![\"Gusano](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1988351474-300x169.jpg\" "\\"Imagen")
<\/p>\n<\/p>\n
En 2010, el mundo descubri\u00f3 Stuxnet. Se trata de un malware que afect\u00f3 a las m\u00e1quinas centrifugadoras de una planta de enriquecimiento de uranio iran\u00ed y que puso de manifiesto la vulnerabilidad de los entornos industriales. Desde este episodio, que se produjo a partir de una peque\u00f1a memoria USB infectada, el riesgo ciber se ha extendido a la totalidad del universo industrial. Y m\u00e1s de diez a\u00f1os despu\u00e9s, las infraestructuras de JBS Foods (agroalimentaci\u00f3n) y Colonial Pipeline (energ\u00eda) fueron v\u00edctimas de ciberataques y sus l\u00edneas de producci\u00f3n se vieron afectadas durante semanas.<\/strong><\/p>\n A lo largo de los a\u00f1os, el modus operandi de los ciberatacantes ha evolucionado, pero el sistema de control industrial de las f\u00e1bricas sigue siendo un objetivo principal. En este art\u00edculo, analizamos el impacto que ejerci\u00f3 Stuxnet en 2010. \u00bfQu\u00e9 legado ha dejado este ataque a los ciberdelincuentes en 2022? \u00bfQu\u00e9 ha aprendido el sector industrial de ello? Respuestas y comentarios cruzados.<\/p>\n <\/p>\n As\u00ed pues,\u00a0\u00bfqu\u00e9 es Stuxnet?<\/strong>\u00a0En junio de 2010, se detect\u00f3 el gusano Stuxnet en una m\u00e1quina de un empleado de la central nuclear de Bushehr, en Ir\u00e1n. El objetivo de este gusano era reprogramar el funcionamiento de las m\u00e1quinas industriales de Siemens, alterar el buen funcionamiento de las centrifugadoras y detener as\u00ed el programa de enriquecimiento nuclear iran\u00ed en curso.<\/p>\n El gusano infect\u00f3 30\u00a0000 activos inform\u00e1ticos en todo el pa\u00eds y posteriormente se detect\u00f3 en Alemania, Francia, la India e Indonesia, tras lo que el n\u00famero de activos afectados aument\u00f3 hasta 45\u00a0000. No obstante, por su dise\u00f1o, Stuxnet deber\u00eda haber sido un malware<\/em> indetectable. Y, obviamente, ten\u00eda la capacidad de analizar las comunicaciones enviadas a las m\u00e1quinas e instalarse a s\u00ed mismo en un hu\u00e9sped mediante un movimiento lateral. Para ello, los ciberatacantes analizaron el funcionamiento de los protocolos de comunicaci\u00f3n OT y descubrieron debilidades tecnol\u00f3gicas relacionadas con la autenticaci\u00f3n. \u00abPara su ataque, los creadores de Stuxnet se valieron de la ausencia de autenticaci\u00f3n y encriptaci\u00f3n del protocolo Siemens S7, as\u00ed como de un control frente a la reproducci\u00f3n<\/em>\u00bb, explica\u00a0Marco Genovese<\/strong>, ingeniero de preventa y experto industrial de Stormshield.\u00a0\u00abEsta debilidad permiti\u00f3 constatar que estos protocolos OT deber\u00edan haber incorporado una capa de seguridad. Esta necesidad de seguridad adicional se implementar\u00eda m\u00e1s adelante, en la segunda versi\u00f3n del protocolo, denominada S7 Plus. Por desgracia, muchas empresas industriales siguen utilizando este protocolo en su versi\u00f3n de 2010\u00bb.<\/em>\u00a0Basado en el uso de una serie de vulnerabilidades Zero Day en el sistema operativo Windows y dirigido al sistema de control de supervisi\u00f3n y adquisici\u00f3n de datos (SCADA), este ciberataque fue\u00a0el primer ataque dirigido que alter\u00f3 el funcionamiento de la maquinaria industrial en un entorno de alta seguridad<\/strong>. Comprometer un sistema de control industrial de este tipo no conectado a Internet parec\u00eda, en aquel entonces, una misi\u00f3n extremadamente compleja, ya que en 2010 los ciberataques se dirig\u00edan principalmente a entornos inform\u00e1ticos. Stuxnet fue el primer ataque conocido que se dirigi\u00f3 a entornos OT y trajo consigo\u00a0la constataci\u00f3n de que la industria podr\u00eda ser ahora la v\u00edctima<\/strong>. Antes de este episodio, la complejidad del entorno industrial y la dificultad de aplicaci\u00f3n suger\u00edan que atacar este tipo de objetivos no era una inversi\u00f3n atractiva.<\/p>\n Y, para hacer frente a tal complejidad, el desarrollo de este malware<\/em> requiri\u00f3\u00a0importantes recursos financieros y humanos<\/strong>\u00a0para comprender el funcionamiento del programa de enriquecimiento nuclear iran\u00ed y la infraestructura tecnol\u00f3gica de Siemens. Todo este trabajo permiti\u00f3 desarrollar, capa tras capa, puntos de compromiso con el objetivo de llegar al final de la cadena a la m\u00e1quina PLC S7-300, encargada de los controladores de velocidad de las centrifugadoras. Para\u00a0Ilias Sidqui<\/strong>, consultor s\u00e9nior de Wavestone, la complejidad de este ataque llev\u00f3 r\u00e1pidamente a atribuirlo a un actor estatal: \u00abPara desarrollar este malware, fue necesario construir un modelo id\u00e9ntico mediante la adquisici\u00f3n de equipos industriales muy costosos, lo que implicaba el conocimiento de las versiones de las m\u00e1quinas utilizadas en Ir\u00e1n<\/em>. La complejidad de todos estos par\u00e1metros demostr\u00f3 r\u00e1pidamente que solo uno o varios Estados eran capaces de poner en marcha tales medios\u00bb.<\/em>\u00a0Combinaci\u00f3n de ataques Zero Day, compromiso de un sistema de informaci\u00f3n mediante una memoria USB, movimiento lateral, usurpaci\u00f3n del acceso de administrador, capacidad de reprogramar las m\u00e1quinas... Sin saberlo, este gusano sent\u00f3 las bases de una nueva complejidad en la ciberdelincuencia.<\/p>\n La complejidad de todos estos par\u00e1metros demostr\u00f3 r\u00e1pidamente que solo uno o varios Estados eran capaces de poner en marcha tales medios.<\/em><\/p>\n Al cumplir su objetivo principal, Stuxnet marc\u00f3 la historia geopol\u00edtica. \u00abEst\u00e1 claro que ha habido un antes y un despu\u00e9s de Stuxnet, y los aliados de la OTAN tampoco se equivocaron cuando reconocieron en julio de 2016, en la cumbre de Varsovia, el ciberespacio como un \u00e1rea de operaciones militares por derecho propio al igual que la tierra, el mar o el cielo<\/em>\u00bb, afirma\u00a0Fabien Miquet<\/strong>, director de productos y soluciones de seguridad de Siemens. Sin embargo, este gusano tambi\u00e9n marc\u00f3 la historia de la ciberseguridad por sus legados tecnol\u00f3gicos y estrat\u00e9gicos, que posteriormente se reutilizaron por parte de los principales grupos de ciberatacantes durante d\u00e9cadas.<\/p>\n <\/p>\n Desde la demostraci\u00f3n de la viabilidad de un ataque de este tipo hasta el car\u00e1cter innovador de la forma de operar, los ciberatacantes posteriores a Stuxnet se vieron influenciados por este ataque. Doce a\u00f1os despu\u00e9s de su descubrimiento, el\u00a0tecnicismo y la dificultad de su aplicaci\u00f3n siguen siendo un caso de estudio<\/strong>. El primero de una creciente familia de malware<\/em>, ser\u00e1 para siempre el primer gusano espec\u00edficamente dedicado a comprometer los sistemas de control industrial.<\/p>\n Y, en esta demostraci\u00f3n de penetraci\u00f3n y compromiso de un entorno altamente seguro, Stuxnet atrajo la atenci\u00f3n y fue copiado unos meses despu\u00e9s. Si bien con t\u00e9cnicas y vectores de ataque diferentes, el objetivo sigui\u00f3 siendo el mismo en muchos de los ciberataques que se produjeron posteriormente en todo el mundo: atacar a las m\u00e1quinas industriales. De Rusia a Ir\u00e1n,\u00a0estos malwares se clasificar\u00edan en una familia separada, denominada\u00a0\u00ab<\/strong>Stuxnet-like<\/strong><\/em>\u00bb<\/strong>. En 2012, las empresas Saudi Aramco y RasGas fueron v\u00edctimas de un ciberataque atribuido al Estado iran\u00ed. La novedad frente a Stuxnet fue el uso de ransomware<\/em>, en este caso Shamoon, para paralizar la actividad de estas empresas industriales. En 2013, el sistema de control de las compuertas de descarga de la presa de Bowman, en Estados Unidos, se vio comprometido. Seg\u00fan una\u00a0investigaci\u00f3n del\u00a0Wall Street Journal<\/em><\/a>, este ataque fue una respuesta de las autoridades iran\u00edes a Stuxnet. En 2015, los hornos de una acer\u00eda en Alemania tambi\u00e9n fueron v\u00edctimas de un ciberataque. Definido por los servicios de inteligencia alemanes como un ataque\u00a0\u00abStuxnet-like\u00bb<\/em>, los detalles e implicaciones del ataque no fueron revelados. Al mismo tiempo, Ucrania tambi\u00e9n se vio afectada por el malware<\/em>, esta vez dirigido a\u00a0las instalaciones el\u00e9ctricas del pa\u00eds<\/a>\u00a0con los malwares<\/em>\u00a0\u00abBlack Energy\u00bb<\/em> y \u00abCrashOverride<\/em><\/a>\u00bb en 2015, y posteriormente \u00abTrit\u00f3n<\/em>\u00bb en 2017. Fueron ataques atribuidos a la acci\u00f3n de grupos de cibercriminales rusos y que, sobre todo, ilustran la evoluci\u00f3n de la amenaza: \u00abMientras que el ataque de Black Energy demostr\u00f3 la posibilidad de da\u00f1ar una central el\u00e9ctrica sin ning\u00fan conocimiento particular de los mensajes industriales, el ataque de Triton puso de manifiesto la vulnerabilidad del propio sistema de protecci\u00f3n de la red OT<\/em>\u00bb, explica Marco Genovese.<\/p>\n En paralelo a los ciberataques, el modus operandi de Stuxnet tambi\u00e9n influy\u00f3 en los investigadores de ciberseguridad. En 2015,\u00a0investigadores alemanes crearon otro gusano inform\u00e1tico, denominado PLC Blaster<\/a>, capaz de atacar la \u00faltima generaci\u00f3n de m\u00e1quinas de la serie S7 de Siemens utilizando parte del modus operandi de Stuxnet. Y mientras que Stuxnet necesitaba una m\u00e1quina hu\u00e9sped conectada a la red industrial, el malware<\/em> PLC Blaster tiene la capacidad de infectar m\u00e1quinas directamente entre s\u00ed desde el protocolo TCP\/IP.\u00a0Presentado durante la conferencia Black Hat USA<\/a>, esta prueba de concepto demostr\u00f3 la vulnerabilidad de los entornos industriales y la facilidad con la que este gusano puede propagarse de un equipo a otro.<\/p>\n <\/p>\n \u00bfEs posible un ataque como el de Stuxnet en 2022?<\/strong>\u00a0Una pregunta pertinente a la que Ilias Sidqui responde sin rodeos:\u00a0\u00abUna situaci\u00f3n como la de Stuxnet sigue siendo posible en 2022<\/em>, porque el principio sigue siendo el mismo: siempre ha habido, hay y habr\u00e1 lagunas Zero Day que permiten a los ciberdelincuentes disponer de una ventaja ofensiva\u00bb.<\/em>\u00a0Por tanto, la posibilidad del ataque sigue estando ah\u00ed, pero no necesariamente contra la industria nuclear, seg\u00fan Marco Genovese: \u00abSin duda, hoy en d\u00eda ser\u00e1 m\u00e1s dif\u00edcil llevar a cabo un ataque similar al de Stuxnet contra una central nuclear, pero las \u00faltimas acciones en Ucrania demuestran que ya es posible afectar a las redes energ\u00e9ticas f\u00edsicas de energ\u00eda (agua, gas, electricidad) con un ciberataque<\/em>\u00bb.<\/p>\n Tambi\u00e9n resulta importante se\u00f1alar que los \u00faltimos ciberataques significativos no han utilizado funcionamientos muy avanzados. Los ciberataques a Colonial Pipeline y JBS Foods son m\u00e1s bien actos oportunistas que ataques premeditados como el de Stuxnet. Con el uso de una contrase\u00f1a filtrada en la darkweb<\/em> para Colonial Pipeline y una vulnerabilidad conocida en una herramienta de conexi\u00f3n en remoto para JBS Foods, la dificultad de penetraci\u00f3n e implementaci\u00f3n fue mucho menos compleja que en el caso de Stuxnet. Porque, de hecho, la\u00a0superficie de ataque de las empresas industriales va en aumento<\/strong>. Esta tendencia se ha visto impulsada en los \u00faltimos a\u00f1os por la adopci\u00f3n de la convergencia TI\/OT en los sistemas de informaci\u00f3n.\u00a0Ello constituye una ventaja para los ciberdelincuentes. \u00abEn la actualidad, los entornos inform\u00e1ticos y de oficina tradicionales est\u00e1n interconectados con los entornos industriales de OT<\/em>\u00bb, explica Ilias Sidqui. Se trata de una pasarela que tambi\u00e9n utilizan los grupos de ciberdelincuentes, por lo que ya no es necesario efectuar desarrollos espec\u00edficos ni la b\u00fasqueda de vulnerabilidades Zero Day. Por ello, cada vez observamos m\u00e1s ataques de ransomware dirigidos a entornos industriales.<\/em>\u00a0\u00abLa digitalizaci\u00f3n acelerada genera, en \u00faltima instancia, oportunidades para todos: para usted, para m\u00ed, para nuestros clientes... pero tambi\u00e9n para los atacantes de nuestros sistemas, cada vez m\u00e1s conectados<\/em>\u00bb, a\u00f1ade Fabien Miquet. \u00abLejos de ser una fatalidad, \u00fanicamente debemos ser conscientes de ello y tenemos el deber estar alerta de alguna manera: \u00a1la digitalizaci\u00f3n no es posible sin la ciberseguridad!<\/em>\u00bb.<\/p>\nStuxnet: la pesadilla de los entornos industriales<\/h2>\n
Ilias Sidqui<\/strong>, consultor s\u00e9nior de Wavestone<\/pre>\n<\/blockquote>\n
Los m\u00faltiples legados de Stuxnet<\/h2>\n
\u00bfPodr\u00eda el ataque Stuxnet seguir cobr\u00e1ndose v\u00edctimas?<\/h2>\n