To Kill A Centrifuge Es

Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.
Más información disponible en www.DeepL.com/pro.
"El análisis definitivo de Stuxnet"

Bruce Schneier
Matar a una
centrifugadora
Un análisis técnico de
lo que los creadores de
Stuxnet
Intentado conseguir
Ralph Langner
Noviembre de 2013
El Grupo Langner
Arlington | Hamburgo | Múnich
Conteni
do
Resumen ejecutivo ...................................................................................................................................3
Prólogo: Un ejemplo de libro de ciberguerra.............................................................................................4
A. Exploración del vector de ataque.........................................................................................................5

Ataque de sobrepresión: Secuestro silencioso de las joyas de la Corona...........................................5
Rotor Speed Attack: El límite .............................................................................................................10
Análisis: La dinámica de una campaña de guerra cibernética.............................................................15
B. Conceptos erróneos sobre el funcionamiento y el impacto de Stuxnet ....................................................18

¿Se "escapó" Stuxnet de Natanz por un error de programación? .....................................................18
¿Tenían los atacantes capacidad para detener la campaña? ...........................................................18
¿Puede utilizarse Stuxnet como modelo para ataques de imitación?................................................19
¿Son necesarios los recursos de un Estado-nación para llevar a cabo ataques similares contra EE.UU. o sus
aliados? ..............................................................................................................................................20
¿Pueden los controles técnicos de seguridad bloquear ataques similares a Stuxnet? ........................22
¿Es suficiente una "defensa activa" contra los ataques ciberfísicos? ................................................23
C. Natanz por dentro: visita guiada a los sistemas, la instrumentación y el control de la planta..................24
Software SCADA ................................................................................................................................24
Diseño de plantas ...............................................................................................................................28
Sensores y válvulas..............................................................................................................................29
Controladores industriales ..................................................................................................................35
Cuestiones de no proliferación ...........................................................................................................37
Agradecimientos
Andreas Timm, Olli Heinonen, Richard Danzig y R. Scott Kemp han aportado valiosos comentarios
durante la redacción de este documento. No obstante, las opiniones expresadas son las del autor, no
las suyas.
Matar a una -2 - www.langner.com

centrifugadora
Resumen ejecutivo
Este documento resume la investigación más exhaustiva sobre el malware Stuxnet realizada hasta la
fecha: Combina los resultados de la ingeniería inversa del código de ataque con información sobre el
diseño de la planta atacada e información de fondo sobre el proceso de enriquecimiento de uranio
atacado. Examina los vectores de ataque de las dos cargas útiles diferentes contenidas en el
malware y, en especial, ofrece un análisis de la carga útil mayor y mucho más compleja, diseñada
para dañar los rotores de las centrifugadoras mediante sobrepresión. Vistos ambos vectores de
ataque en su contexto, se extraen conclusiones sobre el razonamiento que subyace a un cambio
radical de táctica entre el complejo ataque anterior y el comparativamente sencillo ataque posterior
que trataba de manipular la velocidad de los rotores de las centrifugadoras. Se razona que entre
2008 y 2009 los creadores de Stuxnet se dieron cuenta de que estaban en algo mucho más grande
que retrasar el programa nuclear iraní: El primer experimento de campo de la historia en tecnología
de armas ciberfísicas. Esto puede explicar por qué en el transcurso de la campaña contra Natanz se
perdió OPSEC hasta el punto de que se puede especular que a los atacantes realmente ya no les
preocupaba en última instancia ser detectados o no, sino ir más allá.
Otra sección de este documento está dedicada a la discusión de varios conceptos erróneos
populares sobre Stuxnet, sobre todo lo difícil que sería utilizar Stuxnet como modelo para ataques
ciberfísicos contra infraestructuras críticas de Estados Unidos y sus aliados. Se señala que las
fuerzas cibernéticas ofensivas de todo el mundo aprenderán sin duda de la primera verdadera arma
cibernética de la historia, y se explica además por qué no son necesarios los recursos de un Estado
nación para lanzar ataques ciberfísicos. También se explica por qué la sabiduría infosegura
convencional y la disuasión no protegen suficientemente contra los ataques de imitación inspirados
en Stuxnet.
La última sección del documento proporciona abundante material filmado de la planta que
permite comprender mejor el ataque, y también colma una laguna en la literatura de investigación
sobre el programa nuclear iraní que hasta ahora se centraba en centrifugadoras individuales y no en
conjuntos de nivel superior como cascadas y unidades de cascada. Además, se proporciona
información sobre la instrumentación y el control, que es un punto crucial para comprender el
enfoque iraní del enriquecimiento de uranio.
Sólo hay una razón por la que publicamos este análisis: Ayudar a los propietarios de activos y a los
gobiernos a protegerse contra los sofisticados ataques ciberfísicos que casi con toda seguridad se
producirán a raíz de Stuxnet. El debate público sobre el tema y las estrategias corporativas sobre
cómo afrontarlo indican claramente una incomprensión generalizada del ataque y sus detalles, por no
mencionar una incomprensión de cómo asegurar los sistemas de control industrial en general. Por
ejemplo, las estrategias de mitigación posteriores a Stuxnet, como la insistencia en el uso de air
gaps, antivirus y parches de seguridad, son indicios de que no se ha entendido cómo funcionó
realmente el ataque. Con la publicación de este documento esperamos cambiar esta insatisfactoria
situación y estimular un amplio debate sobre estrategias de mitigación adecuadas que no erren el
tiro.
Matar a una -3 - www.langner.com

centrifugadora
Prólogo: Un ejemplo de libro de ciberguerra
Incluso tres años después de su descubrimiento, Stuxnet sigue desconcertando a estrategas
militares, expertos en seguridad informática, responsables políticos y público en general. El malware
marca un claro punto de inflexión en la historia de la ciberseguridad y también en la historia militar. Su
impacto para el futuro será muy probablemente sustancial, por lo que debemos hacer todo lo posible
por comprenderlo adecuadamente. El resultado real en la Zona Cero no está claro, aunque sólo sea
por el hecho de que no se dispone de información sobre cuántos controladores fueron realmente
infectados por Stuxnet. Teóricamente, cualquier problema en Natanz que apareciera en los informes
del OIEA de 2009 podría haber tenido una causa completamente distinta a Stuxnet. No obstante, el
análisis forense puede decirnos qué pretendían conseguir los atacantes y cómo.
Pero eso no puede lograrse sólo comprendiendo el código informático y las vulnerabilidades de día
cero. Al tratarse de un ataque ciberfísico, también hay que entender la parte física: las características
de diseño de la planta atacada y de los parámetros de proceso de dicha planta. A diferencia de los
ciberataques que vemos a diario, un ataque ciberfísico implica tres capas y sus vulnerabilidades
específicas: La capa informática que se utiliza para propagar el malware, la capa del sistema de
control que se utiliza para manipular (pero no interrumpir) el control del proceso y, por último, la capa
física donde se crea el daño real. En el caso del ciberataque contra Natanz, la vulnerabilidad de la
capa física era la fragilidad de los rotores de las centrifugadoras de giro rápido, que se aprovechó
manipulando la presión del proceso y la velocidad del rotor. El malware Stuxnet constituye un ejemplo
de libro de texto de cómo la interacción de estas capas puede aprovecharse para crear destrucción
física mediante un ciberataque. A través de los diversos exploits ciberfísicos se dibuja la silueta de
una metodología de ingeniería de ataques que puede enseñarse en la escuela y, en última instancia,
aplicarse en algoritmos.
Mientras que las fuerzas ofensivas ya habrán empezado a comprender y a trabajar con esta
metodología, las fuerzas defensivas no lo han hecho, adormeciéndose en la teoría de que Stuxnet
estaba tan específicamente diseñado para atacar un único objetivo tan diferente de las instalaciones
comunes de infraestructuras críticas. Esta forma de pensar muestra una capacidad de abstracción
deficiente. Aunque el ataque fue muy específico, las tácticas y la tecnología de ataque no lo son; son
genéricas y pueden utilizarse también contra otros objetivos. Suponer que estas tácticas no serían
utilizadas por otros atacantes es tan ingenuo como suponer que el primer ataque DDoS de la
historia, la primera red de bots o el primer código de ataque automodificable seguirían siendo
acontecimientos singulares, ligados a sus respectivos casos de uso originales. En este momento,
unos 30 países emplean programas cibernéticos ofensivos, entre ellos Corea del Norte, Irán, Siria y
Túnez. Debe darse por sentado que todo ciberguerrero serio copiará las técnicas y tácticas
utilizadas en la primera verdadera arma cibernética de la historia. Por lo tanto, debería ser una
prioridad para los defensores comprender esas técnicas y tácticas igual de bien, si no mejor.
Capa
inform
Redes, sistemas operativos, aplicaciones ática Propagación
informáticas
Capa del sistema de control

industrial
Controladores industriales, subcontroladores
(frecuencia Manipulación
convertidores, reguladores de presión, etc.)
Capa física
Matar a unaVálvulas, accionamientos

eléctricos, etc.
Daños mediante
- 4 - la explotación de
vulnerabilidades físicas
www.langner.com
centrifugadora
Figura 1: Las tres capas de un ataque ciberfísico sofisticado
Matar a una -5- www.langner.com

centrifugadora
A. Exploración del vector de ataque
La mayoría de los que han escrito sobre Stuxnet lo han pasado por alto: el malware contiene dos
rutinas de ataque sorprendentemente diferentes. Mientras que la literatura sobre el tema se ha
centrado casi exclusivamente en la rutina de ataque más pequeña y sencilla que cambia la velocidad
de los rotores de las centrifugadoras, la rutina "olvidada" es aproximadamente un orden de magnitud
más compleja y califica como una simple pesadilla para aquellos que entienden la seguridad de los
sistemas de control industrial. Ver ambos ataques en su contexto es un requisito previo para
comprender el funcionamiento y el probable razonamiento que se esconde tras ellos.
Ambos ataques pretenden dañar los rotores de las centrifugadoras, pero utilizan tácticas diferentes.
El primer (y más complejo) ataque intenta sobrepresurizar las centrifugadoras, el segundo intenta
sobrevelocidadar los rotores de las centrifugadoras y llevarlos a sus velocidades críticas (de
resonancia).
Figura 2: Sinopsis de los dos ataques diferentes implementados en Stuxnet. Ambos utilizan una manipulación de
los sistemas de control industrial para lograr daños físicos, explotando diferentes vulnerabilidades físicas de los
equipos (rotores de centrifugadoras) que básicamente conducen al mismo resultado físico
Ataque de sobrepresión: Secuestro silencioso de las joyas de la Corona

En 2007, una persona no identificada envió una muestra de código a la plataforma antivirus
colaborativa Virustotal que, mucho más tarde, se convirtió en la primera variante de Stuxnet que
conocemos. Aunque ninguna empresa antivirus lo comprendió en su momento, ese
¿Qué es una centrifugadora en
contenía una carga útil para interferir gravemente en el
cascada?
Sistema de Protección en Cascada (SPC) de la Planta
de Enriquecimiento de Combustible de Natanz. Las centrifugadoras de gas utilizadas para
el enriquecimiento de uranio se montan en
Enfoque poco tecnológico del enriquecimiento de uranio grupos
en Iránpara maximizar la eficiencia. Las
centrifugadoras de un grupo, también
La espina dorsal del esfuerzo iraní de enriquecimiento llamado etapa de enriquecimiento,
de uranio es la centrifugadora IR-1, que se remonta a comparten las mismas tuberías de
un diseño europeo de finales de los sesenta y alimentación, producto y colas. Las colas
principios de los setenta que fue robado por el colectivas se conducen a la alimentación
traficante nuclear paquistaní A. Q. Khan. Se trata de un colectiva de la siguiente etapa en un lado,
diseño obsoleto que Irán nunca consiguió hacer así como el producto colectivo se conduce a
funcionar de forma fiable. la alimentación colectiva en el otro lado. En
los extremos de la cascada, los tubos de
Es muy posible que los problemas de fiabilidad
salida del producto y de las colas recogen el
comenzaran ya en 1987, cuando Irán empezó a
uranio enriquecido y empobrecido. En la
experimentar con un conjunto de centrifugadoras P-1 "etapa de alimentación" se introduce una
Matar a una -6- alimentación común centralwww.langner.com
de UF6. Hasta
centrifugadora 2012, Irán utilizaba cascadas con 164
centrifugadoras agrupadas en 15 etapas,
fuera de servicio adquiridas a la red Khan. Los
problemas para conseguir que los rotores de las
centrifugadoras girasen sin fallos también habrán dado
lugar, probablemente, a la escasa eficiencia que puede
observarse al analizar los resultados del OIEA.

centrifugadora
que sugieren que el IR-1 funciona sólo la mitad de bien -
en el mejor de los casos- de lo que teóricamente
¿Qué es un sistema de
podría. Una razón probable de este bajo rendimiento es
protección?
que Irán redujo la presión de funcionamiento de las Los sistemas de control industrial y su
centrifugadoras para disminuir la presión de la pared del instrumentación asociada se agrupan
rotor. Pero menos presión significa menos rendimiento y, básicamente en sistemas de producción
por tanto, menos eficacia. y sistemas de protección. Como su
nombre indica, los sistemas de
Por poco fiable e ineficaz que sea la IR-1, ofrecía una protección no sirven para nada durante
ventaja significativa: Irán consiguió producir el anticuado el funcionamiento normal, sino que están
diseño a escala industrial. Debió parecer llamativo pensados para detectar anomalías en el
compensar fiabilidad y eficiencia por volumen, proceso y evitar que destruyan los
aceptando una rotura constante de centrifugadoras equipos o se conviertan en peligros para
los operarios y el medio ambiente.
durante el funcionamiento porque se podían fabricar
más rápido de lo que se estrellaban. El suministro no era un problema. Pero, ¿cómo se pueden
utilizar miles de frágiles centrifugadoras en un proceso industrial delicado que no tolera ni los más
mínimos contratiempos? Para conseguirlo, Irán utiliza un sistema de protección en cascada que es
bastante singular, ya que está diseñado para hacer frente a los continuos problemas de las
centrifugadoras aplicando una versión rudimentaria de la tolerancia a fallos. El sistema de
protección es un componente crítico para el programa nuclear iraní, ya que sin él Irán no sería
capaz de seguir enriqueciendo uranio.
El problema inherente al sistema de protección en cascada y su solución

El sistema de protección en cascada consta de dos capas, la inferior a nivel de las centrifugadoras.
Se instalan tres válvulas de cierre de acción rápida para cada centrifugadora en los conectores de la
tubería de centrifugado y la tubería de la etapa de enriquecimiento. Cerrando las válvulas, las
centrifugadoras con problemas -indicados por vibraciones- pueden aislarse de las tuberías de la
etapa. Las centrifugadoras aisladas se desconectan y pueden ser sustituidas por los técnicos de
mantenimiento mientras el proceso sigue en marcha.
La pantalla de monitorización central del Sistema de Protección de Cascadas, que se analiza en
detalle en la última sección de este documento, muestra el estado de cada centrifugadora dentro de
una cascada -en funcionamiento o aislada- como un punto verde o gris. Los puntos grises no son
nada especial en las pantallas del sistema de control de Natanz y
incluso aparecen en las fotos
oficiales de prensa tomadas durante
la visita del ex presidente
Ahmadineyad a Natanz en 2008.
Debía de parecer normal ver puntos
grises, ya que Irán estaba
acostumbrado a los problemas con
los rotores desde el primer día.
Aunque ningún director de planta
occidental habría autorizado la
publicación de ese material
fotográfico, Irán no pareció
molestarse en ocultar ese hecho a
los medios de comunicación. Al
contrario, podría haber habido un
sentimiento de orgullo al mostrar un
logro tecnológico que permitía tolerar
fallos en las centrifugadoras.
Pero las válvulas de aislamiento
centrifugadora
pueden convertirse tanto en un
problema como en una solución.
Figura 3: El ex presidente Ahmadineyad observa las pantallas Cuando se utilizan centrifugadoras
SCADA en la sala de control de Natanz en 2008. La pantalla básicamente poco fiables, se producen
orientada hacia el fotógrafo muestra que dos centrifugadoras están cierres frecuentes y el personal de
aisladas, lo que indica un defecto, pero eso no impide que la cascada
respectiva siga funcionando (resaltado en rojo no en el original). mantenimiento puede no tener la
oportunidad de sustituir las
centrifugadoras dañadas.

centrifugadora
centrifugadoras antes de que se aísle la siguiente en la El problema de la presión de
misma etapa de enriquecimiento. Una vez que se
proceso en las centrifugadoras de
desconectan esas centrifugadoras múltiples dentro de
la misma etapa, la presión del gas UF6 -el parámetro gas
más sensible en el enriquecimiento de uranio mediante Las centrifugadoras de gas para el
centrifugadoras- aumentará, lo que puede acarrear y enriquecimiento de uranio son
acarreará todo tipo de problemas. extremadamente sensibles a los
aumentos de la presión de proceso por
Irán ha encontrado una solución creativa para este encima del casi vacío. Un ligero aumento
problema, básicamente otra solución que se suma a la de la presión puede afectar a la eficacia
primera. En cada etapa de enriquecimiento se instala una del enriquecimiento porque se altera el
válvula de escape que permite compensar la perfil de presión de la cascada,
sobrepresión. Al abrir la válvula, la sobrepresión se reduciendo el flujo de producto. Un
descarga en el sistema de descarga. Un sistema de aumento moderado de la presión hará que
descarga está presente en cualquier cascada de entre más hexafluoruro de uranio en la
centrifugadora, lo que supondrá un mayor
centrifugadoras de gas utilizada para el enriquecimiento
esfuerzo mecánico para el rotor. La
de uranio, pero nunca se utiliza en modo de producción;
presión de la pared del rotor es una
simplemente actúa como reserva en caso de disparos de función de la velocidad (velocidad del
la cascada cuando las centrifugadoras deben ser rotor) y de la presión de funcionamiento.
evacuadas y el procedimiento "normal" de utilizar En última instancia, la presión puede
simplemente el despegue de las colas no está disponible hacer que el UF6 se solidifique. A
por cualquier motivo. Irán descubrió que puede utilizar (o temperatura ambiente, que es la condición
abusar) del sistema de evacuación para compensar la ambiental en la sala de cascadas de
sobrepresión de las etapas. Para cada etapa de Natanz, esto tiene lugar a unos 100
milibares.
enriquecimiento, la presión (variable de control) es
controlada por un sensor de presión. Si esa presión supera un determinado valor de consigna, se
abre la válvula de escape de la etapa (variable controlada) y la sobrepresión se libera en el sistema
de descarga hasta que se restablece la presión de funcionamiento normal: un control básico aguas
abajo como el que se conoce de otras aplicaciones de la tecnología de vacío.
Lo más probable es que la arquitectura de control aguas abajo, con una válvula de escape por etapa,
no se adquiriera a la red de Khan, ya que es posible que Pakistán no la necesitara; al parecer, nunca
experimentaron una falta de fiabilidad similar. La tecnología de sistemas de control utilizada en
Natanz no existía en los años ochenta, cuando Pakistán tuvo su mayor éxito en el enriquecimiento de
uranio. La especificación del bus de campo PROFIBUS, una microrred en tiempo real para conectar
dispositivos de campo a controladores, se publicó por primera vez en 1993, y los controladores
utilizados para el CPS (Siemens S7-417) se introdujeron en el mercado no antes de 1999. Sin
embargo, no hay pruebas de una relación estrecha entre Irán y la red Khan después de 1994. El
plazo de adopción de una nueva tecnología como PROFIBUS en el ámbito de la automatización, con
sus ciclos de vida extremadamente largos, es de unos diez años, ya que los propietarios de los
activos son reacios a invertir en una nueva tecnología hasta que ésta se considera un estándar
industrial "probado", por lo que es poco probable que alguien haya utilizado la nueva tecnología de
bus de campo para uso productivo en instalaciones críticas antes de
los primeros años del nuevo milenio, justo cuando se cerró la
¿Qué es un bus de campo? red Khan. Pero en 1998 Pakistán ya había probado con éxito
Un bus de campo es una microrred en su primera arma nuclear, obviamente sin la ayuda de la
tiempo real para conectar periféricos nueva tecnología de control y bus de campo del gigante
de automatización (como industrial alemán.
instrumentos, motores o válvulas) a
un controlador. El número de Lo que sí sabemos es que cuando Irán se puso en serio a
estaciones que pueden conectarse a equipar la planta de Natanz en los primeros años del nuevo
un bus de campo es bastante limitado milenio, se encontró con problemas técnicos. En octubre de
y suele ser inferior a 255. En la 2003, la UE3 (Gran Bretaña, Alemania y Francia) pidió a Irán
mayoría de las variantes del bus de que suspendiera sus actividades de enriquecimiento "durante
campo hay un controlador maestro y
Matar a una - 10 - www.langner.com
todas las demás estaciones actúan
centrifugadora
como "esclavas".
PROFIBUS es una importante norma
un tiempo" como medida de confianza. El negociador jefe
iraní, Hassan Rowhani, actual presidente de Irán, comunicó a
la UE3 que Irán aceptaba una suspensión "durante el tiempo
que consideremos necesario". Dos años después, Rowhani
aclaró que la suspensión sólo se había aceptado en los
ámbitos en los que Irán no experimentaba problemas
técnicos. En 2006, Irán no consideró que la pausa ya no era

centrifugadora
"necesaria" por la sencilla razón de que habían superado sus problemas técnicos. Esto se hizo
evidente cuando se rompieron los precintos de la AIEA en las cascadas y se reanudó la producción.
Cabe especular que el control de presión afinado que proporcionan las válvulas de escape de las
etapas se diseñó entre 2003 y 2006.
Figura 4: Reunión de la UE3 en 2003 con Hassan Rowhani y los ministros de Asuntos Exteriores de Alemania,
Francia y Gran Bretaña
El software SCADA (control de supervisión y adquisición de datos, básicamente una aplicación

informática para la monitorización de procesos por parte de los operadores) para la CPS también
parece ser un desarrollo genuino para la planta de enriquecimiento de combustible de Natanz. Por
decirlo francamente, su aspecto es bastante amateur y no indica signos de los muchos años-hombre
de experiencia pakistaní. Falta todo lo "estándar" que indicaría madurez de software y un equipo de
desarrollo de software experimentado. Parece un trabajo en curso de desarrolladores de software con
poca experiencia en SCADA. Dado que Irán comprende la importancia del sistema de control para el
sistema de protección, una estrategia razonable habría sido mantener el desarrollo y el soporte del
producto en manos nacionales de confianza.
La maravilla tecnológica de Irán

El ciberataque contra el sistema de protección en
cascada infecta los controladores S7-417 de
Siemens con una configuración coincidente. El S7-
417 es un controlador industrial de gama alta para
grandes tareas de automatización. En Natanz, se
utiliza para controlar las válvulas y los sensores de
presión de hasta seis cascadas (o 984
centrifugadoras) que comparten estaciones
comunes de alimentación, producto y colas.
Inmediatamente después de la infección, la carga
útil de esta variante temprana de Stuxnet toma el
control por completo.
La lógica de control legítima se ejecuta sólo
mientras el código malicioso se lo permite; queda
completamente desacoplada de las señales
Figura 5: Operarios delante de las pantallas
SCADA del Sistema de Protección en Cascada, eléctricas de entrada y salida. El código de ataque
situadas justo debajo de una foto del ex presidente se asegura de que, cuando no está activado, el
Ahmadineyad.
centrifugadora
código legítimo tenga acceso a las señales; de
hecho, está replicando una función del sistema
operativo del controlador que normalmente lo haría
automáticamente, pero que se desactivó durante la
infección.

centrifugadora
En lo que se conoce como un escenario man-in-the-middle en ciberseguridad, las señales de
entrada y salida pasan de los periféricos eléctricos a la lógica legítima del programa y viceversa
por un código de ataque que se ha colocado "en medio".
Las cosas cambian tras la activación de la secuencia de ¿Qué es SCADA?
ataque, que se desencadena por una combinación de
condiciones de proceso muy específicas que el código SCADA es el acrónimo de
Supervisory Control And Data
malicioso vigila constantemente. A continuación, se produce la
Acquisition, una categoría de
tan publicitada manipulación de los valores del proceso dentro
programas informáticos utilizados
del controlador. Las señales de entrada del proceso (valores para visualizar y analizar las
de los sensores) se registran durante un periodo de 21 condiciones del proceso. Mal
segundos. Esos 21 segundos se reproducen en un bucle entendido por la mayoría de los
constante durante la ejecución del ataque, y finalmente se autores no técnicos en la materia,
muestran en las pantallas SCADA de la sala de control, SCADA es sólo un componente de
sugiriendo un funcionamiento normal a los operadores una instalación automatizada y no
humanos y a cualquier rutina de alarma implementada por interfiere directamente con
dispositivos actuadores como
software. Durante la secuencia de ataque, el código legítimo
válvulas, bombas o motores - esto
continúa ejecutándose pero recibe valores de entrada falsos, y
se consigue mediante controladores
cualquier manipulación de salida (actuador) de la lógica de industriales que funcionan en
control legítima deja de tener efecto. tiempo real y no tienen pantalla ni
Cuando comienzan las manipulaciones maliciosas reales del teclado. SCADA es el front-end de
un proceso industrial para los
proceso, se cierran todas las válvulas de aislamiento de las
operadores humanos. En el caso de
dos primeras y las dos últimas etapas de enriquecimiento,
Stuxnet, todas las manipulaciones
bloqueando así la salida de producto y colas del gas de del proceso se produjeron en los
proceso de cada cascada afectada. De las centrifugadoras controladores, no en los sistemas
restantes se aíslan más centrifugadoras, excepto en la etapa SCADA.
de alimentación. La consecuencia es que la presión de
funcionamiento en las centrifugadoras no aisladas aumenta a
medida que el UF6 sigue fluyendo
en la centrifugadora a través de la alimentación, pero no puede escapar a través de las tomas de
producto y colas, lo que provoca un aumento continuo de la presión.
Al mismo tiempo, las válvulas de escape de la etapa permanecen cerradas para que no pueda
liberarse sobrepresión a la línea de descarga. Pero esto es más fácil de decir que de hacer debido a
la implementación en bucle cerrado del control de las válvulas. Las señales de entrada de las
válvulas no están conectadas directamente a los controladores principales Siemens S7-417, sino a
controladores de presión específicos que están presentes una vez por etapa de enriquecimiento. Los
controladores de presión tienen un valor de consigna configurable (umbral) que requiere una acción
cuando se supera, es decir, enviar una señal a la válvula de escape de la etapa para que se abra
hasta que la presión de proceso medida vuelva a caer por debajo de ese umbral. Los controladores
de presión deben tener un enlace de datos con el Siemens S7-417 que permita a este último
manipular las válvulas. Con cierta incertidumbre, suponemos que para la manipulación no se
utilizaron órdenes directas de cierre de válvulas, sino una descalibración de los sensores de presión.

centrifugadora
Figura 6: Forma de cascada modificada durante el ataque. El Figura 7: Los bucles de control (resaltados en naranja)
aislamiento de todas las centrifugadoras en las etapas 1 y 15 en una pantalla SCADA de Natanz indican que el
bloquea eficazmente el flujo de salida
de gas de proceso, lo que resulta en un aumento de la presión para las válvulas de escape no etapa se controlan en
un cerrado
centrifugadoras aisladas bucle mediante controladores de presión específicos
Los sensores de presión no son perfectos a la hora de traducir la presión en una señal de salida
analógica, pero sus errores pueden corregirse mediante calibración. Se puede indicar al controlador
de presión cuál es la presión "real" para determinadas señales analógicas y, a continuación, linealizar
automáticamente la medición a lo que sería la presión "real".

centrifugadora
presión. Si la linealización es sobrescrita por código malicioso en el controlador S7-417, las lecturas
analógicas de presión serán "corregidas" durante el ataque por el controlador de presión, que
entonces interpreta todas las lecturas analógicas de presión como presión perfectamente normal sin
importar lo altos o bajos que sean sus valores analógicos. El controlador de presión actúa entonces
en consecuencia no abriendo nunca las válvulas de escape de la etapa. Mientras tanto, la presión
real sigue aumentando. Los sensores del cabezal de alimentación, la salida del producto y la salida
de las colas también debían ser comprometidos porque, con el flujo de gas de proceso bloqueado,
habrían mostrado lecturas críticas de presión alta (alimentación) y baja (producto y colas), cerrando
automáticamente las válvulas maestras de alimentación y activando una alarma. Afortunadamente
para los atacantes, la misma táctica podía utilizarse para las válvulas de escape y los transductores
de presión adicionales, numerados del 16 al 21 en la instalación y en el código de ataque, ya que
utilizan los mismos productos y la misma lógica. Las detalladas manipulaciones de estos
subcontroladores indican un profundo conocimiento físico y funcional del entorno del objetivo;
quienquiera que proporcionara la inteligencia necesaria bien podría conocer los ingredientes favoritos
de la pizza del jefe de ingeniería local.
Figura 8: Válvulas muy diferentes: Mientras que las válvulas de escape de la etapa (etiquetadas EP-4108 a 4112
en esta captura de pantalla parcial de la pantalla SCADA del SPI) permanecen cerradas durante el
funcionamiento normal y durante el ataque, al menos una de las válvulas de alimentación (etiquetadas EP-4118
a EP-4120) debe permanecer abierta. Los controladores de presión en las tomas de producto y colas también
deben estar comprometidos para no señalar una condición de baja presión.
El ataque continúa hasta que los atacantes deciden que ya es suficiente, basándose en la
monitorización del estado de la centrifugadora, muy probablemente sensores de vibración, lo que
sugiere abortar la misión antes de que la cosa se desmadre. Si la idea fuera la destrucción
catastrófica, simplemente habría que sentarse y esperar. Pero provocar una solidificación del gas de
proceso habría provocado la destrucción simultánea de cientos de centrifugadoras por controlador
infectado. Aunque a primera vista esto puede parecer un objetivo que merece la pena alcanzar,
también habría echado por tierra la tapadera, ya que su causa habría sido detectada con bastante
facilidad por los ingenieros iraníes en los análisis post mortem. La ejecución del ataque, con su
estrechísima vigilancia de las presiones y del estado de las centrifugadoras, sugiere que los
atacantes se cuidaron mucho de evitar daños catastróficos. La intención del ataque de sobrepresión
era más bien aumentar la tensión de los rotores, provocando así su rotura prematura, pero no
necesariamente durante la ejecución del ataque.
No obstante, los atacantes se enfrentaban al riesgo de que el ataque no funcionara en absoluto
porque está tan sobredimensionado que incluso el más mínimo descuido -o cualquier cambio de
configuración- habría tenido un impacto nulo o, en el peor de los casos, un fallo del programa que los
ingenieros iraníes habrían detectado rápidamente. Es obvio, y se documenta más adelante en este
documento, que con el tiempo Irán cambió varios detalles importantes de la configuración, como el
número de centrifugadoras y las etapas de enriquecimiento por cascada, todo lo cual habría hecho
inútil el ataque por sobrepresión; un hecho que los atacantes debían haber previsto.
Rotor Speed Attack: El límite

Cualquiera que fuera el efecto del ataque de sobrepresión, los atacantes decidieron probar algo
centrifugadora
diferente en 2009. Eso puede haber sido motivado por el hecho de que el ataque de sobrepresión
fue letal sólo por accidente, que no logró nada, o - que alguien simplemente decidió probar algo
nuevo y fresco.

centrifugadora
La nueva variante que no se descubrió hasta 2010 era mucho más simple y mucho menos sigilosa
que su predecesora. Además, atacaba un componente completamente distinto: el sistema de
accionamiento de centrifugadoras (CDS) que controla la velocidad de los rotores. Las rutinas de
ataque para el ataque por sobrepresión seguían contenidas en la carga útil, pero ya no se
ejecutaban, un hecho que debe considerarse una deficiente OPSEC. Nos proporcionó con mucho la
mejor prueba forense para identificar el objetivo de Stuxnet, y sin la nueva variante, fácil de detectar,
es posible que nunca se hubiera descubierto el predecesor anterior. Esto también significa que las
tácticas de ataque ciberfísico más agresivas seguirían siendo desconocidas para el público, no
disponibles para su uso en ataques de imitación e inutilizables como muestra disuasoria de poder
cibernético.
La caballería de la infoseguridad
La primera versión de Stuxnet tuvo que instalarse físicamente
¿Qué es un sistema de
en una máquina víctima, muy probablemente un sistema de
ingeniería portátil, o pudo haberse pasado en una memoria ingeniería?
USB que contenía un archivo de configuración infectado para Los controladores industriales no
controladores Siemens. Una vez que el software de ingeniería vienen con pantallas de vídeo,
del proveedor abría el archivo de configuración, el ordenador teclados ni ratones. Su
correspondiente quedaba infectado. Pero si no hay software de programación se realiza fuera de
ingeniería que abra el archivo malicioso, no hay propagación. línea en un sistema informático que
se denomina "sistema de
Eso debió parecer insuficiente o poco práctico para la nueva ingeniería", ya que los ingenieros de
versión, ya que introdujo un método de autorreplicación que le sistemas de control no se
permitía propagarse dentro de redes de confianza y a través consideran programadores, sino
de memorias USB incluso en ordenadores que no alojaban la que se centran en la funcionalidad
aplicación de software de ingeniería. El dropper extendido física del proceso a la hora de
sugiere que los atacantes configurar los controladores.
había perdido la capacidad de transportar el malware a su Los sistemas de ingeniería

destino infectando directamente los sistemas del personal contemporáneos son simples PC
autorizado, o que el Centrifuge Drive System había sido Windows que ejecutan una
instalado y configurado por otras partes a las que no era aplicación de software específica
del proveedor del sistema de
posible acceder directamente. En última instancia, la
control. Los ordenadores portátiles
autorreplicación permitiría incluso infiltrarse e identificar
son especialmente populares,
posibles instalaciones nucleares clandestinas que los aunque sólo sea porque todavía
atacantes desconocían. hoy muchos controladores no están
conectados a una LAN y sólo
De repente, Stuxnet se equipó con los últimos y mejores
pueden configurarse localmente
exploits de MS Windows y certificados digitales robados como
mediante una conexión RS-232.
guinda del pastel, lo que permitió al software malicioso hacerse
pasar por software de controlador legítimo y no ser rechazado Para los ataques ciberfísicos
por las nuevas versiones del sistema operativo Windows. sofisticados, los sistemas de
ingeniería son un objetivo
Evidentemente,
primordial, ya que permiten el
organizaciones se habían unido al club que tienen un alijo de días cero
reenvío de los ataques a los
para elegir y podrían aparecer certificados robados sin más. controladores industriales.
Mientras que el desarrollo del ataque de sobrepresión puede
ser visto como un proceso que podría limitarse a un grupo
interno de expertos en seguridad de sistemas de control
industrial de primera clase y codificadores...
que viven en un ecosistema exótico bastante alejado de la seguridad informática, el círculo parece
haberse ampliado mucho, con un nuevo centro de gravedad en Maryland. Es posible que se trate de
una situación en la que el equipo original se ve despojado del mando por un casual "nosotros nos
encargamos a partir de aquí" por parte de personas con mayor nivel salarial. Stuxnet había llegado a
la gran infosec.
centrifugadora
Pero el uso de los múltiples días cero tuvo un precio. La nueva variante de Stuxnet era mucho más
fácil de identificar como software malicioso que su predecesora, ya que de repente mostraba un
comportamiento muy extraño y muy sofisticado en la capa informática. En comparación, el dropper de
la versión inicial se parecía bastante a un proyecto de software Step7 legítimo o, en el peor de los
casos, pirateado para controladores Siemens; lo único extraño era que faltaba un aviso de copyright y
los términos de la licencia. En 2007, habría que hacer esfuerzos forenses extremos para darse
cuenta de qué se trataba Stuxnet, y habría que

centrifugadora
buscarlo específicamente, lo que estaba fuera de la imaginación de todos en ese momento. La
versión más reciente, equipada con una gran cantidad de exploits con los que los hackers sólo
pueden soñar, indicó incluso al investigador antivirus menos vigilante que se trataba de algo grande,
que merecía una mirada más atenta. Eso ocurrió en 2010, cuando una empresa antivirus bielorrusa
no muy conocida, llamada VirusBlokAda, prácticamente tropezó con el malware y lo puso sobre la
mesa de la industria antivirus.
Un nuevo intento de agrietar los rotores

Los rotores de las centrifugadoras -la mayor fragilidad de una centrifugadora de gas- tienen más de
una forma de meterse en problemas. En la última variante de Stuxnet, los atacantes exploraron un
camino diferente para destrozarlos: La velocidad del rotor. Cualquier intento de sobrepresurizar las
centrifugadoras queda inactivo en la nueva versión, y si en algunas cascadas la secuencia de ataque
anterior seguiría ejecutándose al iniciarse la secuencia de ataque a la velocidad del rotor, no se
implementa ninguna coordinación. El nuevo ataque es completamente independiente del anterior, y
manipula un componente del sistema de control completamente diferente: El Sistema de
Accionamiento de la Centrifugadora.
Ese sistema no está controlado por los mismos
controladores S7-417, sino por los S7-315, mucho
más pequeños. Un controlador S7-315 está dedicado
a los 164 accionamientos de una cascada (un
accionamiento por centrifugadora). El diseño de la
cascada, con 164 centrifugadoras montadas en cuatro
líneas y 43 columnas, fue proporcionado por A. Q.
Khan y se asemeja a la disposición de la cascada
pakistaní. Cada centrifugadora dispone de su propio
motor en la parte inferior de la centrifugadora, un
accionamiento muy estable que puede funcionar a
Figura 9: El presidente Ahmadineyad sostiene

velocidades de hasta 100.000 rpm con par constante
un rotor de centrifugadora de fibra de carbono durante la aceleración y la deceleración. A estos
durante su visita de prensa a Natanz en 2008. variadores de frecuencia no se puede acceder
Este rotor es para la centrifugadora IR-2 de directamente mediante un controlador, sino que
nueva generación. Los rotores utilizados en la
IR-1 que fue atacada por Stuxnet son más requieren el uso de convertidores de frecuencia;
altos y están construidos con metal. básicamente, fuentes de alimentación programables
que permiten ajustar velocidades específicas
proporcionando al motor una corriente alterna
con una frecuencia solicitada por el controlador mediante comandos digitales. Los convertidores de frecuencia son
conectados a un total de seis segmentos PROFIBUS por
limitaciones técnicas del equipo de bus de campo (un segmento Rotores de
PROFIBUS no podía dar servicio a todos los convertidores de centrifugadora
frecuencia), todos los cuales terminan en procesadores de problemáticos
comunicación (CP) que están conectados al backplane de la CPU
S7-315. Por lo tanto, aunque el código de ataque que se ejecuta en "Hay que ser extremadamente
competente y experto para
el controlador S7-315 también habla con grupos de seis conjuntos
montar, equilibrar y hacer
de objetivos (grupos de control del rotor), no existe ningún tipo de
funcionar estas máquinas
vínculo con los seis conjuntos de objetivos (cascadas) del ataque [centrifugadoras de gas] a toda
de sobrepresión que se ejecuta en el S7-417. velocidad (63.000 rpm). Lo
El código de ataque sugiere que los controladores S7-315 están permití [la venta de
centrifugadoras], ya que fue
conectados a un sistema SCADA WinCC de Siemens para
sancionada anteriormente por
supervisar los parámetros de los variadores. Lo más probable es
el Gen.
que una instancia individual de WinCC dé servicio a un total de seis Imtiaz y al Gobierno y
cascadas. Sin embargo, en las imágenes de vídeo y fotográficas de mantendría contentos a los
iraníes y nuestra amistad con
centrifugadora ellos intacta. El hecho de que
los iraníes no hayan logrado
las salas de control de Natanz no se pudo identificar ninguna
pantalla WinCC. Esto no significa necesariamente que el producto
no se utilice; las instalaciones podrían estar colocadas en otro
lugar, por ejemplo en paneles de operador dentro de la sala de
cascadas.
Mantenlo simple, estúpido

Al igual que en el predecesor, el nuevo ataque actúa
periódicamente, aproximadamente una vez al mes, pero la
condición desencadenante es mucho más sencilla.

centrifugadora
Mientras que en el ataque por sobrepresión se controlan varios parámetros del proceso para
comprobar si se dan condiciones que podrían darse sólo una vez en una luna azul, el nuevo
ataque es mucho más directo.
El nuevo método consiste en cambiar la velocidad de los rotores. Dado que la presión de la pared del
rotor es una función de la presión del proceso y de la velocidad del rotor, el camino más fácil hacia el
problema es acelerar en exceso los rotores, aumentando así la presión de la pared del rotor. Eso es
lo que hizo Stuxnet. La velocidad normal de funcionamiento de la centrifugadora IR-1 es de 63.000
rpm, según reveló el propio A. Q. Khan en su confesión de 2004. Stuxnet aumenta esa velocidad en
un buen tercio hasta 84.600 rpm durante quince minutos, incluyendo la fase de aceleración que
probablemente dure varios minutos. No está claro si eso es lo suficientemente duro para que los
rotores se estrellen en la primera ejecución, pero parece poco probable, aunque sólo sea porque
un mes después se ejecuta una táctica de ataque diferente, lo que indica que la primera secuencia
puede haber dejado muchas centrifugadoras vivas, o al menos más vivas que muertas. La siguiente
ejecución consecutiva detiene básicamente todas las centrifugadoras de la cascada (120 rpm), para
volver a acelerarlas, lo que lleva un total de cincuenta minutos. Una parada repentina como "pisar
el freno" provocaría previsiblemente daños catastróficos, pero es poco probable que los
convertidores de frecuencia permitan una maniobra tan radical. Es más probable que cuando se le
indique que reduzca la velocidad, el convertidor de frecuencia desacelere suavemente como en un
caso de aislamiento / parada, para reanudar después la velocidad normal. El efecto de este
procedimiento no es determinista, pero ofrece muchas posibilidades de provocar daños. El IR-1 es
un diseño supercrítico, lo que significa que la velocidad de funcionamiento está por encima de ciertas
velocidades críticas que hacen que el rotor vibre (aunque sólo sea brevemente). Cada vez que el
rotor pasa por estas velocidades críticas, también llamadas armónicas, puede romperse.
Si los rotores se agrietan durante una de las secuencias de ataque, el Sistema de Protección en
Cascada entraría en acción, aislaría y pararía la centrifugadora correspondiente. Si se rompieran
varios rotores (muy probable), la sobrepresión resultante en la etapa se compensaría mediante las
válvulas de escape. Una vez que esto ya no fuera posible, por ejemplo porque se hubieran aislado
todas las centrifugadoras de una misma etapa, se produciría un vaciado de contingencia, dejando a
los operadores iraníes con la duda de por qué de repente se rompen tantas centrifugadoras a la vez.
No es que no tuvieran suficientes centrifugadoras nuevas en stock para sustituirlas, pero los
problemas inexplicables de este tipo son las experiencias más frustrantes de cualquier ingeniero de
sistemas de control, lo que suele denominarse perseguir a un demonio en la máquina.
Otra prueba de que no se pretendía una destrucción catastrófica es que no se intentó desactivar el
sistema de protección en cascada durante el ataque a la velocidad del rotor, lo que habría sido
mucho más fácil que el delicado y elaborado ataque a la sobrepresión. Esencialmente, sólo habría
sido necesario un fragmento muy pequeño de código de ataque del ataque por sobrepresión que ya
estaba implementado.
OPSEC se convierte en una preocupación menor

El error técnico más común sobre Stuxnet que aparece en casi todas las publicaciones sobre el
malware es que el ataque a la velocidad del rotor grabaría y reproduciría valores de proceso
mediante la grabación y reproducción de entradas de señal que descubrimos en 2010 y que también
se destaca en mi charla TED. Pasando por alto la atención de la mayoría de las personas que
escriben sobre Stuxnet, este componente de ataque en particular, y sin duda el más intrigante, sólo
se utiliza en el ataque de sobrepresión. El ataque S7-315 contra el sistema de accionamiento de la
centrifugadora simplemente no lo hace, y tal como se implementa en el ataque CPS ni siquiera
funcionaría en el controlador más pequeño por razones técnicas. El ataque a la velocidad del rotor es
mucho más simple.
Durante el ataque, el código de control legítimo simplemente se suspende. Se ejecuta la secuencia de
ataque, después se llama a una directiva condicional BLOCK END que indica al entorno de ejecución
que salte de nuevo a la parte superior del ejecutivo principal que está constantemente en bucle en el
centrifugadora
controlador de una sola tarea, reiterando así el ataque y suspendiendo todo el código posterior.

centrifugadora
A los atacantes no les importó que el
código legítimo continuara
ejecutándose con datos de entrada
falsos, muy probablemente porque no
era necesario. La velocidad del rotor
de la centrifugadora es constante
durante el funcionamiento normal; si
se muestra en una pantalla, uno
esperaría ver valores estáticos todo el
tiempo. También es una variable
menos dramática de vigilar que la
presión de funcionamiento porque la
velocidad del rotor no es una variable
controlada; no hay necesidad de
ajustar manualmente las velocidades,
y no hay riesgo de que por cualquier
Figura 10: El punto de entrada del ataque al principio del razón (a falta de un ataque
ejecutivo principal de un controlador S7-315 infectado, mostrado cibernético) las velocidades cambien
en el software de ingeniería. Durante la ejecución del ataque, la
al igual que la presión de proceso de
directiva BEB desactivará cualquier lógica de control legítima
posterior. En comparación, el ataque contra el S7-417 es un la etapa. La velocidad del rotor
orden de magnitud más complejo simplemente se ajusta y se mantiene
constante mediante el convertidor de
frecuencia.
Si una aplicación SCADA controlara
las velocidades del rotor
comunicándose con
los controladores S7-315 infectados, simplemente habría visto los valores exactos de velocidad
desde el momento anterior a la ejecución de la secuencia de ataque. El software SCADA obtiene su
información de la memoria del controlador, no hablando directamente con el convertidor de
frecuencia. Dicha memoria debe ser actualizada activamente por la lógica de control, leyendo valores
del convertidor. Sin embargo, si se suspende la lógica de control legítima, dichas actualizaciones ya
no tienen lugar, lo que da lugar a valores estáticos que coinciden perfectamente con el
funcionamiento normal.
No obstante, la implementación del ataque es bastante grosera; bloquear la ejecución del código de
control durante hasta una hora es algo que los ingenieros experimentados en sistemas de control
detectarían tarde o temprano, por ejemplo utilizando las funciones de diagnóstico del software de
ingeniería, o insertando código con fines de depuración. Desde luego, habrían necesitado una pista
de que algo no cuadraba con la velocidad del rotor. No está claro si el análisis post mortem
proporcionó suficientes indicios; el hecho de que se utilizaran tanto el exceso de velocidad como la
transición a través de velocidades críticas ciertamente causó disimulo. Sin embargo, en algún
momento el ataque debería haber sido reconocible por el personal de la planta sólo por el viejo
tímpano. Llevar 164 centrifugadoras o múltiplos de éstas de 63.000 rpm a 120 rpm y volver a
ponerlas a velocidad de nuevo habría sido perceptible - si el personal experimentado hubiera sido
lo suficientemente precavido como para quitarse los auriculares protectores en la sala de la cascada.
Otro indicio de que la OPSEC falló se observa en el área SCADA. Como ya se ha mencionado, no
está claro si el producto WinCC se utiliza realmente para supervisar el sistema de accionamiento de
las centrifugadoras de Natanz. De ser así, Stuxnet lo habría utilizado para sincronizar la secuencia de
ataque entre hasta seis cascadas de modo que sus accionamientos se vieran afectados
simultáneamente, lo que facilitaría aún más la detección audible. Y si en algún momento alguien en
Natanz hubiera empezado a analizar a fondo la interacción SCADA/PLC, se habrían dado cuenta en
cuestión de horas de que algo olía mal, como hicimos nosotros en 2010 en nuestro laboratorio. Un
centrifugadora
sistema WinCC infectado por Stuxnet sondea los controladores cada cinco segundos en busca de
datos fuera de los bloques de control legítimos; datos que fueron inyectados por Stuxnet. En una
configuración de laboratorio forense adecuada, esto produce un tráfico que simplemente no se puede
pasar por alto. ¿Se dio cuenta Irán? Tal vez no, ya que un miembro del personal del CERT iraní me
dijo que al menos el equipo de respuesta a emergencias informáticas no había realizado ninguna
prueba por su cuenta en 2010, sino que curiosamente seguía nuestras revelaciones.

centrifugadora
Figura 11: Tráfico de datos entre un sistema SCADA WinCC infectado por Stuxnet y un controlador, que se
produce periódicamente cada cinco segundos, capturado en un laboratorio forense debidamente equipado. Este
tráfico no podía pasar desapercibido ni ser malinterpretado por los expertos en seguridad de ICS; apunta a un
ciberataque en la capa de aplicación del controlador.
En resumen, las diferencias entre las dos variantes de Stuxnet aquí analizadas son notables. En la
versión más reciente, los atacantes estaban menos preocupados por ser detectados. Parece
exagerado decir que querían ser descubiertos, pero lo cierto es que iban más allá y aceptaban el
riesgo.
Análisis: La dinámica de una campaña de guerra cibernética

Todo tiene sus raíces, y las raíces de Stuxnet no están en el ámbito informático, sino en la
contraproliferación nuclear. Sabotear el programa nuclear iraní ya se había hecho antes
suministrando a Irán equipos mecánicos y eléctricos manipulados. Stuxnet transformó ese enfoque
de analógico a digital. No recurrir a la misma reserva de cerebros que arrojaron arena en el engranaje
nuclear iraní en el pasado habría sido un estúpido despilfarro de recursos, ya que incluso los ataques
digitales requerían un conocimiento profundo del diseño y el funcionamiento de la planta; un
conocimiento que no podía obtenerse simplemente analizando el tráfico de red y las configuraciones
informáticas en Natanz. Ni siquiera es difícil identificar a los posibles sospechosos de una operación
de este tipo; la lucha contra la proliferación nuclear es responsabilidad del Departamento de Energía
estadounidense y, desde 1994, también de la Agencia Central de Inteligencia, aunque ambas
organizaciones no incluyan el sabotaje entre sus funciones oficiales.
Un arma de bajo rendimiento

Se ha escrito mucho sobre el fracaso de Stuxnet a la hora de destruir un número sustancial de
centrifugadoras o de reducir significativamente la producción de uranio poco enriquecido de Irán.
Aunque eso es indiscutible, no parece que esa fuera la intención de los atacantes. Si Stuxnet causó
daños catastróficos, fue por accidente y no a propósito. Los atacantes se encontraban en una
posición en la que podrían haber roto el cuello de la víctima, pero en su lugar optaron por la asfixia
periódica continua. Stuxnet es un arma de bajo rendimiento con la intención general de reducir la
vida útil de las centrifugadoras iraníes y hacer que sus extravagantes sistemas de control

centrifugadora
parezcan incomprensibles.

centrifugadora
Las razones de tales tácticas no son difíciles de identificar. Cuando Stuxnet se desplegó por primera
vez, Irán ya dominaba la producción de centrifugadoras IR-1 a escala industrial. Se puede prever que
la destrucción catastrófica simultánea de todas las centrifugadoras en funcionamiento no habría
hecho retroceder el programa nuclear iraní más de los dos años de retroceso que he estimado para
Stuxnet. Durante el verano de 2010, cuando el ataque Stuxnet estaba en pleno apogeo, Irán operaba
unas cuatro mil centrifugadoras, pero mantenía otras cinco mil en stock, listas para ser puestas en
servicio. Al parecer, Irán no tiene prisa por acumular una reserva suficiente de uranio poco
enriquecido que luego pueda convertirse en uranio altamente enriquecido apto para la fabricación de
armas, sino que prefiere una estrategia a largo plazo. Una destrucción puntual de su equipo operativo
no habría puesto en peligro esa estrategia, del mismo modo que la catastrófica destrucción de 4.000
centrifugadoras por un terremoto en 1981 no detuvo a Pakistán en su camino hacia la obtención de la
bomba.
Figura 12: Inventario de centrifugadoras en Natanz entre 2008 y 2010. Irán mantuvo constantemente una
reserva de al menos el 50% de centrifugadoras de repuesto, lo que invalida la idea de que una destrucción
catastrófica simultánea de todas las centrifugadoras operativas habría significado el fin del mundo para sus
ambiciones nucleares
Aunque el resultado para Irán fue aproximadamente el mismo que el de una táctica de fuerza bruta, el
enfoque de bajo rendimiento ofreció un valor añadido. Volvió locos a los ingenieros iraníes en el
proceso, hasta el punto de que es posible que al final acaben totalmente frustrados por su capacidad
para poner en funcionamiento un diseño de planta robado de los años setenta, y para obtener valor
de su exagerado sistema de protección digital. Al comparar los programas de enriquecimiento de
uranio pakistaní e iraní, no se puede dejar de observar una gran diferencia de rendimiento.
Básicamente, Pakistán consiguió pasar de cero a una producción satisfactoria de uranio poco
enriquecido en sólo dos años, en tiempos de una economía tambaleante y sin lo último en tecnología
de control digital. El mismo esfuerzo le llevó a Irán más de diez años, a pesar del impulso de la red
Khan y del abundante dinero procedente de las ventas de crudo. Si los ingenieros iraníes no parecían
incompetentes antes, sin duda lo fueron durante la Operación Juegos Olímpicos (el supuesto nombre
en clave operativo de Stuxnet).
El mundo es más grande que Natanz

El hecho de que las dos versiones principales de Stuxnet analizadas en este documento difieran tan
drásticamente sugiere que, durante la operación, algo grande estaba ocurriendo entre bastidores. La
Operación Juegos Olímpicos implicó obviamente mucho más que el desarrollo y despliegue de un
malware, por sofisticado que éste fuera. Fue una campaña más que un ataque, y parece que las
prioridades de esa campaña cambiaron significativamente durante su ejecución.
Cuando analizamos ambos ataques en 2010, primero supusimos que se ejecutaban
simultáneamente, quizá con la idea de desactivar el Sistema de Protección en Cascada durante el
ataque a la velocidad del rotor. Eso resultó ser erróneo; no se puede encontrar en el código ninguna
coordinación entre los dos ataques. Entonces, asumimos que el ataque contra el Sistema de
Accionamiento de la Centrifugadora fue el predecesor simple y básico tras el cual se lanzó el grande,
el ataque contra el Sistema de Protección en Cascada. El ataque contra el Sistema de Protección en
Cascada es una muestra de ciberpoder absoluto. Parecía lógico suponer una evolución de lo simple a

centrifugadora
lo complejo. Varios años después, resultó lo contrario. ¿Por qué iban los atacantes a volver a lo
básico?
Las drásticas diferencias entre ambas versiones apuntan a un cambio de prioridades que muy
probablemente habrá ido acompañado de un cambio en las partes interesadas. El análisis técnico
muestra que el riesgo de ser descubiertos ya no era la principal preocupación de los atacantes
cuando empezaron a experimentar con nuevas formas de fastidiar

centrifugadora
operaciones en Natanz. El cambio de atención puede
haber sido impulsado por una simple idea: Los
proliferadores nucleares van y vienen, pero la
ciberguerra está aquí para quedarse.
La Operación Juegos Olímpicos comenzó como un
experimento de resultado imprevisible. Por el camino,
un resultado quedó claro: las armas digitales
funcionan. Y a diferencia de sus homólogas
analógicas, no ponen a las fuerzas en peligro,
producen menos daños colaterales, pueden
desplegarse sigilosamente y son baratísimas. El
contenido de la Caja de Pandora tuvo implicaciones
mucho más allá de Irán; hizo que la guerra analógica
pareciera de baja tecnología, brutal y tan del siglo XX.
También es posible que alguno de los atacantes se
diera cuenta de que descubrirlo tendría sus ventajas.
Figura 13: Salidas a la luz sobre el modus
Descubrir Stuxnet fue el fin de la operandi y la intención de Stuxnet: Reportaje de
operación, pero no necesariamente el fin de su David Sanger en el New York Times el 1 de junio
de 2012.
utilidad. Demostraría al mundo lo que pueden hacer
las armas cibernéticas en manos de una
superpotencia. A diferencia del hardware militar,
no se pueden exhibir memorias USB en un desfile militar. A los atacantes también les puede haber
preocupado que otra nación, en el peor de los casos un adversario, sea la primera en demostrar su
destreza en el dominio digital, un escenario nada menos que otro momento Sputnik en la historia de
Estados Unidos. Todas buenas razones para no temer demasiado la detección.
Se desconoce si este giro de los acontecimientos fue intencionado. Como ocurre con tantas
empresas humanas, puede que simplemente fuera un efecto secundario involuntario que resultó
crítico. Cambió la estrategia militar mundial en el siglo 21st .
Aftermath
Cualesquiera que fueran los resultados concretos de Stuxnet en la Zona Cero, aparentemente no
fueron vistos como un fracaso decepcionante por sus creadores. De lo contrario, sería difícil
explicar el hecho de que el reportero del New York Times David Sanger fuera capaz de encontrar
entre cinco y diez altos funcionarios del gobierno que estaban ansiosos por jactarse de la operación
de alto secreto y destacar su astucia. Parecía demasiado ansioso por atribuirse el mérito,
contradiciendo la idea de una misión que salió mal.
El impacto positivo se vio en otros lugares. Mucho antes de que saliera a la luz, pero después de que
se pusiera en marcha la Operación Juegos Olímpicos, el gobierno estadounidense empezó a invertir
a lo grande en ciberguerra ofensiva y en la formación del Mando Cibernético de Estados Unidos. Lo
cierto es que las posibles consecuencias de Stuxnet se notan menos en los esfuerzos de
enriquecimiento de uranio de Irán que en la estrategia militar. Stuxnet no será recordado como un
golpe significativo contra el programa nuclear iraní. Se recordará como el acto inaugural de la
ciberguerra, especialmente cuando se considera en el contexto del malware Duqu y Flame, que
queda fuera del ámbito de este artículo. Las actividades ofensivas de guerra cibernética se han
convertido en una prioridad mayor para el gobierno de EE.UU. que hacer frente al programa nuclear
de Irán, y tal vez por una buena razón. Los efectos más significativos causados por Stuxnet no
pueden verse en Natanz, sino en Washington DC, Arlington y Fort Meade.
Sólo el futuro podrá decir cómo afectarán las armas cibernéticas a los conflictos internacionales, y
puede que incluso a la delincuencia y el terrorismo. Ese futuro está lastrado por una ironía: Stuxnet
empezó como contraproliferación nuclear y acabó abriendo la puerta a una proliferación mucho
centrifugadora
más difícil de controlar: La proliferación de la tecnología de las ciberarmas.

centrifugadora
B. Conceptos erróneos sobre el funcionamiento y el impacto de Stuxnet
¿Se "escapó" Stuxnet de Natanz por un error de programación?

Cuenta la leyenda que en el verano de 2010, Stuxnet "escapó" de Natanz debido a un error de
software que venía con una actualización de versión, y que los aproximadamente 100.000 sistemas
informáticos infectados por Stuxnet en todo el mundo se infectaron porque el malware ahora se
autopropagaba a través de Internet de forma muy parecida a un gusano convencional. Según la
historia, el Paciente Cero era un ordenador portátil que un ingeniero de sistemas de control de Natanz
conectó a un controlador infectado, el portátil se infectó y liberó el malware cuando más tarde se
conectó a Internet.
Aunque es una buena historia, no puede ser cierta. Un controlador infectado sólo contiene la carga
útil de Stuxnet y ningún componente "dropper", por lo que el supuesto salto del controlador al
ordenador es técnicamente imposible.
Todas las rutinas de propagación del gotero de Stuxnet (introducido con el ataque a la velocidad del
rotor) están cuidadosamente elaboradas, siendo el problema a resolver aparentemente la pérdida
de contacto físico con un soporte de confianza. Pero la propagación sólo puede producirse entre
ordenadores conectados a la misma red lógica o que intercambien archivos a través de memorias
USB. Las rutinas de propagación nunca intentan extenderse a objetivos aleatorios, por ejemplo
generando direcciones IP aleatorias. Todo ocurre dentro de los límites de una red de confianza. Sin
embargo, hoy en día ese entorno de confianza ya no es necesariamente local. Los contratistas que
trabajan en Natanz también trabajan para otros clientes, y habrán llevado sus ordenadores portátiles
infectados con Stuxnet a esos clientes y los habrán conectado a sus redes "locales" (quizás incluso
con escuchas aéreas). El Paciente Uno, digamos una cementera, tendrá otros contratistas además
del que emplea al Paciente Cero, que también conectarán sus ordenadores portátiles a la red "local"
ahora infectada. Éstos llevarán el malware más lejos. En algún eslabón de la cadena, los
contratistas infectados y/o los propietarios de los activos utilizarán el acceso remoto a través de
VPN, permitiendo que el virus viaje por continentes. De repente, Stuxnet se abrió camino por todo el
mundo, pero no gracias a Internet, sino porque las conexiones de red de confianza pasan por un
túnel a través de Internet hoy en día, lo que se extiende al acceso a carpetas compartidas, por muy
desaconsejable que sea desde el punto de vista de la seguridad.
Dado que Stuxnet comunicaba las direcciones IP y los nombres de host de los sistemas infectados
a sus servidores de mando y control, junto con datos básicos de configuración, parece que los
atacantes preveían claramente (y aceptaban) una propagación a sistemas no combatientes, y
estaban muy dispuestos a vigilarla de cerca, lo que con el tiempo también proporcionaría
información sobre los contratistas que trabajaban en Natanz, sobre sus otros clientes, y tal vez
incluso sobre instalaciones nucleares clandestinas en Irán.
¿Tenían los atacantes capacidad para detener la campaña?

Las especulaciones sobre las consideraciones de los atacantes para detener la campaña sólo
para ser anulados por una decisión presidencial de seguir adelante pasan por alto un punto
crítico: Los atacantes simplemente carecían de la capacidad técnica para suspender el ataque.
Para los sistemas de ingeniería infectados (los ordenadores que se utilizan para configurar los
controladores industriales), con o sin capacidad para conectarse a los servidores CC, no hay
ninguna lógica implementada en el malware que pudiera desactivar activamente el código malicioso
en los controladores infectados. Esto sólo podría haberse conseguido forzando una reconfiguración
exhaustiva de los controladores sólo con código legítimo, pero eso estaba fuera del alcance de los
atacantes, a no ser que hicieran una llamada amistosa a Natanz o Teherán, diciendo a los
ingenieros de sistemas de control que hicieran precisamente eso. Lo único que habría hecho falta

centrifugadora
es asegurarse de que los ordenadores utilizados para la reconfiguración estuvieran limpios, lo que ni
siquiera requería un sofisticado software antivirus, sino que podía hacerse simplemente
comprobando la presencia de un archivo malicioso (s7otbxsx.dll) mediante una simple búsqueda de
nombres de archivo, utilizando nada más que herramientas de software (Explorer) disponibles como
parte del sistema operativo.

centrifugadora
Lo que los atacantes podrían haber intentado, si hubieran querido, era dejar de inyectar nuevas
rutinas de ataque. Pero todo el control en línea se perdió de todos modos en agosto de 2010, cuando
el proveedor nacional de telecomunicaciones de Irán bloqueó las comunicaciones por Internet a los
servidores de mando y control que habían utilizado los atacantes para supervisar y modificar la
campaña. A partir de esa fecha, Stuxnet funcionó por su cuenta, de forma autónoma. Pero para eso
fue diseñado en un principio.
¿Puede utilizarse Stuxnet como modelo para ataques de imitación?

Aunque las tácticas y los exploits utilizados por Stuxnet a nivel de sistemas de control son tan
descabellados que se podría especular si sus creadores estaban drogados, un análisis sobrio
revela un sólido enfoque sistemático detrás de la implementación.
Una metodología para la ingeniería de ataques ciberfísicos

El ingeniero especializado en ciberataques post-Stuxnet examina la planta y sus sistemas de control
de forma holística, tratando de identificar vulnerabilidades físicas y formas de explotar de forma fiable
dichas vulnerabilidades mediante cibermanipulaciones. A menudo, las vulnerabilidades físicas son
típicas de un proceso de producción y de la configuración de una planta. En el caso de Natanz, la
vulnerabilidad física que espera ser explotada es la fragilidad de los rotores de las centrifugadoras.
Esto se sabe desde hace mucho tiempo y no requirió mucha investigación por parte de los creadores
de Stuxnet. Para averiguar las vulnerabilidades físicas de otros objetivos, primero habría que
examinar los análisis HAZOP y otros análisis de seguridad similares, así como la presencia de
sistemas de protección y seguridad. A diferencia de los controladores de producción, un sistema de
protección (aunque a menudo se ejecuta en un hardware idéntico) no es necesario para mantener el
proceso en marcha. Se utiliza para evitar que las configuraciones del proceso dañen los equipos o
algo peor. Cuando tales daños pueden incluir daños a las personas o al entorno de la planta, los
sistemas de protección suelen denominarse sistemas de seguridad que a menudo son exigidos por
la normativa, ya sea por la OSHA, la NRC u otros reguladores. Los sistemas de seguridad presentan
una fiabilidad adicional al proporcionar medios ampliados para garantizar la integridad y
disponibilidad del código (como redundancia y tolerancia a fallos). Sin embargo, todas estas
características nunca se diseñaron para resistir un ciberataque.
Para Natanz, la forma de explotar la vulnerabilidad física consiste en sobrepresurizar las
centrifugadoras o manipular la velocidad de los rotores, lo que provoca daños previsibles. Dado que la
presión de funcionamiento de las centrifugadoras en Natanz está controlada por el Sistema de
Protección en Cascada y la velocidad del rotor por el Sistema de Accionamiento de Centrifugadoras,
estos dos sistemas se convirtieron en los principales candidatos para ser comprometidos. Sólo
entonces comenzó la parte cibernética del trabajo de los ingenieros de ataque. Si son capaces de
determinar manipulaciones cibernéticas que exploten de forma fiable una vulnerabilidad física, habrán
llegado a lo que yo llamo una vulnerabilidad a nivel de planta, para la que Stuxnet constituye el
ejemplo perfecto. Para llegar a este punto es necesario examinar los sistemas cibernéticos y físicos
en el contexto de la planta y sus procesos físicos; un enfoque que espera ser adoptado en la
ciberdefensa.
Ignorar los días cero en los sistemas de control industrial

La ingeniería de ataques consiste en hacerse con el control de forma fiable para explotar
vulnerabilidades físicas. La forma de conseguirlo es completamente distinta a la de la TI. En el
ámbito de los sistemas de control, Stuxnet no explotó ninguna vulnerabilidad de día cero,
desbordamientos de búfer u otras cosas raras, sino características legítimas del producto. En el
ámbito de los sistemas de control industrial, las peores vulnerabilidades no son los errores, sino las
características. No es necesario ni útil buscar desbordamientos de búfer; sí lo es conocer a fondo
los productos y su arquitectura. Desde el punto de vista del atacante, explotar defectos en lugar de
bugs tiene una ventaja significativa: No se solucionarán de la noche a la mañana porque un
centrifugadora
proveedor publique un "parche" y los usuarios lo apliquen rápidamente. En lugar de eso, el atacante
puede estar seguro de que esas vulnerabilidades permanecerán durante años, incluso después de
que los exploits exitosos salgan a la luz.
Para ser más específicos, Stuxnet enseña a los ciberatacantes potenciales cómo inyectar código
malicioso en los controladores en tiempo real, lo que puede hacerse de la misma manera
secuestrando una DLL de controlador o, de forma más directa, hablando directamente con los
controladores en red sin necesidad de comprometer la estación de trabajo de un ingeniero.
Enseña cómo tomar el control de un programa legítimo que permanece ejecutándose en un

centrifugadora
colocando código malicioso al principio del ejecutivo principal. Enseña cómo deshabilitar código de
control legítimo llamando a una simple directiva de salto. Enseña cómo las funciones de la biblioteca
del controlador pueden ser secuestradas y modificadas. Enseña cómo proporcionar código de control
legítimo, y también cualquier aplicación SCADA, con datos de sensor falsos modificando la imagen
del proceso de entrada con una simple operación de escritura en memoria. Enseña cómo
interactuar directamente con el equipo de campo conectado a través de PROFIBUS. Enseña
cómo deshabilitar la monitorización del tiempo de ciclo del controlador escribiendo una simple
directiva BLOCK END en el manejador de interrupción respectivo. Enseña cómo comprometer
sub-controladores mediante la re-configuración, y cómo vendar los ojos a los sensores mediante la
des-calibración. Se trata de una gran cantidad de conocimientos, puestos en la calle por los
atacantes, esperando a ser copiados y, en última instancia, convertidos en herramientas de malware,
haciéndolos disponibles mediante apuntar y hacer clic.
Infiltración indirecta a través de objetivos blandos

A nivel operativo, Stuxnet puso de relieve la vía real de infiltración en objetivos duros. En lugar de
intentar infiltrarse directamente atravesando quince cortafuegos, tres diodos de datos y un sistema de
detección de intrusos, los atacantes jugaron indirectamente infectando objetivos blandos con acceso
legítimo a la Zona Cero: los contratistas. Cualquiera que fuera la postura de ciberseguridad de los
contratistas, desde luego no estaba a la altura de la instalación de enriquecimiento de combustible de
Natanz. Introducir el malware en sus dispositivos móviles y memorias USB fue suficiente, ya que
tarde o temprano los llevarían físicamente a las instalaciones y los conectarían a los sistemas más
críticos de la planta de enriquecimiento de combustible, sin la intervención de ningún guardia.
Cualquier atacante de seguimiento explorará este método de infiltración cuando piense en atacar
objetivos difíciles. La sobria realidad es que, a escala mundial, prácticamente todas las instalaciones
industriales o militares que utilizan sistemas de control industrial a cierta escala dependen de su red
de contratistas, muchos de los cuales son muy buenos en tareas de ingeniería estrechamente
definidas, pero pésimos en ciberseguridad. Mientras que la seguridad de los sistemas de control
industrial ha debatido sobre la amenaza interna durante muchos años, las personas internas que,
sin saberlo, ayudan a desplegar un arma cibernética habían estado completamente fuera del radar.
Obviamente, desempeñan un papel mucho más importante que el muy pequeño subconjunto de
personas con acceso a información privilegiada que teóricamente pueden desarrollar intenciones
maliciosas.
¿Son necesarios los recursos de un Estado-nación para llevar a cabo

ataques similares contra Estados Unidos o sus aliados?
A menudo se ha afirmado que ataques similares contra objetivos estadounidenses (u otros objetivos
amigos) requerirían recursos del Estado-nación. Desde un punto de vista técnico, esto no es cierto.
El desarrollo de Stuxnet sí requirió recursos del Estado-nación, especialmente para la recopilación de
información, la infiltración y, sobre todo, para las pruebas.
El análisis técnico presentado en este documento indica claramente que a) el arma cibernética era
demasiado compleja como para justificar cualquier esperanza de operación exitosa sin pruebas
exhaustivas, y b) que tales pruebas debían haber implicado una cascada IR-1 de imitación
totalmente funcional que operara con hexafluoruro de uranio real, porque tanto la sobrepresión
como las manipulaciones de la velocidad del rotor tienen efectos completamente diferentes si se
ejecutan en centrifugadoras vacías. Obviamente, un banco de pruebas de enriquecimiento de uranio
totalmente funcional que reproduzca una planta de alto secreto está fuera del alcance del crimen
organizado y los terroristas. Pero hay más escenarios de imitación que la idea (bastante tonta) de
que los adversarios podrían afectar al funcionamiento de una instalación de enriquecimiento de
uranio en Estados Unidos y disfrazar dicho ataque como un fallo aleatorio de los equipos.
Sofisticación comercial y fiabilidad a escala

centrifugadora
No es razonable esperar un ciberataque sofisticado contra un objetivo estadounidense similar de alto
valor, al menos no en tiempos de paz. Eso no significa que estemos a salvo. La tecnología de ataque
puede y debe separarse de los escenarios de ataque con sus objetivos y limitaciones específicos.
Asumiendo que los adversarios tratarán de maximizar la relación coste/beneficio, lo más probable es
que se centren en objetivos mucho más fáciles de atacar utilizando las lecciones aprendidas de
Stuxnet: objetivos abundantes y accesibles y mucho más fáciles de atacar, como las instalaciones de
infraestructuras críticas. Las infraestructuras críticas civiles no sólo son un objetivo más prometedor
para los adversarios por su mayor accesibilidad, sino también por

centrifugadora
estandarización. Ni siquiera A. Q. Khan vendió plantas de enriquecimiento de uranio llave en mano
que se utilizan en cientos de lugares de distintos países. En el caso de centrales eléctricas,
subestaciones eléctricas, plantas químicas y similares, la cosa cambia. Todas las plantas modernas
funcionan con arquitecturas de sistemas de control industrial estándar y productos de apenas un
puñado de proveedores por industria, que utilizan configuraciones similares o incluso idénticas. Esto
tiene implicaciones que son mucho más importantes que la creciente conectividad de red que a
menudo se identifica como el mayor problema de seguridad ICS.
En primer lugar, la recopilación de información no es especialmente difícil. Un buen ingeniero de
sistemas de control que conozca a fondo la arquitectura y la funcionalidad del sistema de control X
para la central eléctrica A podrá utilizar la mayor parte de sus conocimientos en la central eléctrica B
o C siempre que utilicen el mismo producto y la misma versión, como se puede deducir fácilmente
con sólo mirar los anuncios de contratación. Saber que los ingenieros de sistemas de control se
enfrentan a salarios comparativamente bajos y a un trabajo por turnos poco agradable los convierte
en una fuente de competencias pertinentes que pueden drenarse fácilmente; un enfoque mucho
más prometedor que formar a hackers en sistemas de control industrial y operaciones de planta.
En segundo lugar, una vez identificadas e implementadas esas tácticas de ataque, pueden utilizarse
no sólo para golpear un objetivo específico, sino múltiples objetivos. Un ataque simultáneo de bajo
perfil contra múltiples objetivos puede tener tanto efecto como un ataque mucho más costoso y
sofisticado contra un objetivo singular de alto valor. La sofisticación y la fiabilidad de los ataques
pueden cambiarse por la escalabilidad. A cualquier atacante potencial le sale más rentable si el
código de explotación no se utiliza exclusivamente contra un objetivo específico (como una
subestación eléctrica o una planta de agua), sino contra múltiples objetivos de la misma clase,
logrando así una capacidad destructiva emergente. Por ejemplo, un ciberataque contra una central
eléctrica (o subestación eléctrica) es prácticamente inútil, ya que tiene un impacto mínimo o nulo en la
fiabilidad de la red. Sin embargo, un ataque simultáneo contra varias centrales puede provocar un
fallo en cascada de la red. Los adversarios más allá del nivel de script kiddie ya se habrán dado
cuenta de ello.
Uno de los retos más difíciles es el hecho de que el código de los exploits puede empaquetarse en
herramientas de software. El genio sólo es necesario para identificar las vulnerabilidades y diseñar
los exploits. Cualquier tienda de software, ya sea gubernamental, privada o clandestina, no
implementaría estos exploits como un código espagueti personalizado y cuidadosamente ajustado a
una única pieza de malware, sino que utilizaría un enfoque modular orientado a objetos. A un cierto
nivel de madurez del software, estos componentes de exploits pueden estar disponibles en
aplicaciones de software fáciles de usar, como ocurre ahora con el desarrollo de malware de
repetición. El conjunto de habilidades de quienes ensamblan y despliegan una muestra específica de
código de ataque ciberfísico se reducirá entonces drásticamente.
El coste de las restricciones autoimpuestas

Otros factores que hicieron especialmente costoso el desarrollo de Stuxnet y que no deberían
esperarse en ataques de imitación fueron las limitaciones autoimpuestas por los atacantes. Los
desarrolladores de Stuxnet decidieron que los daños debían disfrazarse de problemas de fiabilidad.
Estimo que más del 50% del coste de desarrollo de Stuxnet se destinó a ocultar el ataque. Los
atacantes inspirados en Stuxnet no pondrán necesariamente el mismo énfasis en el disimulo; es
posible que quieran que la víctima sepa que está siendo objeto de un ciberataque, e incluso que se
atribuyan públicamente el mérito. Sin duda, este tipo de pensamiento no se limitaría al uso de
ciberarmas de bajo rendimiento. Parece exagerado suponer que los adversarios estarían tan
preocupados por los daños colaterales como las fuerzas cibernéticas estadounidenses, o que
llegarían tan lejos como para involucrar a abogados en su equipo para que les aconsejen cómo no
violar el derecho internacional. En el ámbito de los sistemas de control industrial, un ataque abierto ni
siquiera impide que se produzcan ataques posteriores, ya que los intentos de proteger los objetivos y
objetivos potenciales similares pueden durar más de un año, lo que permite a los atacantes volver a
centrifugadora
atacar, tal vez con exploits perfeccionados.
Para calcular los recursos necesarios para llevar a cabo ataques ciberfísicos de envergadura
inspirados en Stuxnet, en primer lugar hay que tener claros los escenarios creíbles. Los
escenarios creíbles implican ciberataques simultáneos o escalonados contra objetivos en
infraestructuras críticas y fabricación. Estos objetivos pueden ser alcanzados por un ataque
imitador inspirado en Stuxnet sin necesidad de las capacidades de un Estado-nación. La
pregunta es por qué

centrifugadora
Que los adversarios de Estados Unidos no intentaran conseguirlo ya es tan difícil de responder como
por qué no vimos a terroristas estrellar aviones de pasajeros contra edificios antes del 11-S.
Sencillamente, no lo sabemos. Lo que sí sabemos es que las capacidades de los ciberatacantes
potenciales van en aumento y, al mismo tiempo, las vulnerabilidades de los objetivos potenciales de
los ataques ciberfísicos aumentan debido a la prisa por una mayor conectividad y comodidad. No es
un desarrollo prometedor.
¿Pueden los controles técnicos de seguridad bloquear ataques similares a Stuxnet?

Los lectores familiarizados con la ciberseguridad y asociados de algún modo a los sistemas de
control industrial se habrán topado con una plétora de soluciones de ciberseguridad que
supuestamente protegen las infraestructuras críticas contra ataques similares a Stuxnet. De hecho,
cada vez es más difícil encontrar soluciones que no pretendan hacerlo. Sin embargo, la mayor parte
de lo que se anuncia es vapor de mercadotecnia sin fundamento.
El software antivirus no ayuda contra un ataque similar a Stuxnet por una sencilla razón. Se basa en
identificar y bloquear el malware conocido que figura en la base de datos de firmas de la solución
antivirus. Desgraciadamente, no habrá ninguna firma para el malware creado a medida que no
muestre ningún comportamiento extraño en los sistemas informáticos normales. A modo de ejemplo,
la primera variante de Stuxnet se restregó por la cara de la industria antivirus en 2007, pero se
identificó como malware no antes de seis años después, utilizando los conocimientos adquiridos al
analizar variantes posteriores. El malware diseñado como esta primera versión es prácticamente
indistinguible de un paquete de software de aplicación legítimo y, por tanto, vuela por debajo del radar
de la tecnología antivirus. Incluso la siguiente versión con el ataque a la velocidad del rotor, cargada
de exploits de día cero, viajó al menos un año en estado salvaje hasta que fue descubierta por la
industria antivirus.
La segregación de la red mediante cortafuegos, diodos de datos, entrehierros y similares es algo
bueno per se, pero no suficiente para resolver el problema. Con respecto a la recomendación de los
air gaps como remedio, uno no puede sino quedarse atónito ante tal ignorancia de una de las
lecciones más básicas aprendidas de Stuxnet. De hecho, Stuxnet demostró cómo pueden saltarse
los air gaps de objetivos de alto valor, concretamente comprometiendo los ordenadores móviles de
contratistas que disfrutan de acceso físico legítimo al entorno del objetivo. Dado que dicho acceso
suele lograrse localmente bajando hasta el armario del sistema de control correspondiente, o se
beneficia de la autorización adecuada si se realiza a través de redes, filtrar y bloquear el tráfico de
red es insuficiente para proteger los objetivos de alto valor.
Lo mismo cabe decir de los sistemas de detección y prevención de intrusiones. Desde un punto de
vista técnico, la intrigante idea de detectar sofisticados ataques ciberfísicos en el tráfico de red carece
por completo de validez. En este sentido, la pretensión del Departamento de Defensa estadounidense
de defender la nación a la velocidad de la red no se extiende, desde luego, a los ataques ciberfísicos.
Defenderse contra ellos no puede hacerse en milisegundos, sino que requiere años de cambios
organizativos y arquitectónicos en los posibles entornos objetivo.
La aplicación de parches de seguridad tampoco sirve necesariamente, al menos cuando se trata de
sistemas de control industrial. Mientras que el proveedor del sistema operativo se apresuró a
proporcionar parches de seguridad para las vulnerabilidades de día cero explotadas en el nivel del
sistema operativo, no cabe esperar la misma estrategia en el nivel de la aplicación ICS. Por ejemplo,
el proveedor del software de ingeniería de ICS negó inicialmente la existencia de vulnerabilidades en
su software. Dos años más tarde, se presentó un informe de vulnerabilidad (CVE-2012-3015) y se
proporcionó un parche para una de las vulnerabilidades que había explotado el dropper de Stuxnet, a
saber, la capacidad de ejecutar código arbitrario con privilegios de administrador aprovechando una
funcionalidad de configuración legítima del paquete de software. Dos años puede ser un poco tarde
para exploits que no sólo afectan a objetivos singulares en países hostiles, sino a miles de objetivos
en casa. Para otras vulnerabilidades explotadas por Stuxnet, como la falsificación de los valores de
centrifugadora
los sensores sobrescribiendo la imagen del proceso de entrada, o el secuestro de una DLL de
controlador para inyectar código malicioso en los controladores, todavía no hay "parche" disponible.
En el ámbito de los sistemas de control industrial, una cultura de identificación y corrección de las
vulnerabilidades de seguridad, independientemente de que se trate de errores de programación,
fallos de diseño o simples características legítimas del programa introducidas por comodidad, espera
a ser adoptada como mejor práctica.

centrifugadora
Una vez que Stuxnet puso de manifiesto el riesgo de ataques ciberfísicos contra infraestructuras
críticas, comenzó la búsqueda de "balas de plata" mágicas. Aparentemente, la forma más elegante es
resolver el problema sin cambiar mucho más que aplicando soluciones técnicas puntuales. Como se
ha señalado en este documento, puede demostrarse que tales soluciones no sirven de mucho, salvo
para quienes las venden. Stuxnet ha planteado a la ciberdefensa una tarea que no se puede dominar
simplemente confiando en la sabiduría convencional de la infoseguridad.
¿Es suficiente una "defensa activa" contra los ataques ciberfísicos?

Hasta ahora, el enfoque defensivo de las naciones occidentales contra los sofisticados ataques
ciberfísicos tras Stuxnet se ha basado en dos supuestos. En primer lugar, que tales ataques
requerirían recursos del Estado-nación; un claro error de concepto como se ha señalado
anteriormente. En segundo lugar, las especulaciones sobre las motivaciones de los adversarios, y
sobre cómo pueden anticiparse o incluso controlarse dichas motivaciones, se interpretaron en el
sentido de que no es necesaria una defensa pasiva sustancial.
En la tradición del pensamiento basado en el riesgo, que tiene en cuenta la inteligencia sobre
amenazas, parecía válido preguntarse "quién nos atacaría con armas cibernéticas, y por qué", y si no
se encuentran buenas respuestas a esa pregunta, concluir que el riesgo de ataque debe ser muy
bajo. Para los que creen que todavía hay que abordarlo, la respuesta por defecto es intentar cambiar
la motivación de los adversarios mediante la disuasión.
Por desgracia, no puede demostrarse que dicha disuasión vaya a impresionar a los actores no estatales.
La minoría (incluido este autor) cree que basar la seguridad nacional en teorías sobre las
motivaciones de los adversarios e ilusiones sobre cómo controlarlos es una apuesta arriesgada.
Aboga por trabajar hacia una defensa pasiva eficaz "por si acaso", haciendo que los ataques
ciberfísicos sustanciales contra infraestructuras críticas sean, si no imposibles, mucho más difíciles, y
desde luego lo suficientemente difíciles como para ponerlos fuera del alcance de actores no
estatales. Se trata de un objetivo alcanzable de forma realista para quienes estén dispuestos a
aceptar el reto planteado por Stuxnet de empezar de nuevo y encontrar y aplicar soluciones
defensivas nuevas y creativas que hagan prácticamente inútiles las armas cibernéticas. Tales
soluciones entran en conflicto con los objetivos de los ciberguerreros no sólo en el extranjero sino
también en casa. Por lo tanto, hay que entender y abordar que estas soluciones no serán
bienvenidas automáticamente por nuestras propias fuerzas cibernéticas ofensivas. En la actualidad,
este conflicto de intereses no puede resolverse tecnológicamente, sino sólo políticamente. A menudo
se ha afirmado que la ciberofensiva tiene ventaja sobre la ciberdefensa. Aunque se puede discutir si
esto es cierto en términos técnicos en el ámbito de la seguridad de los sistemas de control industrial,
sin duda se aplica en un contexto político. La ciberofensiva está bien financiada y se aplica
directamente dentro de una cadena de mando militar. Al mismo tiempo, se espera que la
ciberdefensa de la infraestructura nacional crítica sea implementada voluntariamente por un sector
privado disperso que siente poco deseo de abordar cuestiones de seguridad nacional mediante
ejercicios de gestión de riesgos mal coordinados que afectan negativamente a la cuenta de
resultados.

centrifugadora
C. Natanz por dentro: visita guiada a los sistemas,
la instrumentación y el control de la planta
Cuando comenzamos nuestra investigación sobre Stuxnet tenía la impresión de que los detalles del
diseño de las plantas de enriquecimiento de combustible de Natanz eran alto secreto y, por tanto,
estaban fuera de nuestro alcance. Entretanto descubrimos que, muy al contrario, Irán parece estar
deseoso de publicar imágenes detalladas al descubierto, lo que permite a los analistas llegar a una
comprensión bastante buena de los detalles de la planta y, por tanto, a una mejor comprensión del
propósito de Stuxnet. También me di cuenta de que, si bien hay mucha literatura científica disponible
sobre las centrifugadoras, hay poca o ninguna sobre la instrumentación y el control. Nuestros
hallazgos se documentan aquí en profundidad con el fin de colmar esta laguna en la literatura de
investigación.
La mayoría de las imágenes que aquí se presentan proceden del análisis fotograma a fotograma de
imágenes de la planta que se emitieron en la televisión iraní y que de algún modo llegaron a Internet.
Otras, como la imagen superior, proceden de la visita oficial del presidente Ahmadineyad a la planta
de enriquecimiento de combustible de Natanz en 2008. Como puede reconocerse observando las
tuberías, las marcas del suelo y la caseta vacía de la cascada a la derecha, el presidente se
encuentra justo en la columna centrífuga número cuatro de la fase de enriquecimiento cuatro, cerca
del extremo del producto.
Software SCADA
Se puede obtener una gran cantidad de información analizando las pantallas SCADA que Irán parece
mostrar con orgullo en la televisión nacional. En la pantalla se muestran detalles esenciales de la
disposición de la planta. Una pantalla SCADA suele organizarse para imitar la disposición física y/o
funcional de la planta, como las tuberías y la ubicación de los componentes importantes del sistema.
Los ingenieros lo denominan diagrama de tuberías e instrumentación (P&ID). Hasta ahora, este
recurso no se había aprovechado en la literatura de investigación, quizá porque el grueso de las
investigaciones hasta ahora había sido realizado por científicos nucleares y no por ingenieros de

centrifugadora
sistemas de control.

centrifugadora
Sala de control
La sala de control de la Planta Piloto de Enriquecimiento de Combustible (PFEP) en febrero de 2012,

con los operadores sentados frente a las pantallas SCADA. Las dos pantallas resaltadas en rojo
ejecutan la aplicación de monitorización del Sistema de Protección en Cascada que se analiza en
profundidad en este documento.
La imagen de arriba muestra otra vista de la sala de control de la PFEP, con Ali Akbar Salehi,
licenciado por el MIT y entonces presidente de la Organización Iraní de la Energía Atómica, al
teclado, poniendo en marcha una cascada recién encargada. (Salehi se convirtió más tarde en
vizepresidente y ministro de Asuntos Exteriores de Irán.) En el vídeo, la escena va acompañada de
música heroica y exclamaciones de Allahu akbar por parte de los participantes. La imagen fue
tomada en febrero de 2010, cuando el ataque Stuxnet estaba en pleno apogeo. Las notas de las
marcas adhesivas rosas de las pantallas de vídeo son ilegibles; en las instalaciones occidentales,
dichas marcas identificarían con toda probabilidad las credenciales de inicio de sesión.

centrifugadora
La aplicación de supervisión del Sistema de Protección en Cascada
La pantalla de monitorización del sistema de protección en cascada, mostrada arriba, muestra las
tuberías básicas, las válvulas y los sensores de presión de las cascadas. Las tuberías rojas (zona
superior de la pantalla) representan el cabezal de alimentación. Las tuberías azules (zona inferior
izquierda de la pantalla) indican la salida del producto, las tuberías blancas (zona inferior derecha de
la pantalla) indican la salida de las colas y las tuberías verdes (zona superior de la pantalla, que se
extiende hacia abajo a izquierda y derecha en los bordes de la pantalla) indican el sistema de
normalización de presión y descarga.
Las lecturas en milibares en los cuadros rectangulares negros (con "mbar" en rojo) identifican la
presión absoluta en la etapa de enriquecimiento respectiva. Las lecturas en milibares de los
recuadros blancos representan la presión diferencial y probablemente identificarán el delta entre la
presión real y el valor de consigna. Un operario observaría esta última para detectar tendencias
potencialmente dañinas, que podrían identificarse mediante lecturas positivas altas continuas. En el
software SCADA occidental actual, lo más probable es que esta información se muestre
gráficamente.
Las válvulas de aislamiento de las centrifugadoras no se muestran, pero su estado puede
determinarse en el área del monitor de centrifugadoras situada en la parte superior de la pantalla. El
área del monitor de centrifugado también permite identificar fácilmente la forma de la cascada.
Después de que descubriéramos y publicáramos ese hecho en 2011, resaltando los bordes de las
fases de enriquecimiento mediante líneas rojas verticales en una captura de pantalla, los ingenieros
iraníes debieron pensar que era una buena idea y lo incorporaron a su software. Las barras
verticales de las capturas de pantalla anteriores no las hemos insertado nosotros, sino que aparecen
en la grabación original, lo que sugiere que a Irán realmente no le importa mucho mantener
clasificadas sus formas de cascada.
centrifugadora
El siguiente esquema ofrece una orientación de la disposición de la aplicación.

centrifugadora
El software muestra el estado de una cascada en particular.
Patrimonio del software SCADA

En una instalación de importancia estratégica como Natanz cabría esperar encontrar un paquete de
software SCADA estándar de uno de los principales proveedores, por ejemplo el software WinCC de
Siemens. Sin embargo, es obvio que en la sala de control de Natanz no se utilizaba un producto
COTS estándar de este tipo, al menos no pudimos detectar ninguno. En las pantallas que hemos
analizado no se pudo identificar ningún logotipo de proveedor ni ningún otro indicio revelador que
pudiera apuntar a un producto SCADA popular.
El diseño de la pantalla y la funcionalidad del software SCADA parecen bastante chapuceros para los
estándares occidentales, y de vez en cuando aparecen toscos cuadros de diálogo en la aplicación de
monitorización CPS. En los programas SCADA modernos, este tipo de ventanas emergentes apenas
se utilizan porque obstruyen el resto de la información de la pantalla. Además, los símbolos y
etiquetas estándar de P&ID no se han utilizado de forma coherente, lo que sugiere que la aplicación
fue creada a medida por una empresa o personas poco familiarizadas con el diseño de software
SCADA contemporáneo.
¿Quién desarrolló el software SCADA para Natanz? Cabría suponer que se encargaron
desarrolladores nacionales de confianza. Sin embargo, el único elemento de texto en farsi que
pudimos identificar en las capturas de pantalla carece de importancia; aparece en la zona superior
izquierda del monitor del SCP justo al lado de una etiqueta en inglés que parece decir "CASCADE".
Debajo de esa etiqueta hay una zona de la pantalla con seis botones o indicadores que
aparentemente se utilizan para cambiar entre las diferentes cascadas que componen una unidad de
cascada (el CPS supervisa sólo una cascada a la vez). Las demás etiquetas están siempre en inglés.
Sorprendentemente, la fecha se muestra en formato estadounidense (MM/DD/AAAA). Esta captura
centrifugadora
de pantalla está tomada de un vídeo que se grabó el 9 de febrero de 2010. La información en el
cuadro de texto a la derecha de la pantalla muestra información detallada para el transductor de
presión 4110, el sensor de presión para la etapa de alimentación, con

centrifugadora
el texto completo en la ranura 5 probablemente diga "Feed Static
Pressure". Parece inverosímil que los ingenieros iraníes utilicen
deliberadamente el formato de fecha del "Gran Satán", a menos que
exista una razón de peso para hacerlo, como un equipo de desarrollo
muy familiarizado y acostumbrado a un entorno de desarrollo de
software con una configuración propia de Estados Unidos.
Diseño de plantas
Una unidad de cascada en Natanz se compone de 18 cascadas. Según nuestra información, las
subunidades de seis cascadas comparten una estación de alimentación, una estación de producto y
una estación de cola. La Planta Piloto de Enriquecimiento de Combustible (PFEP) de Natanz también
utiliza seis cascadas. En el diagrama siguiente, las tuberías rojas indican la alimentación, las azules
el producto y las amarillas las colas.
Forma de cascada
En la época del ataque Stuxnet (2007-2010), Irán utilizaba una disposición en cascada de 164
centrifugadoras de primera generación (IR-1). Las centrifugadoras están alineadas en cuatro líneas
para un total de 43 columnas. Para la forma de cascada elegida, este diseño tiene la ventaja de que
sólo es necesario dejar vacíos ocho puestos de cascada.
Tuberías
Las tuberías de una cascada son sorprendentemente sencillas. Se cortan tres tuberías principales
entre las etapas de enriquecimiento, cuyos extremos se sueldan entre sí o se blindan de acuerdo con
el siguiente diagrama. Este tipo de tuberías soldadas suele denominarse "configuración fija", ya que
la forma de la cascada no puede modificarse sin una intervención importante en las tuberías, que
con toda probabilidad sería detectada por los inspectores del OIEA con suficiente antelación. En
los recuadros grises de la parte inferior se indican los números de etapa.

centrifugadora
La siguiente imagen muestra las conexiones entre etapas de la Planta Piloto de Enriquecimiento de
Combustible. Al parecer, fue tomada delante de la etapa 7 o de la etapa 13, que son las únicas
etapas de la cascada que están equipadas con 12 centrifugadoras (3x4). Los tubos que se extienden
hacia la parte superior de la imagen conducen probablemente a las válvulas de escape y al tubo de
descarga colectiva.
Flujo de gas de proceso
En este diagrama, se utilizan símbolos de válvulas estándar de I&ID para las válvulas de escape de la
etapa. Los símbolos muestran todas las válvulas de escape abiertas, como sería el caso durante el
vaciado de contingencia de toda la cascada.
Sensores y válvulas
Instrumentación excesiva
Al comparar una cascada IR-1 con su predecesora definitiva, la cascada original diseñada e
implementada por Urenco, no se puede pasar por alto una diferencia sorprendente a primera vista.

centrifugadora
La imagen de arriba muestra una instalación original de Urenco. No se utilizan válvulas y la cascada
no está abarrotada de instrumentación y cableado. Urenco consiguió que funcionara básicamente el
mismo diseño sin mucha instrumentación ni control.
Las cosas son muy diferentes en Natanz. Basta con echar un vistazo a los enormes troncos de
cables de señal para darse cuenta de que esta planta está equipada con una gran cantidad de
instrumentación que sirve para un propósito principal: mantener la planta en funcionamiento a pesar
de los problemas de fiabilidad. Comparada con su herencia de Urenco, la sala de cascadas de
Natanz parece una unidad de cuidados intensivos con montones de equipos conectados a los
pacientes para mantenerlos con vida. Los sistemas de control se utilizan para compensar la falta de
fiabilidad mecánica más que para aumentar la eficacia o la calidad del producto.

centrifugadora
Válvulas de aislamiento de centrifugadoras y sensores de vibración
Los tres tubos conectores que conectan las centrifugadoras IR-1 individuales a los tubos de
alimentación de la etapa, producto y colas están equipados con válvulas de aislamiento, resaltadas
en naranja. La finalidad de las válvulas es aislar las centrifugadoras de una cascada que empiecen a
vibrar, como indican los sensores de vibración (resaltados en magenta). Cada válvula está conectada
a una red Profibus conectada a controladores Siemens S7-417.
Válvulas de escape
Cada etapa de enriquecimiento de una cascada está equipada con una válvula a través de la cual se
puede liberar la presión del proceso en un tubo colector compartido que alimenta el sistema de
descarga. Aunque existe cierta incertidumbre, suponemos que los objetos resaltados en rojo
muestran válvulas de escape. Su posición física en la parte superior de la cascada y su espaciado
coinciden con los esquemas de la planta en las pantallas SCADA.
El funcionamiento de las válvulas (apertura/cierre) se controla mediante un controlador de presión
individual con respecto a las lecturas del sensor de presión, como se explica a continuación.

centrifugadora
Esta captura de pantalla parcial muestra las válvulas de escape de etapa tal y como aparecen en las
pantallas del SCADA. Cada válvula está etiquetada con un identificador que empieza por "EP-", que
puede significar "electroneumática", los dos primeros dígitos identifican la cascada y los dos últimos
dígitos identifican la etapa de enriquecimiento. El icono gráfico utilizado no es estándar; la extensión
a la derecha de los símbolos puede significar una bomba neumática. La letra "M" debajo de cada
válvula parece indicar un funcionamiento manual (en lugar de automático), donde "manual" no
implica que un operario mueva físicamente una barandilla, sino que se trata de un operario que pulsa
manualmente el ratón en la sala de control. La captura de pantalla se tomó durante la puesta en
marcha de una cascada, que suele realizarse manualmente.
Válvulas de control
Las válvulas de control no funcionan de forma binaria (abierto/cerrado), sino que pueden abrir una
tubería hasta un grado determinado. Pueden encontrarse en las cabeceras de alimentación, producto
y colas, al menos en la configuración utilizada por Irán desde 2012.

centrifugadora
Evidentemente, las válvulas de control se accionan en función de los valores de los sensores de
presión absoluta de las cabeceras de alimentación, producto y colas, como indican los bucles de los
instrumentos resaltados en la siguiente imagen.
Sensores de presión absoluta
Varias imágenes muestran los sensores de presión utilizados en Natanz. En las pantallas SCADA
aparecen etiquetados con "PT-", que obviamente significa "Pressure Transducer" (transductor de
presión). Según nuestros servicios de inteligencia, Irán utiliza sensores MKS Baratron, quizá también
clones de MKS. A continuación se muestra un transductor MKS Baratron fotografiado por el
fabricante.

centrifugadora
Las imágenes de la planta sugieren que hay dos grupos diferentes de sensores de presión: Un grupo
que está conectado directamente a las centrifugadoras individuales, y otro grupo conectado a las
tuberías de la etapa. La siguiente imagen muestra los sensores de presión que parecen estar
conectados a las tuberías de la etapa.
Sensores de presión diferencial

centrifugadora
El único sensor de presión diferencial que hemos podido identificar se encuentra en el cabezal de
alimentación en esta captura de pantalla de 2012, donde aparece resaltado en rojo. Lo más probable
es que se utilice como caudalímetro.
Controladores industriales
Armarios para sistemas de control
Ubicación de los armarios del sistema de control en la Planta Piloto de Enriquecimiento de

Combustible (PFEP). Aunque no puede verse en la imagen, los controladores Siemens S7-417 y S7-
315 comprometidos en el ataque se encuentran casi con toda seguridad dentro de estos armarios, a
los que probablemente accedieron directamente los ingenieros de sistemas de control que infectaron
involuntariamente los controladores con Stuxnet.
Controladores Siemens S7-315 y S7-417

No vimos ningún controlador Siemens en las imágenes de la planta, probablemente por la sencilla
razón de que, según nuestros servicios de inteligencia, Irán mantiene en secreto los detalles de sus
controladores, incluso para los inspectores del OIEA. No obstante, del código de ataque se
desprende claramente que sólo fueron atacados los controladores S7-315 y S7-417, de los cuales el
más pequeño, el 315, controla el sistema de accionamiento de las centrifugadoras y el más grande, el
417, controla el sistema de protección en cascada. Lo más probable es que Irán utilice la versión
redundante 417H del controlador para garantizar un funcionamiento ininterrumpido en caso de
fallo del controlador. En el código del ataque pueden identificarse rutinas de software
relacionadas con el 417H.
Siemens Field PG
Una de las cosas más importantes que hay que entender sobre los controladores industriales con
respecto a la ciberseguridad es que se configuran, o programan, mediante un ordenador móvil que
ejecuta el software de configuración del proveedor, un producto llamado SIMATIC Manager. Los
ordenadores móviles se utilizan porque la programación suele realizarse "sobre el terreno", al
carecer de conectividad en línea con los controladores que deben configurarse. El nombre "PG" es
un acrónimo de "Programmiergerät", que significa dispositivo de programación.

centrifugadora
Controlador de presión y lectura
Las unidades de control de las imágenes anteriores muestran la presión del proceso y los valores de
consigna. La imagen de abajo muestra el mismo producto (MKS PR-4000) como se anuncia en
Internet para la venta (fergutec.com).
Los controladores de presión deben estar en peligro para
desactivar las válvulas de escape de etapa del sistema de
protección en cascada. Esto sugiere un enlace entre el
controlador principal del sistema de protección en cascada, el
Siemens S7-417, y los controladores de presión. Dado que el
PR-4000 no viene con una interfaz PROFIBUS incorporada,
lo más probable es que la comunicación se establezca a
través de una pasarela PROFIBUS a serie, como se muestra
en el diagrama
inferior; una configuración que se utiliza en aplicaciones similares. Del código de ataque puede
deducirse que se utilizó un total de 21 controladores de presión por cascada, con los 15 inferiores
controlando las válvulas de escape de las etapas.

centrifugadora
Cuestiones de no proliferación
El análisis de tuberías, instrumentación y control se salda con una desagradable sorpresa. Una
pantalla SCADA de 2012 indica que Irán dio el paso a perfiles en cascada configurables
dinámicamente.
La clave está en la tubería situada debajo de las quince etapas de enriquecimiento, resaltada en rojo.
Está equipada con válvulas que permitirían simplemente "cerrar" las etapas anteriores y posteriores
para llegar a una forma de cascada reducida con menos de quince etapas. No se aprecia ninguna
otra razón para las válvulas que no sea modificar el número de etapas de enriquecimiento.
¿Por qué se querría reducir el número de etapas de enriquecimiento? Sin duda sería ventajoso para
la producción de uranio apto para armamento. Las formas de cascada reducidas se utilizan para
niveles de enriquecimiento superiores al 20%. Por ejemplo, Pakistán utilizó cascadas con 114
centrifugadoras para pasar de un enriquecimiento del 20% al 60%, y cascadas con 64
centrifugadoras para pasar de un enriquecimiento del 60% al 90% (grado armamentístico).
Aunque una cascada de 164 o 174 centrifugadoras puede utilizarse teóricamente para producir uranio
altamente enriquecido apto para armamento, simplemente se tarda más. Las cascadas más
pequeñas reducen en gran medida el tiempo de arranque. El tiempo de ruptura es el tiempo que
necesita un proliferante para alcanzar la capacidad de fabricar armas nucleares tras salir del régimen
del OIEA.
Otra cuestión que se plantea es la de si los inspectores del OIEA han tenido la oportunidad de
detectar si entre sus visitas se ha modificado temporalmente la configuración de la cascada para
producir UME.
Para aprovechar la cascada de etapas inferiores, también debe reducirse el número de
centrifugadoras por etapa. Pero eso puede lograrse fácilmente simplemente cerrando las válvulas de
aislamiento, como demostró Stuxnet (véase la figura 6).

centrifugadora

To Kill A Centrifuge Es

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

To Kill A Centrifuge Es

Cargado por

Copyright:

Formatos disponibles

Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

"El análisis definitivo de Stuxnet"

Resumen ejecutivo ...................................................................................................................................3

Prólogo: Un ejemplo de libro de ciberguerra.............................................................................................4

A. Exploración del vector de ataque.........................................................................................................5

B. Conceptos erróneos sobre el funcionamiento y el impacto de Stuxnet ....................................................18

Matar a una -2 - www.langner.com

Matar a una -3 - www.langner.com

Capa del sistema de control

Matar a unaVálvulas, accionamientos

Matar a una -5- www.langner.com

Ataque de sobrepresión: Secuestro silencioso de las joyas de la Corona

Matar a una -7- www.langner.com

El problema inherente al sistema de protección en cascada y su solución

Matar a una -9- www.langner.com

Matar a una - 11 - www.langner.com

El software SCADA (control de supervisión y adquisición de datos, básicamente una aplicación

La maravilla tecnológica de Irán

Matar a una - 13 - www.langner.com

Matar a una - 14 - www.langner.com

Matar a una - 15 - www.langner.com

Rotor Speed Attack: El límite

Matar a una - 17 - www.langner.com

había perdido la capacidad de transportar el malware a su Los sistemas de ingeniería

Matar a una - 19 - www.langner.com

Un nuevo intento de agrietar los rotores

Figura 9: El presidente Ahmadineyad sostiene

Mantenlo simple, estúpido

Matar a una - 21 - www.langner.com

OPSEC se convierte en una preocupación menor

Matar a una - 23 - www.langner.com

Matar a una - 25 - www.langner.com

Análisis: La dinámica de una campaña de guerra cibernética

Un arma de bajo rendimiento

Matar a una - 26 - www.langner.com

Matar a una - 27 - www.langner.com

El mundo es más grande que Natanz

Matar a una - 28 - www.langner.com

Matar a una - 29 - www.langner.com

Matar a una - 31 - www.langner.com

¿Se "escapó" Stuxnet de Natanz por un error de programación?

¿Tenían los atacantes capacidad para detener la campaña?

Matar a una - 32 - www.langner.com

Matar a una - 33 - www.langner.com

¿Puede utilizarse Stuxnet como modelo para ataques de imitación?

Una metodología para la ingeniería de ataques ciberfísicos

Ignorar los días cero en los sistemas de control industrial

Matar a una - 35 - www.langner.com

Infiltración indirecta a través de objetivos blandos

¿Son necesarios los recursos de un Estado-nación para llevar a cabo

Sofisticación comercial y fiabilidad a escala

Matar a una - 37 - www.langner.com

El coste de las restricciones autoimpuestas

Matar a una - 39 - www.langner.com

¿Pueden los controles técnicos de seguridad bloquear ataques similares a Stuxnet?

Matar a una - 41 - www.langner.com

¿Es suficiente una "defensa activa" contra los ataques ciberfísicos?

Matar a una - 42 - www.langner.com

Matar a una - 43 - www.langner.com

Matar a una - 44 - www.langner.com

La sala de control de la Planta Piloto de Enriquecimiento de Combustible (PFEP) en febrero de 2012,