Durante los últimos meses, un sofisticado gusano informático se ha abierto un camino hacia algunos de los sistemas de control más críticos del mundo.

El momento de la liberación del gusano, en combinación con varias pistas enterradas en su código, ha llevado a algunos expertos a especular que el gusano, llamado Stuxnet, fue originalmente diseñado para sabotear una instalación nuclear iraní, posiblemente la planta de enriquecimiento de Natanz, unos 180 kilómetros al sur de Teherán. Esta semana, unos representantes de Irán confirmaron que se había encontrado el gusano Stuxnet en los sistemas de la planta, aunque negaron que hubiera causado daño alguno.

Sin embargo, desde entonces Stuxnet se ha extendido a varios centenares de sistemas industriales dentro de Irán y en el resto del mundo. Los expertos señalan que esto pone de relieve un punto preocupantemente débil en las infraestructuras críticas que podría convertirse en un nuevo objetivo para los saboteadores y hackers malintencionados.

El gusano Stuxnet infecta los ordenadores mediante unas vulnerabilidades previamente no identificadas del sistema operativo Windows de Microsoft. La forma de propagación más probable es mediante unidades flash USB conectadas manualmente. A partir de un ordenador Windows infectado, el gusano se dirige a un tipo especializado de ordenador conocido como controlador lógico programable o PLC. Estos equipos se utilizan ampliamente en las infraestructuras críticas, incluyendo la fabricación, procesamiento de agua, generación de energía y el transporte. Los PLC se conectan, y controlan, dispositivos utilizados para realizar una gran variedad de tareas, desde la apertura de una puerta al incremento del flujo de combustible dentro de una central térmica.

Stuxnet es el primer ejemplo de un atacante centrándose en equipos especializados que controlan las operaciones industriales, comentan los expertos en seguridad. "Baja hasta el dispositivo conectado, se inserta, y empieza a ejercer el comando y control", explica Walter Sikora, vicepresidente de soluciones de seguridad para Industrial Defender, una consultora de seguridad que se centra en las infraestructuras críticas. "Esta es un área donde no había precedentes de virus o gusanos o cualquier otro tipo de malware."

El código del gusano se centra en un tipo de PLC desarrollado por Siemens. Un patrón en el código--diseñado para que coincida con el de una aplicación específica--sugiere que los autores del gusano tenían una instalación específica en mente. En el sistema de destino, el programa habitaría en un lugar privilegiado donde podría monitorear y controlar muchos dispositivos.

"La capacidad no sólo de dirigirse a un determinado tipo de sistema, pero además de quirúrgica y elaboradamente conseguir lo que se desee de una máquina de una forma en que nunca seremos capaces de atribuirlo al culpable--esto da miedo", afirma Phyllis Schneck, vicepresidente y director técnico de la empresa de seguridad McAfee para su división del sector público.

Los expertos en seguridad destacan que las empresas de infraestructuras críticas tienen que responder con rapidez a fin de proteger sus sistemas frente a Stuxnet, y advierten que su propagación puede marcar el comienzo de un aumento del ciberespionaje y sabotaje.

Dale Peterson, director general de Digital Bond, una consultoría especializada en seguridad industrial, augura que otros tratarán de repetir y mejorar el ataque del gusano Stuxnet. "Antes, se trataba sólo de una teoría--eran los chicos geeks que conocían los sistemas de control quienes advertían que estas cosas eran factibles", señala Peterson. "En el futuro dispondrán de un ejemplo real para señalar como una demostración técnica."

Desafortunadamente, es probable que la mayoría de empresas industriales no sean rápidas a reaccionar. Los fabricantes y empresas de servicios públicos tienen una base de controladores instalados que normalmente sólo se actualizan cada 10 a 15 años, y a veces con menos frecuencia. La mayoría de los PLCs permiten la subida de archivos sin autenticación--cualquiera que pueda conectarse a la red se considera un administrador. "Si puede hacer ping al PLC, puede hacer lo que quiera con él", destaca Peterson.

Los desarrolladores de sistemas y las empresas de servicios públicos siempre han considerado el bajo costo, la fiabilidad y la protección frente a accidentes como los aspectos más importantes de sus sistemas de control. La seguridad ha consistido en limitar el acceso físico y a internet de los controladores de dispositivos, y muchos sistemas no disponen de los parches de seguridad más recientes. Algunos sistemas no se pueden parchar, ya que se están ejecutando sobre sistemas operativos antiguos que ya no se soportan, explica Sikora.

"Microsoft publicó un parche de seguridad para la vulnerabilidad explotada por Stuxnet, pero no lo hizo para Windows NT", indica él.

Los controladores embebidos que monitorean, y, a veces, controlan la electricidad en los hogares como parte de las iniciativas de red eléctrica inteligente de EE.UU. son, de hecho, más seguros que los PLCs. Los investigadores de seguridad y los hackers ya han probado muchos dispositivos de red eléctrica inteligente, mostrando a los fabricantes algunos defectos importantes. Para cuando estos dispositivos estén ampliamente instalados en los hogares, deberían ser mucho más seguros.

Sin embargo, la falta de regulaciones y de experiencia en seguridad está frenando los esfuerzos para proteger los sistemas industriales, señala Sikora. En una reciente conferencia, él preguntó a los responsables técnicos de los sistemas de infraestructuras críticas si habían oído hablar de Stuxnet. Pocos lo habían hecho. "Por lo que veo, nada va a cambiar, a pesar de que todo debería", concluye él.