Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Matar a una
centrifugadora
Un análisis técnico de
lo que los creadores de
Stuxnet
Intentado conseguir
Ralph Langner
Noviembre de 2013
El Grupo Langner
Arlington | Hamburgo | Múnich
Conteni
do
C. Natanz por dentro: visita guiada a los sistemas, la instrumentación y el control de la planta..................24
Software SCADA ................................................................................................................................24
Diseño de plantas ...............................................................................................................................28
Sensores y válvulas..............................................................................................................................29
Controladores industriales ..................................................................................................................35
Cuestiones de no proliferación ...........................................................................................................37
Agradecimientos
Andreas Timm, Olli Heinonen, Richard Danzig y R. Scott Kemp han aportado valiosos comentarios
durante la redacción de este documento. No obstante, las opiniones expresadas son las del autor, no
las suyas.
Capa
inform
Redes, sistemas operativos, aplicaciones ática Propagación
informáticas
Capa física
Figura 2: Sinopsis de los dos ataques diferentes implementados en Stuxnet. Ambos utilizan una manipulación de
los sistemas de control industrial para lograr daños físicos, explotando diferentes vulnerabilidades físicas de los
equipos (rotores de centrifugadoras) que básicamente conducen al mismo resultado físico
Figura 4: Reunión de la UE3 en 2003 con Hassan Rowhani y los ministros de Asuntos Exteriores de Alemania,
Francia y Gran Bretaña
Figura 8: Válvulas muy diferentes: Mientras que las válvulas de escape de la etapa (etiquetadas EP-4108 a 4112
en esta captura de pantalla parcial de la pantalla SCADA del SPI) permanecen cerradas durante el
funcionamiento normal y durante el ataque, al menos una de las válvulas de alimentación (etiquetadas EP-4118
a EP-4120) debe permanecer abierta. Los controladores de presión en las tomas de producto y colas también
deben estar comprometidos para no señalar una condición de baja presión.
El ataque continúa hasta que los atacantes deciden que ya es suficiente, basándose en la
monitorización del estado de la centrifugadora, muy probablemente sensores de vibración, lo que
sugiere abortar la misión antes de que la cosa se desmadre. Si la idea fuera la destrucción
catastrófica, simplemente habría que sentarse y esperar. Pero provocar una solidificación del gas de
proceso habría provocado la destrucción simultánea de cientos de centrifugadoras por controlador
infectado. Aunque a primera vista esto puede parecer un objetivo que merece la pena alcanzar,
también habría echado por tierra la tapadera, ya que su causa habría sido detectada con bastante
facilidad por los ingenieros iraníes en los análisis post mortem. La ejecución del ataque, con su
estrechísima vigilancia de las presiones y del estado de las centrifugadoras, sugiere que los
atacantes se cuidaron mucho de evitar daños catastróficos. La intención del ataque de sobrepresión
era más bien aumentar la tensión de los rotores, provocando así su rotura prematura, pero no
necesariamente durante la ejecución del ataque.
No obstante, los atacantes se enfrentaban al riesgo de que el ataque no funcionara en absoluto
porque está tan sobredimensionado que incluso el más mínimo descuido -o cualquier cambio de
configuración- habría tenido un impacto nulo o, en el peor de los casos, un fallo del programa que los
ingenieros iraníes habrían detectado rápidamente. Es obvio, y se documenta más adelante en este
documento, que con el tiempo Irán cambió varios detalles importantes de la configuración, como el
número de centrifugadoras y las etapas de enriquecimiento por cascada, todo lo cual habría hecho
inútil el ataque por sobrepresión; un hecho que los atacantes debían haber previsto.
La caballería de la infoseguridad
La primera versión de Stuxnet tuvo que instalarse físicamente
¿Qué es un sistema de
en una máquina víctima, muy probablemente un sistema de
ingeniería portátil, o pudo haberse pasado en una memoria ingeniería?
USB que contenía un archivo de configuración infectado para Los controladores industriales no
controladores Siemens. Una vez que el software de ingeniería vienen con pantallas de vídeo,
del proveedor abría el archivo de configuración, el ordenador teclados ni ratones. Su
correspondiente quedaba infectado. Pero si no hay software de programación se realiza fuera de
ingeniería que abra el archivo malicioso, no hay propagación. línea en un sistema informático que
se denomina "sistema de
Eso debió parecer insuficiente o poco práctico para la nueva ingeniería", ya que los ingenieros de
versión, ya que introdujo un método de autorreplicación que le sistemas de control no se
permitía propagarse dentro de redes de confianza y a través consideran programadores, sino
de memorias USB incluso en ordenadores que no alojaban la que se centran en la funcionalidad
aplicación de software de ingeniería. El dropper extendido física del proceso a la hora de
sugiere que los atacantes configurar los controladores.
No obstante, la implementación del ataque es bastante grosera; bloquear la ejecución del código de
control durante hasta una hora es algo que los ingenieros experimentados en sistemas de control
detectarían tarde o temprano, por ejemplo utilizando las funciones de diagnóstico del software de
ingeniería, o insertando código con fines de depuración. Desde luego, habrían necesitado una pista
de que algo no cuadraba con la velocidad del rotor. No está claro si el análisis post mortem
proporcionó suficientes indicios; el hecho de que se utilizaran tanto el exceso de velocidad como la
transición a través de velocidades críticas ciertamente causó disimulo. Sin embargo, en algún
momento el ataque debería haber sido reconocible por el personal de la planta sólo por el viejo
tímpano. Llevar 164 centrifugadoras o múltiplos de éstas de 63.000 rpm a 120 rpm y volver a
ponerlas a velocidad de nuevo habría sido perceptible - si el personal experimentado hubiera sido
lo suficientemente precavido como para quitarse los auriculares protectores en la sala de la cascada.
Otro indicio de que la OPSEC falló se observa en el área SCADA. Como ya se ha mencionado, no
está claro si el producto WinCC se utiliza realmente para supervisar el sistema de accionamiento de
las centrifugadoras de Natanz. De ser así, Stuxnet lo habría utilizado para sincronizar la secuencia de
ataque entre hasta seis cascadas de modo que sus accionamientos se vieran afectados
simultáneamente, lo que facilitaría aún más la detección audible. Y si en algún momento alguien en
Natanz hubiera empezado a analizar a fondo la interacción SCADA/PLC, se habrían dado cuenta en
cuestión de horas de que algo olía mal, como hicimos nosotros en 2010 en nuestro laboratorio. Un
Matar a una - 24 - www.langner.com
centrifugadora
sistema WinCC infectado por Stuxnet sondea los controladores cada cinco segundos en busca de
datos fuera de los bloques de control legítimos; datos que fueron inyectados por Stuxnet. En una
configuración de laboratorio forense adecuada, esto produce un tráfico que simplemente no se puede
pasar por alto. ¿Se dio cuenta Irán? Tal vez no, ya que un miembro del personal del CERT iraní me
dijo que al menos el equipo de respuesta a emergencias informáticas no había realizado ninguna
prueba por su cuenta en 2010, sino que curiosamente seguía nuestras revelaciones.
En resumen, las diferencias entre las dos variantes de Stuxnet aquí analizadas son notables. En la
versión más reciente, los atacantes estaban menos preocupados por ser detectados. Parece
exagerado decir que querían ser descubiertos, pero lo cierto es que iban más allá y aceptaban el
riesgo.
Figura 12: Inventario de centrifugadoras en Natanz entre 2008 y 2010. Irán mantuvo constantemente una
reserva de al menos el 50% de centrifugadoras de repuesto, lo que invalida la idea de que una destrucción
catastrófica simultánea de todas las centrifugadoras operativas habría significado el fin del mundo para sus
ambiciones nucleares
Aunque el resultado para Irán fue aproximadamente el mismo que el de una táctica de fuerza bruta, el
enfoque de bajo rendimiento ofreció un valor añadido. Volvió locos a los ingenieros iraníes en el
proceso, hasta el punto de que es posible que al final acaben totalmente frustrados por su capacidad
para poner en funcionamiento un diseño de planta robado de los años setenta, y para obtener valor
de su exagerado sistema de protección digital. Al comparar los programas de enriquecimiento de
uranio pakistaní e iraní, no se puede dejar de observar una gran diferencia de rendimiento.
Básicamente, Pakistán consiguió pasar de cero a una producción satisfactoria de uranio poco
enriquecido en sólo dos años, en tiempos de una economía tambaleante y sin lo último en tecnología
de control digital. El mismo esfuerzo le llevó a Irán más de diez años, a pesar del impulso de la red
Khan y del abundante dinero procedente de las ventas de crudo. Si los ingenieros iraníes no parecían
incompetentes antes, sin duda lo fueron durante la Operación Juegos Olímpicos (el supuesto nombre
en clave operativo de Stuxnet).
Aftermath
Cualesquiera que fueran los resultados concretos de Stuxnet en la Zona Cero, aparentemente no
fueron vistos como un fracaso decepcionante por sus creadores. De lo contrario, sería difícil
explicar el hecho de que el reportero del New York Times David Sanger fuera capaz de encontrar
entre cinco y diez altos funcionarios del gobierno que estaban ansiosos por jactarse de la operación
de alto secreto y destacar su astucia. Parecía demasiado ansioso por atribuirse el mérito,
contradiciendo la idea de una misión que salió mal.
El impacto positivo se vio en otros lugares. Mucho antes de que saliera a la luz, pero después de que
se pusiera en marcha la Operación Juegos Olímpicos, el gobierno estadounidense empezó a invertir
a lo grande en ciberguerra ofensiva y en la formación del Mando Cibernético de Estados Unidos. Lo
cierto es que las posibles consecuencias de Stuxnet se notan menos en los esfuerzos de
enriquecimiento de uranio de Irán que en la estrategia militar. Stuxnet no será recordado como un
golpe significativo contra el programa nuclear iraní. Se recordará como el acto inaugural de la
ciberguerra, especialmente cuando se considera en el contexto del malware Duqu y Flame, que
queda fuera del ámbito de este artículo. Las actividades ofensivas de guerra cibernética se han
convertido en una prioridad mayor para el gobierno de EE.UU. que hacer frente al programa nuclear
de Irán, y tal vez por una buena razón. Los efectos más significativos causados por Stuxnet no
pueden verse en Natanz, sino en Washington DC, Arlington y Fort Meade.
Sólo el futuro podrá decir cómo afectarán las armas cibernéticas a los conflictos internacionales, y
puede que incluso a la delincuencia y el terrorismo. Ese futuro está lastrado por una ironía: Stuxnet
empezó como contraproliferación nuclear y acabó abriendo la puerta a una proliferación mucho
Matar a una - 30 - www.langner.com
centrifugadora
más difícil de controlar: La proliferación de la tecnología de las ciberarmas.
Cuando comenzamos nuestra investigación sobre Stuxnet tenía la impresión de que los detalles del
diseño de las plantas de enriquecimiento de combustible de Natanz eran alto secreto y, por tanto,
estaban fuera de nuestro alcance. Entretanto descubrimos que, muy al contrario, Irán parece estar
deseoso de publicar imágenes detalladas al descubierto, lo que permite a los analistas llegar a una
comprensión bastante buena de los detalles de la planta y, por tanto, a una mejor comprensión del
propósito de Stuxnet. También me di cuenta de que, si bien hay mucha literatura científica disponible
sobre las centrifugadoras, hay poca o ninguna sobre la instrumentación y el control. Nuestros
hallazgos se documentan aquí en profundidad con el fin de colmar esta laguna en la literatura de
investigación.
La mayoría de las imágenes que aquí se presentan proceden del análisis fotograma a fotograma de
imágenes de la planta que se emitieron en la televisión iraní y que de algún modo llegaron a Internet.
Otras, como la imagen superior, proceden de la visita oficial del presidente Ahmadineyad a la planta
de enriquecimiento de combustible de Natanz en 2008. Como puede reconocerse observando las
tuberías, las marcas del suelo y la caseta vacía de la cascada a la derecha, el presidente se
encuentra justo en la columna centrífuga número cuatro de la fase de enriquecimiento cuatro, cerca
del extremo del producto.
Software SCADA
Se puede obtener una gran cantidad de información analizando las pantallas SCADA que Irán parece
mostrar con orgullo en la televisión nacional. En la pantalla se muestran detalles esenciales de la
disposición de la planta. Una pantalla SCADA suele organizarse para imitar la disposición física y/o
funcional de la planta, como las tuberías y la ubicación de los componentes importantes del sistema.
Los ingenieros lo denominan diagrama de tuberías e instrumentación (P&ID). Hasta ahora, este
recurso no se había aprovechado en la literatura de investigación, quizá porque el grueso de las
investigaciones hasta ahora había sido realizado por científicos nucleares y no por ingenieros de
La imagen de arriba muestra otra vista de la sala de control de la PFEP, con Ali Akbar Salehi,
licenciado por el MIT y entonces presidente de la Organización Iraní de la Energía Atómica, al
teclado, poniendo en marcha una cascada recién encargada. (Salehi se convirtió más tarde en
vizepresidente y ministro de Asuntos Exteriores de Irán.) En el vídeo, la escena va acompañada de
música heroica y exclamaciones de Allahu akbar por parte de los participantes. La imagen fue
tomada en febrero de 2010, cuando el ataque Stuxnet estaba en pleno apogeo. Las notas de las
marcas adhesivas rosas de las pantallas de vídeo son ilegibles; en las instalaciones occidentales,
dichas marcas identificarían con toda probabilidad las credenciales de inicio de sesión.
La pantalla de monitorización del sistema de protección en cascada, mostrada arriba, muestra las
tuberías básicas, las válvulas y los sensores de presión de las cascadas. Las tuberías rojas (zona
superior de la pantalla) representan el cabezal de alimentación. Las tuberías azules (zona inferior
izquierda de la pantalla) indican la salida del producto, las tuberías blancas (zona inferior derecha de
la pantalla) indican la salida de las colas y las tuberías verdes (zona superior de la pantalla, que se
extiende hacia abajo a izquierda y derecha en los bordes de la pantalla) indican el sistema de
normalización de presión y descarga.
Las lecturas en milibares en los cuadros rectangulares negros (con "mbar" en rojo) identifican la
presión absoluta en la etapa de enriquecimiento respectiva. Las lecturas en milibares de los
recuadros blancos representan la presión diferencial y probablemente identificarán el delta entre la
presión real y el valor de consigna. Un operario observaría esta última para detectar tendencias
potencialmente dañinas, que podrían identificarse mediante lecturas positivas altas continuas. En el
software SCADA occidental actual, lo más probable es que esta información se muestre
gráficamente.
Las válvulas de aislamiento de las centrifugadoras no se muestran, pero su estado puede
determinarse en el área del monitor de centrifugadoras situada en la parte superior de la pantalla. El
área del monitor de centrifugado también permite identificar fácilmente la forma de la cascada.
Después de que descubriéramos y publicáramos ese hecho en 2011, resaltando los bordes de las
fases de enriquecimiento mediante líneas rojas verticales en una captura de pantalla, los ingenieros
iraníes debieron pensar que era una buena idea y lo incorporaron a su software. Las barras
verticales de las capturas de pantalla anteriores no las hemos insertado nosotros, sino que aparecen
en la grabación original, lo que sugiere que a Irán realmente no le importa mucho mantener
clasificadas sus formas de cascada.
Matar a una - 46 - www.langner.com
centrifugadora
El siguiente esquema ofrece una orientación de la disposición de la aplicación.
El diseño de la pantalla y la funcionalidad del software SCADA parecen bastante chapuceros para los
estándares occidentales, y de vez en cuando aparecen toscos cuadros de diálogo en la aplicación de
monitorización CPS. En los programas SCADA modernos, este tipo de ventanas emergentes apenas
se utilizan porque obstruyen el resto de la información de la pantalla. Además, los símbolos y
etiquetas estándar de P&ID no se han utilizado de forma coherente, lo que sugiere que la aplicación
fue creada a medida por una empresa o personas poco familiarizadas con el diseño de software
SCADA contemporáneo.
¿Quién desarrolló el software SCADA para Natanz? Cabría suponer que se encargaron
desarrolladores nacionales de confianza. Sin embargo, el único elemento de texto en farsi que
pudimos identificar en las capturas de pantalla carece de importancia; aparece en la zona superior
izquierda del monitor del SCP justo al lado de una etiqueta en inglés que parece decir "CASCADE".
Debajo de esa etiqueta hay una zona de la pantalla con seis botones o indicadores que
aparentemente se utilizan para cambiar entre las diferentes cascadas que componen una unidad de
cascada (el CPS supervisa sólo una cascada a la vez). Las demás etiquetas están siempre en inglés.
Sorprendentemente, la fecha se muestra en formato estadounidense (MM/DD/AAAA). Esta captura
Matar a una - 48 - www.langner.com
centrifugadora
de pantalla está tomada de un vídeo que se grabó el 9 de febrero de 2010. La información en el
cuadro de texto a la derecha de la pantalla muestra información detallada para el transductor de
presión 4110, el sensor de presión para la etapa de alimentación, con
Diseño de plantas
Una unidad de cascada en Natanz se compone de 18 cascadas. Según nuestra información, las
subunidades de seis cascadas comparten una estación de alimentación, una estación de producto y
una estación de cola. La Planta Piloto de Enriquecimiento de Combustible (PFEP) de Natanz también
utiliza seis cascadas. En el diagrama siguiente, las tuberías rojas indican la alimentación, las azules
el producto y las amarillas las colas.
Forma de cascada
En la época del ataque Stuxnet (2007-2010), Irán utilizaba una disposición en cascada de 164
centrifugadoras de primera generación (IR-1). Las centrifugadoras están alineadas en cuatro líneas
para un total de 43 columnas. Para la forma de cascada elegida, este diseño tiene la ventaja de que
sólo es necesario dejar vacíos ocho puestos de cascada.
Tuberías
Las tuberías de una cascada son sorprendentemente sencillas. Se cortan tres tuberías principales
entre las etapas de enriquecimiento, cuyos extremos se sueldan entre sí o se blindan de acuerdo con
el siguiente diagrama. Este tipo de tuberías soldadas suele denominarse "configuración fija", ya que
la forma de la cascada no puede modificarse sin una intervención importante en las tuberías, que
con toda probabilidad sería detectada por los inspectores del OIEA con suficiente antelación. En
los recuadros grises de la parte inferior se indican los números de etapa.
En este diagrama, se utilizan símbolos de válvulas estándar de I&ID para las válvulas de escape de la
etapa. Los símbolos muestran todas las válvulas de escape abiertas, como sería el caso durante el
vaciado de contingencia de toda la cascada.
Sensores y válvulas
Instrumentación excesiva
Al comparar una cascada IR-1 con su predecesora definitiva, la cascada original diseñada e
implementada por Urenco, no se puede pasar por alto una diferencia sorprendente a primera vista.
Las cosas son muy diferentes en Natanz. Basta con echar un vistazo a los enormes troncos de
cables de señal para darse cuenta de que esta planta está equipada con una gran cantidad de
instrumentación que sirve para un propósito principal: mantener la planta en funcionamiento a pesar
de los problemas de fiabilidad. Comparada con su herencia de Urenco, la sala de cascadas de
Natanz parece una unidad de cuidados intensivos con montones de equipos conectados a los
pacientes para mantenerlos con vida. Los sistemas de control se utilizan para compensar la falta de
fiabilidad mecánica más que para aumentar la eficacia o la calidad del producto.
Los tres tubos conectores que conectan las centrifugadoras IR-1 individuales a los tubos de
alimentación de la etapa, producto y colas están equipados con válvulas de aislamiento, resaltadas
en naranja. La finalidad de las válvulas es aislar las centrifugadoras de una cascada que empiecen a
vibrar, como indican los sensores de vibración (resaltados en magenta). Cada válvula está conectada
a una red Profibus conectada a controladores Siemens S7-417.
Válvulas de escape
Cada etapa de enriquecimiento de una cascada está equipada con una válvula a través de la cual se
puede liberar la presión del proceso en un tubo colector compartido que alimenta el sistema de
descarga. Aunque existe cierta incertidumbre, suponemos que los objetos resaltados en rojo
muestran válvulas de escape. Su posición física en la parte superior de la cascada y su espaciado
coinciden con los esquemas de la planta en las pantallas SCADA.
El funcionamiento de las válvulas (apertura/cierre) se controla mediante un controlador de presión
individual con respecto a las lecturas del sensor de presión, como se explica a continuación.
Válvulas de control
Las válvulas de control no funcionan de forma binaria (abierto/cerrado), sino que pueden abrir una
tubería hasta un grado determinado. Pueden encontrarse en las cabeceras de alimentación, producto
y colas, al menos en la configuración utilizada por Irán desde 2012.
Varias imágenes muestran los sensores de presión utilizados en Natanz. En las pantallas SCADA
aparecen etiquetados con "PT-", que obviamente significa "Pressure Transducer" (transductor de
presión). Según nuestros servicios de inteligencia, Irán utiliza sensores MKS Baratron, quizá también
clones de MKS. A continuación se muestra un transductor MKS Baratron fotografiado por el
fabricante.
Controladores industriales
Armarios para sistemas de control
Siemens Field PG
Una de las cosas más importantes que hay que entender sobre los controladores industriales con
respecto a la ciberseguridad es que se configuran, o programan, mediante un ordenador móvil que
ejecuta el software de configuración del proveedor, un producto llamado SIMATIC Manager. Los
ordenadores móviles se utilizan porque la programación suele realizarse "sobre el terreno", al
carecer de conectividad en línea con los controladores que deben configurarse. El nombre "PG" es
un acrónimo de "Programmiergerät", que significa dispositivo de programación.
Las unidades de control de las imágenes anteriores muestran la presión del proceso y los valores de
consigna. La imagen de abajo muestra el mismo producto (MKS PR-4000) como se anuncia en
Internet para la venta (fergutec.com).
Los controladores de presión deben estar en peligro para
desactivar las válvulas de escape de etapa del sistema de
protección en cascada. Esto sugiere un enlace entre el
controlador principal del sistema de protección en cascada, el
Siemens S7-417, y los controladores de presión. Dado que el
PR-4000 no viene con una interfaz PROFIBUS incorporada,
lo más probable es que la comunicación se establezca a
través de una pasarela PROFIBUS a serie, como se muestra
en el diagrama
inferior; una configuración que se utiliza en aplicaciones similares. Del código de ataque puede
deducirse que se utilizó un total de 21 controladores de presión por cascada, con los 15 inferiores
controlando las válvulas de escape de las etapas.
La clave está en la tubería situada debajo de las quince etapas de enriquecimiento, resaltada en rojo.
Está equipada con válvulas que permitirían simplemente "cerrar" las etapas anteriores y posteriores
para llegar a una forma de cascada reducida con menos de quince etapas. No se aprecia ninguna
otra razón para las válvulas que no sea modificar el número de etapas de enriquecimiento.
¿Por qué se querría reducir el número de etapas de enriquecimiento? Sin duda sería ventajoso para
la producción de uranio apto para armamento. Las formas de cascada reducidas se utilizan para
niveles de enriquecimiento superiores al 20%. Por ejemplo, Pakistán utilizó cascadas con 114
centrifugadoras para pasar de un enriquecimiento del 20% al 60%, y cascadas con 64
centrifugadoras para pasar de un enriquecimiento del 60% al 90% (grado armamentístico).
Aunque una cascada de 164 o 174 centrifugadoras puede utilizarse teóricamente para producir uranio
altamente enriquecido apto para armamento, simplemente se tarda más. Las cascadas más
pequeñas reducen en gran medida el tiempo de arranque. El tiempo de ruptura es el tiempo que
necesita un proliferante para alcanzar la capacidad de fabricar armas nucleares tras salir del régimen
del OIEA.
Otra cuestión que se plantea es la de si los inspectores del OIEA han tenido la oportunidad de
detectar si entre sus visitas se ha modificado temporalmente la configuración de la cascada para
producir UME.
Para aprovechar la cascada de etapas inferiores, también debe reducirse el número de
centrifugadoras por etapa. Pero eso puede lograrse fácilmente simplemente cerrando las válvulas de
aislamiento, como demostró Stuxnet (véase la figura 6).