{"id":4887,"date":"2014-11-18T10:52:04","date_gmt":"2014-11-18T10:52:04","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=4887"},"modified":"2020-02-26T17:26:49","modified_gmt":"2020-02-26T15:26:49","slug":"el-origen-de-stuxnet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/el-origen-de-stuxnet\/4887\/","title":{"rendered":"El origen de Stuxnet"},"content":{"rendered":"<p>La historia del gusano Stuxnet cop\u00f3 muchos titulares el a\u00f1o pasado, adem\u00e1s de crear un gran revuelo en la industria. Sigue siendo un misterio qui\u00e9n lo cre\u00f3 y por qu\u00e9, pero se rumorea que fue una colaboraci\u00f3n entre la inteligencia israel\u00ed y estadounidense, con el objetivo de sabotear un programa nuclear iran\u00ed. Esta hip\u00f3tesis es bastante factible: dicho malware\u00a0 hizo inoperable el enriquecimiento de las centrifugadoras de uranio, retrasando durante a\u00f1os el proyecto nuclear iran\u00ed.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215950\/Stuxnet.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-5267\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215950\/Stuxnet.png\" alt=\"Stuxnet\" width=\"640\" height=\"480\"><\/a><\/p>\n<p>Los creadores de Stuxnet consiguieron atacar m\u00e1quinas protegidas desconectadas y ejecutar un sabotaje a escala masiva. Despu\u00e9s, el gusano, seg\u00fan creen varios especialistas, perdi\u00f3 el control y empez\u00f3 a distribuirse activamente, sin causar da\u00f1os visibles a ordenadores privados y corporativos, ya que en un principio estaba dirigido a sistemas industriales espec\u00edficos.<\/p>\n<p><strong>Primeras v\u00edctimas \u00f3 \u201cv\u00edctimas Zero\u201d<\/strong><\/p>\n<p>Kim Zetter, periodista americano, public\u00f3 su libro \u201cCuenta atr\u00e1s para el D\u00eda Cero\u201d en noviembre de 2011. Aprovechamos la ocasi\u00f3n para hablar de algunos hechos que sucedieron con Stuxnet, de los que se habla en el libro, y que son poco conocidos por el p\u00fablico. No vamos a detenernos en los primeros d\u00edas de vida del gusano, sino a centrarnos en sus acciones, que provocaron un gran n\u00famero de casos comprometidos entre 2009-2010.<\/p>\n<p>Extender la infecci\u00f3n fue bastante simple debido a uno de los atributos del malware: almacena la historia de las m\u00e1quinas comprometidas, incluidos el nombre, el nombre de dominio y la direcci\u00f3n IP, en su interior. Como estos datos se actualizan constantemente, es posible rastrear su origen.<\/p>\n<p>Symantec, que public\u00f3 \u201d\u00a0dossier W32 Stuxnet\u00a0\u201d en febrero de 2011, averigu\u00f3 que la distribuci\u00f3n empez\u00f3 con 5 organizaciones (dos de las cuales fueron atacadas dos veces, en 2009 y 2010, algo desocnocido en aquel momento. Para identificarlos, trabajaron como 2 a\u00f1os con el an\u00e1lisis de unos\u00a0 2000 archivos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Stuxnet?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Stuxnet<\/a> Zero Victims<br>The identity of the companies targeted by the first known cyber-weapon <a href=\"https:\/\/t.co\/W8PVyGp7b3\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/W8PVyGp7b3<\/a> <a href=\"http:\/\/t.co\/BWDkVqWPLq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/BWDkVqWPLq<\/a><\/p>\n<p>\u2014 Dmitry Bestuzhev (@dimitribest) <a href=\"https:\/\/twitter.com\/dimitribest\/status\/532173450925072384?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 11, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Dominio A<\/strong><\/p>\n<p>La primera iteraci\u00f3n memorable de Stuxnet 2009 (tambi\u00e9n llamada Stuxnet.a) fue creada el 22 de junio de 2009. Varias horas despu\u00e9s de la compilaci\u00f3n, el malware infect\u00f3 un \u201cISIE\u201d-hosting. Es poco probable que los culpables utilizaran un dispositivo de almacenamiento desmontable; y es que es muy improbable que pudiera introducirse en las instalaciones en una franja de tiempo tan corta.<\/p>\n<div class=\"pullquote\">Fue f\u00e1cil reproducir lo que sucedi\u00f3 entonces, gracias a un atributo muy interesante del malware: almacena el historial de los dispositivos, incluidos los nombres, el nombre de dominio y la direcci\u00f3n de IP, en su interior.<\/div>\n<p>Fuimos incapaces de identificar a la organizaci\u00f3n comprometida con datos como estos. Pero estamos bastante seguros de que fue <a href=\"http:\/\/www.fooladtechnic.ir\/en\/index.php?option=com_content&amp;view=article&amp;id=60&amp;Itemid=83\" target=\"_blank\" rel=\"noopener nofollow\">Foolad Technic Engineering (FIECO)<\/a>, un productor iran\u00ed de sistemas de automoci\u00f3n para compa\u00f1\u00edas de la industria pesada.<\/p>\n<p>A parte de su habilidad para afectar a la rotaci\u00f3n de la centrifugadora, Stuxnet ofrec\u00eda un spyware, y FIECO era un buen objetivo para sus creadores. Probablemente, consideraron a la compa\u00f1\u00eda como la v\u00eda para llegar a su destino final y un objetivo interesante del cu\u00e1l extraer datos sobre la industria nuclear iran\u00ed. En 2012, el ordenador fue atacado de nuevo por la tercera iteraci\u00f3n de Stuxnet.<\/p>\n<p><strong>Dominio B<\/strong><strong>\u00a0<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignright\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215949\/great_stuxnet_09-285x300.png\" alt=\"\" width=\"285\" height=\"300\"><\/p>\n<p>La siguiente \u201d\u00a0v\u00edctima\u00a0\u201c<span style=\"text-decoration: line-through\">,<\/span> fue atacada tres veces\u00a0: en junio de 2009, y en marzo y mayo de 2010. Fue el segundo ataque en 2010 el que desencaden\u00f3 la epidemia Stuxnet a nivel global (a.k.a Stuxnet). El dominio \u201cbehpajooh\u201d, permite identificar inmediatamente a la v\u00edctima. Tambi\u00e9n forma parte de la automatizaci\u00f3n de la industria y est\u00e1 vinculado a muchas empresas.<\/p>\n<p>En 2006, un <a href=\"http:\/\/www.khaleejtimes.com\/DisplayArticle.asp?xfile=data\/theuae\/2006\/May\/theuae_May432.xml&amp;section=theuae\" target=\"_blank\" rel=\"noopener nofollow\">peri\u00f3dico dubait\u00ed<\/a> dijo que una de las entidades nacionales estaba implicada en el env\u00edo ilegal de componentes para la fabricaci\u00f3n de bombas nucleares en Ir\u00e1n, citando a\u00a0 \u201cBejpajooh INC\u201d, con sede en Isfahan, como posible destinatario.<\/p>\n<p>El 24 de abril de 2010, Stuxnet viaj\u00f3 desde el dominio Behpajooh hasta MSCCO. El candidato m\u00e1s probable, es la sede m\u00e1s importante de la<a href=\"http:\/\/en.wikipedia.org\/wiki\/Mobarakeh_Steel_Company\" target=\"_blank\" rel=\"noopener nofollow\"> metalurgia de Ir\u00e1n<\/a>. Utiliza un gran n\u00famero de ordenadores, y est\u00e1 relacionado con muchas compa\u00f1\u00edas alrededor del mundo. Con semejante arsenal de relaciones, Stuxnet fue capaz de iniciar una epidemia global: en el verano de 2010, el gusano ya hab\u00eda alcanzado a empresas de Rusia y Bielorrusia.<\/p>\n<p><strong>Dominios C, D y E<\/strong><\/p>\n<p>El 7 de Julio de 2009, Stuxnet infect\u00f3 el \u201capp server\u201d del <a href=\"http:\/\/www.nedaco.com\/\" target=\"_blank\" rel=\"noopener nofollow\">dominio del ordenador de NEDA<\/a>. En este caso, no tuvimos problemas para identificar a la v\u00edctima. A partir de 2008, la compa\u00f1\u00eda est\u00e1 incluida\u00a0 en el Ministerio de Justicia de EEUU y est\u00e1 acusado de exportar sustancias prohibidas a Ir\u00e1n.<\/p>\n<p>Otra organizaci\u00f3n fue infectada con el dominio CGJ, junto a NEDA. Tras la investigaci\u00f3n, descubrimos que se trataba una vez m\u00e1s, de una organizaci\u00f3n relacionada con la<a href=\"http:\/\/www.control-gostar.com\/Home%20Page\" target=\"_blank\" rel=\"noopener nofollow\"> industria de la automatizaci\u00f3n con sede en Ir\u00e1n<\/a>. Aqu\u00ed se acab\u00f3 la distribuci\u00f3n del malware, a pesar del alcance y el amplio portafolio de la empresa.<\/p>\n<p>El \u00faltimo \u201ccaso zero\u201d es famoso por la gran cantidad de m\u00e1quinas que fueron comprometidas: el 11 de mayo de 2010, termin\u00f3 con tres ordenadores en el dominio \u201cKALA\u201d. Fue probablemente, Kala Electric, a.k.a Kalaya Eelectric Co. Esta compa\u00f1\u00eda est\u00e1 considerada como la principal generadora de enriquecimiento de uranio IR-1 y uno de los pilares clave del programa de uranio iran\u00ed. Es extra\u00f1o que no la hubieran atacado antes.<\/p>\n<p><strong>Ep<\/strong><strong>\u00edlogo<\/strong><\/p>\n<p>Con una capacidad para causar da\u00f1os tan sofisticados (no es f\u00e1cil hacer inoperables centrifugadoras de enriquecimiento de uranio), Stuxnet fue extendida de forma bastante primitiva. M\u00e1s a\u00fan, hubo un momento en el que sencillamente se les fue de las manos, no se explica de otra manera la escala de la epidemia que que condujo al gusano tan lejos de su objetivo original.<\/p>\n<p>Teniendo en cuenta todos los inconvenientes, el malware result\u00f3 ser bastante productivo: sus creadores ejecutaron con \u00e9xito la ciber subversi\u00f3n m\u00e1s grande del mundo, dando comienzo a una nueva era de ciber armas.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Antes de nacer Stuxnet, nadie hab\u00eda pensado en proteger de forma proactiva las instalaciones industriales<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fbwp5&amp;text=Antes+de+nacer+Stuxnet%2C+nadie+hab%C3%ADa+pensado+en+proteger+de+forma+proactiva+las+instalaciones+industriales\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Antes de nacer Stuxnet, nadie hab\u00eda pensado en proteger de forma proactiva las instalaciones industriales: es de sobra conocido que el aislamiento de las instalaciones de las redes mundiales es, en s\u00ed mismo, un m\u00e9todo eficaz. Al atacar con \u00e9xito las m\u00e1quinas desconectadas, los creadores del gusano dieron comienzo a una nueva era en la seguridad de la informaci\u00f3n. La importancia de Stuxnet, es comparable solo con el conocido como gusano<a href=\"https:\/\/www.kaspersky.es\/blog\/el-gusano-morris-cumple-25-anos\/1836\/\" target=\"_blank\" rel=\"noopener\"> Morris Great Worm or Morris Worm, <\/a>creado en 1988.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las 5 primeras v\u00edctimas de Stuxnet fueron elegidas deliberadamente por los hackers, permiti\u00e9ndoles ejecutar un ataque con Uranio en Netenz. <\/p>\n","protected":false},"author":40,"featured_media":4889,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[1011,1010,650,22,61,1009],"class_list":{"0":"post-4887","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ciber-armas","9":"tag-ciber-guerra","10":"tag-espionaje","11":"tag-malware-2","12":"tag-seguridad","13":"tag-stuxnet"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/el-origen-de-stuxnet\/4887\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ciber-armas\/","name":"ciber armas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=4887"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4887\/revisions"}],"predecessor-version":[{"id":21728,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4887\/revisions\/21728"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/4889"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=4887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=4887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=4887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}