mucho más alto para los debates relacionados con las armas cibernéticas, señala Langner. Según ese estándar, Stuxnet fue una verdadera ciberarma, pero el ataque Shamoon de 2012 contra la gigante petrolera Saudi Aramco y otras compañías petroleras no entran en esa categoría, a pesar de que se borraran los discos duros de los ordenadores infectados.

Hay quienes argumentan que las condiciones para el uso de una ciberarma tan destructiva simplemente no han surgido de nuevo, y no es probable que surjan por algún tiempo. Operaciones como Stuxnet, es decir, proyectos sigilosos diseñados para degradar lentamente la capacidad de enriquecimiento de Irán a lo largo de los años, son la excepción y no la regla, señaló Thomas Rid desde el Departamento de Estudios de Guerra en el Kings College de Londres (Reino Unido). "No hay demasiados objetivos que se presten a una campaña encubierta como la de Stuxnet", señaló Rid.

Rid aseguró a los asistentes que la calidad de la inteligencia reunida sobre un objetivo concreto marca la diferencia entre una cirberarma eficaz y un fracaso.

También es posible que se hayan utilizado otras armas cibernéticas, pero las circunstancias que rodean a su uso son un secreto, protegido por los gobiernos como información "clasificada", o por estrictos acuerdos de confidencialidad.

De hecho, Langner, que trabaja con algunas de las principales empresas y gobiernos industriales del mundo, afirmó que conoce otro ciberataque físico, en este caso vinculado a un grupo criminal. Pero no quiso hablar de ello.

Los profesionales del control industrial y académicos se quejan de que la información necesaria para investigar ataques futuros se mantiene fuera del dominio público. Y las compañías eléctricas, las empresas industriales y los propietarios de las infraestructuras críticas están tomando conciencia de que los sistemas que, según creían, estaban fuera del alcance del internet público, muy a menudo no lo están.

Mientras tanto, la tecnología está impulsando cambios cada vez más rápidos y transformadores como parte de lo que se conoce como el internet de las cosas. La conectividad general a internet, en combinación con ordenadores y sensores de bajo coste y minúsculos, pronto permitirá a los sistemas autónomos comunicarse directamente entre sí (ver "La nevera que enviaba 'spam'").

Si no se incluyen medidas de seguridad apropiadas en los productos industriales desde el primer momento, el potencial de ataques y el daño físico aumentan de forma espectacular. "Si seguimos ignorando el problema, vamos a tener serios problemas", señaló Langner.