“EEUU necesita entre 10.000 y 30.000 expertos para protegerse de un ataque cibernético”
El gusano informático conocido como Sutxnet afecta principalmente a equipos con Windows. Se trata de un gusano en plena actualidad, el primero que se conoce capaz de espiar y reprogramar sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos. Puede afectar a infraestructuras clave de un país como ocurrió recientemente en Irán, cuando Sutxnet atacó ordenadores influyendo directamente en sus infraestructuras nucleares.
Miguel Suárez, experto en seguridad informática de Symantec asegura que tras un ataque de características tales sólo puede encontrarse un Gobierno o una gran corporación ya que los costes implican un esfuerzo económico y unas infraestructuras muy sólidas que no están al alcance de todos.
-¿Cuáles pueden ser los costes ocasionados por Sutxnet? ¿Cuáles son los costes de desarrollar un gusano de esas características?
No tenemos los costes reales de lo que puede suponer a un Gobierno y a las empresas un gusano de este tipo. Lo que sí podemos afirmar es que las naciones tienen que prepararse para ellos y según una estimación oficial, EEUU necesita entre 10.000 y 30.000 expertos para proteger al Gobierno y a las grandes empresas de un ataque cibernético. El Pentágono ha creado una unidad especial, el Cyber Command, con una dotación anual de 150 millones de dólares.
Tampoco sabemos quién desarrolló Stuxnet y hay series dudas de que se llegue a identificar, pero sí sabemos que el que lo hizo gastó mucho dinero para asegurarse de que el trabajo que tenía que hacer estuviera bien hecho.
-¿Cuál es su modus operandi? ¿Cómo puede llegar a los sistemas del país víctima (se supone que cuentan con grandes medidas de protección…)?
Es la primera vez que detectamos una amenaza de este tipo que tiene como objetivo los sistemas de control industrial. Tras el descubrimiento del virus en junio, en Symantec empezamos a estudiar el gusano que en ese momento ya había contaminado decenas de miles de ordenadores en todo el mundo. El virus tenía un objetivo preciso: el software producido por la empresa alemana Siemens que se utiliza para el control automático de operaciones en plantas químicas, instalaciones petrolíferas y centrales nucleares. Ese software es el mismo que se instaló en la central nuclear iraní de Bushehr.
Una de las novedades de Stuxnet es que explota hasta cuatro vulnerabilidades desconocidas de Windows, lo cual es mucho si tenemos en cuenta que el año pasado se identificaron 12 en total. Además, tiene un tamaño inusualmente grande (medio mega); se actualiza por redes P2P, lo que permite revitalizarlo incluso tras ser desactivado; y utiliza dos certificados válidos, algo que ayuda a mantener el malware fuera de sospechas durante un largo periodo de tiempo.
El ataque se efectuó sobre instalaciones que, por su naturaleza, no están conectadas a la red. Así que la hipótesis más probable es que el virus haya sido introducido a través de un dispositivo de almacenamiento de tipo USB.
-Se ha afirmado que un ataque de estas características sólo puede efectuarse con el apoyo de una nación soberana. ¿Por qué? ¿Podrían utilizarlo grupos de cibercriminales por motivaciones económicas ?
El virus es muy complejo. Para su desarrollo se requiere el dominio de distintos lenguajes de programación de diferentes sistemas y el conocimiento de la estructura del sistema que quiere invadir o alguno muy similar. No puede ser obra de un simple grupo de hackers. En realidad, se cree que tiene que tener detrás una infraestructura científica y técnica muy grande, y esto sólo puede ser un Gobierno o una gran organización.