En ciberseguridad, existen ataques con diferentes niveles de dificultad. Asimismo, hay distintas probabilidades de que ocurran. Por eso, cuando en 2010 el malware Stuxnet tomó el control de las instalaciones industriales de la central nuclear iraní de Natanz, se marcó un hito en la historia del hacking.
En este post, te explicaremos qué es Stuxnet, la primera amenaza persistente avanzada de la historia, y cómo partir este software malicioso, se comenzaron a crear los ciberataques más sofisticados que se conocen.
¿Qué es Stuxnet?
Como mencionamos en la introducción, en el año 2010, en Irán se descubrió que un malware se había apoderado de los sistemas de control industrial de una planta de enriquecimiento de uranio en Natanz. Este virus se propagó en 1000 máquinas centrifugadoras y las destruyo. Esto significó un gran retroceso para el programa nuclear iraní y, al mismo tiempo, marcó el hito de la primera APT de la historia.
Este tipo de malware fue denominado Stuxnet, combinando la referencia mitológica del río de la muerte Styx con el nombre de la empresa Siemens, cuyos controladores fueron atacados.
Detalles técnicos de Stuxnet
Se especula que, por medio de USB infectados y técnicas de ingeniería social, el malware logró infiltrarse en dichas instalaciones. Después de esto, el virus era capaz de identificar los PLC (controladores lógicos programables) de los sistemas SCADA (softwares de control y supervisión industrial). Después de encontrar un PLC, el malware buscaba en la red el modelo específico de las máquinas centrifugadoras con las que Irán enriquecía su uranio. Luego, hacía que estas máquinas funcionaran con anomalías.
Los expertos en seguridad informática del programa nuclear iraní tardaron meses en descubrir Stuxnet, un virus que sorprendió por su enorme complejidad y su capacidad de explotar varias vulnerabilidades al mismo tiempo. Por su desarrollo, se puede inferir que los ciberatacantes estuvieron meses tan solo investigando a su objetivo y otro largo periodo de tiempo desarrollando el silencioso gusano informático que podría saltarse todas sus medidas de seguridad.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLos hackeos, a diferencia de otros ataques militares, son imposibles de rastrear cuando los atacantes saben ocultar la información acerca de su origen. Aunque, gobierno de Irán acusa a Israel y Estados Unidos por la responsabilidad del malware, ambos niegan su autoría en este ciberataque, declarando que este pudo haber venido de cualquier otra parte del mundo.
¿Qué es una amenaza persistente avanzada o ATP?
A partir del ataque de Stuxnet, surgió el concepto de Amenaza Persistente Avanzada, para denominar todos aquellos ataques altamente complejos que están diseñados para actuar de forma sigilosa y precisa.
Una amenaza persistente avanzada es el tipo de ciberataque más sofisticado que encontrarás. Ocurre cuando un grupo de expertos se organiza para hackear a un objetivo de manera avanzada y continua en el tiempo. Para lograr este tipo de ciberataques, los hackers deben dedicar largos meses a encontrar vulnerabilidades en su objetivo y desarrollar un malware imperceptible que robe sus datos o lo arruine.
El desarrollo de amenazas persistentes avanzadas se relaciona comúnmente con los gobiernos, pues se requiere de altas cantidades de recursos para elaborarse. Sin embargo, en los cibercrímenes, es difícil identificar con exactitud al autor del ataque. Por esto, no es posible asegurar con certeza de dónde proviene cada APT.
Desarrolladores de APT
Pese a la complejidad, se ha detectado la existencia de más de 150 grupos de hackers organizadores de APT. Entre ellos, destacan los siguientes:
- Tailored Access Operations (TAO): se descubrió su existencia gracias a un documento filtrado por Edward Snowden, un antiguo empleado de la Agencia de Seguridad Nacional de Estados Unidos. La central de Tailor Acces Operations, según los documentos filtrados, tendría en su poder softwares con la capacidad de infiltrarse en cualquier hardware común.
- APT1: la empresa Mandiant detectó a este grupo organizador de amenazas persistentes avanzadas. Según el listado del portal Mitre Att&ck, APT1 es, presuntamente, un grupo apoyado por el gobierno de China.
- Dragonfly:de acuerdo con Mitr Att&ck, Dragonfly es un grupo dedicado al ciberespionaje, su creación se atribuye al Servicio Federal de Seguridad ruso (FSB) y se encontraría activo desde el año 2010. Los ataques de este grupo estarían relacionados con el espionaje en softwares industriales, entidades gubernamentales, aerolíneas y ciertos sistemas industriales.
Estos grupos organizadores de amenazas persistentes avanzadas, son posteriores al ataque de Stuxnet.
Impacto global y lecciones aprendidas
Lo sucedido en la planta de enriquecimiento de uranio en Irán cambió radicalmente la manera en que el mundo percibe y enfrenta las amenazas de seguridad. Tras el precedente del primer ciberataque capaz de causar daños físicos, los gobiernos y las organizaciones tomaron conciencia de la importancia de las defensas cibernéticas.
Sin embargo, así como avanzan las defensas, las APTs adoptan técnicas más complejas para evadirlas, haciendo crecer la inversión y la demanda en el desarrollo del campo de la ciberseguridad.
Medidas de mitigación y prevención de las ATP
Para protegerse contra amenazas similares a Stuxnet, la mejor medida es contar con un equipo o profesional de ciberseguridad dedicado a crear estrategias de prevención, detección y respuestas a incidentes de seguridad, así como la implementación de prácticas de ciberseguridad básicas, como estás:
- Actualización constante de software y sistemas: mantener al día las correcciones en el sistema ayuda a cerrar posibles vulnerabilidades.
- Educación y concienciación: es importante capacitar todo el personal sobre que son las amenazas de ingeniería social y la importancia de la seguridad cibernética, especialmente a los más vulnerables, como la gente mayor con menos conocimientos informáticos.
- Monitoreo continuo: desarrollar y aplicar sistemas y planes de monitoreo constante para detectar actividades sospechosas en la red.
- Segmentación de redes: una medida preventiva para la expansión de malwares es limitar el acceso dividiendo la red en segmentos.
Ahora que conoces Stuxnet y su impacto en la historia de la ciberseguridad. Anímate a formarte en este campo, con nuestro Ciberseguridad Full Stack Bootcamp te convertirá en especialista ciberseguridad menos de 7 meses y a distancia. Esta profesión tiene grandes oportunidades laborales e ingresos elevados. ¡Explora el programa y da el siguiente paso en tu carrera! ¡Inscríbete ahora!