El jefe me pidió un artículo sobre Stuxnet, y la verdad es que es una de esas historias que nunca deja de ser extraordinaria, sin importar cuántas veces la revisites. En 2010, investigadores de seguridad informática se toparon con algo sin precedentes: un gusano informático de 500 kilobytes que llevaba años destruyendo silenciosamente equipos nucleares iraníes. El ciberarma Stuxnet no fue diseñado para robar datos ni extorsionar dinero. Fue construido para romper cosas, cosas físicas y reales, usando únicamente código.
Esto es lo que ocurrió, por qué importó y por qué seguimos viviendo en el mundo que Stuxnet creó.
El problema: el programa nuclear iraní
En 2006, Irán había reanudado el enriquecimiento de uranio en su instalación subterránea de Natanz, un extenso complejo con tres edificios subterráneos, dos de los cuales están diseñados para albergar 50.000 centrifugadoras. El presidente del país, Mahmoud Ahmadineyad, alardeaba públicamente de sus planes para ampliar el programa. Los gobiernos occidentales temían que fuera un camino hacia las armas nucleares.
Las opciones militares parecían todas malas. La administración Bush creía que un ataque aéreo israelí sobre Natanz podría desencadenar una guerra regional. Las sanciones económicas estaban estancadas porque los aliados europeos no se ponían de acuerdo sobre hasta dónde presionar. Según el New York Times, la CIA y la NSA propusieron una alternativa radical: un ciberataque que pudiera sabotear las centrifugadoras desde dentro.
El programa clasificado recibió el nombre en clave de Operación Olympic Games.
El ciberarma Stuxnet: cómo funcionaba
Las centrifugadoras son máquinas delicadas. Hacen girar el gas de uranio a velocidades supersónicas para separar los isótopos necesarios para el combustible nuclear o las armas. Incluso pequeñas perturbaciones en su rotación pueden hacer que se destruyan.
Stuxnet explotó esta fragilidad. El gusano atacaba el software de Siemens que controlaba los controladores lógicos programables (PLC) de las centrifugadoras, los pequeños ordenadores que gestionan los equipos industriales. Una vez dentro, hacía dos cosas: provocaba que las centrifugadoras giraran de forma errática y enviaba datos falsos a las pantallas de los operadores para que todo pareciera normal.
Los ingenieros de Natanz sabían que algo fallaba. Las centrifugadoras se estropeaban a un ritmo inusualmente alto. Pero no podían encontrar la causa porque Stuxnet se ocultaba a plena vista, mostrándoles grabaciones de operaciones normales mientras destruía el equipo por debajo.
Cómo penetrar una instalación aislada de la red
Natanz no estaba conectada a Internet. Este «airgap» supuestamente la hacía inmune a los ciberataques. Stuxnet fue diseñado para cruzar esa brecha mediante memorias USB transportadas por personas con acceso físico a la planta.
Durante años, la identidad de la persona que introdujo el gusano permaneció como un misterio. Luego, en 2024, una investigación de dos años del periódico neerlandés De Volkskrant lo identificó: Erik van Sabben, un ingeniero neerlandés de 36 años reclutado por el servicio de inteligencia neerlandés (AIVD) a petición de las agencias estadounidense e israelí. Van Sabben tenía formación técnica, hacía negocios en Irán y estaba casado con una iraní, lo que lo convertía en un candidato ideal.
Según el informe de SecurityWeek sobre la investigación, van Sabben habría introducido el malware a través de una bomba de agua que instaló en Natanz. Los parlamentarios neerlandeses nunca fueron informados. «Los americanos nos utilizaron», dijo una fuente de inteligencia al Volkskrant. Van Sabben murió en un accidente de moto en Dubái dos semanas después de la operación.
Los daños
Entre finales de 2009 y principios de 2010, Irán retiró y reemplazó unas 1.000 centrifugadoras IR-1 en Natanz, según datos recopilados por el Instituto para la Ciencia y la Seguridad Internacional a partir de informes de salvaguardias del OIEA. Aunque las averías de centrifugadoras son normales en instalaciones de enriquecimiento, este nivel superó con creces las expectativas.
El gusano infectó más de 200.000 ordenadores en todo el mundo tras escapar de la instalación, aunque no causó daños en sistemas no conectados al equipo específico de Siemens al que se dirigía. Algunos funcionarios de la administración Obama estimaron que el programa retrasó el desarrollo nuclear iraní entre dieciocho meses y dos años, aunque Kim Zetter, la periodista que escribió el libro definitivo sobre Stuxnet, argumentó que el ataque fue «prematuro» y «podría haber tenido un efecto mucho mayor si los atacantes hubieran esperado».
Descubrimiento y consecuencias
Stuxnet nunca debía ser descubierto. Pero una versión más agresiva, desplegada en 2009 o 2010, se propagó demasiado lejos. Una oficina iraní sin conexión con el programa nuclear empezó a sufrir reinicios y fallos misteriosos. Un experto en seguridad local llamó a un amigo en la empresa antivirus bielorrusa VirusBlokAda, y comenzó la investigación de malware más trascendental de la historia.
Investigadores de Kaspersky Lab, Symantec y otras empresas pasaron meses descompilando el código. Descubrieron que utilizaba cuatro exploits de día cero distintos, un número sin precedentes para un solo malware, junto con certificados digitales robados a empresas taiwanesas. Kaspersky estimó que había requerido un equipo de al menos diez desarrolladores trabajando durante dos o tres años.
En junio de 2012, el New York Times reveló que Stuxnet era el producto de la Operación Olympic Games, un programa conjunto estadounidense-israelí iniciado bajo Bush y ampliado bajo Obama. Ninguno de los dos gobiernos ha reconocido oficialmente su responsabilidad.
Por qué Stuxnet sigue importando
Stuxnet fue el primer ciberataque públicamente conocido que causó destrucción física de infraestructuras. Como le dijo al New York Times el exdirector de la CIA Michael Hayden: «Alguien cruzó el Rubicón.»
En julio de 2025, Kim Zetter testificó ante el Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos que Stuxnet «proporcionó evidencia contundente de que la destrucción física de infraestructuras críticas, usando nada más que código, no solo era posible sino también probable». Señaló que, tras Stuxnet, los investigadores de seguridad dirigieron su atención a los sistemas de control industrial y encontraron «no solo agujeros de seguridad en el software, sino también problemas arquitectónicos completos que no podían resolverse con un parche».
Los descendientes de las técnicas de Stuxnet ya han aparecido. Como señaló Zetter en su testimonio, los ataques de 2015 y 2016 contra la red eléctrica de Ucrania, atribuidos a Rusia, provocaron apagones que afectaron a cientos de miles de personas. El malware Triton de 2017 atacó los sistemas de seguridad de una planta petroquímica saudí, un paso más hacia ataques que podrían poner en peligro directamente vidas humanas.
Marcus Ranum, uno de los primeros innovadores del cortafuegos informático, llamó a Stuxnet «una piedra lanzada por personas que viven en una casa de cristal». Las mismas vulnerabilidades de los sistemas de control industrial que Stuxnet explotó en Irán existen en toda la infraestructura estadounidense y europea. Quince años después de su descubrimiento, el mundo no ha resuelto el problema que Stuxnet reveló. Solo ha demostrado, una y otra vez, cuán real es la amenaza.
El jefe me pidió un artículo sobre Stuxnet, y para cualquiera que trabaje en ciberseguridad, este es el caso de estudio que no envejece. En junio de 2010, investigadores identificaron un gusano de 500 kilobytes que llevaba años saboteando silenciosamente la infraestructura de enriquecimiento de uranio de Irán. El ciberarma Stuxnet representó un cambio de paradigma: la primera instancia confirmada de malware diseñado para causar destrucción física de equipos industriales mediante la manipulación de controladores lógicos programables.
Contexto operacional: Olympic Games
En 2006, Irán había reanudado el enriquecimiento en la Planta de Enriquecimiento de Combustible (FEP) de Natanz, una instalación subterránea que comprende tres edificios subterráneos, dos de los cuales están diseñados para albergar 50.000 centrifugadoras. La administración Bush se enfrentaba a un dilema estratégico: las sanciones estaban estancadas, los ataques militares arriesgaban una escalada regional y los esfuerzos previos de sabotaje de la CIA (introducción de componentes defectuosos en la cadena de suministro iraní) habían producido resultados limitados.
Según la investigación del New York Times de 2012, el general James Cartwright del Mando Estratégico de Estados Unidos propuso una operación cibernética contra los sistemas de control industrial de Natanz. La NSA desarrolló el arma en colaboración con la CIA y la Unidad 8200 israelí (SIGINT). El programa, con nombre en clave Olympic Games, comenzó bajo Bush y fue acelerado por Obama.
La primera fase consistió en desplegar un beacon en los sistemas de control Siemens de Natanz para cartografiar la arquitectura de la instalación. El beacon «llamaba a casa» hacia la sede de la NSA con planos de los directorios electrónicos y las conexiones de los controladores. La recopilación de inteligencia llevó meses.
El ciberarma Stuxnet: arquitectura del ataque
La arquitectura de Stuxnet operaba en tres capas: propagación en Windows, explotación del software Siemens Step 7 y entrega de carga útil a los PLC. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) lo clasificó como malware especializado que ataca sistemas SCADA que ejecutan Siemens SIMATIC WinCC o STEP 7.
El gusano explotaba cuatro vulnerabilidades de día cero simultáneamente, un número sin precedentes para un único espécimen de malware:
- Una falla LNK (acceso directo de Windows) para propagación por USB
- Una vulnerabilidad en el spooler de impresión compartido para el movimiento lateral en la red
- Dos exploits de escalada de privilegiosAtaque de seguridad en el que un intruso obtiene niveles de acceso o control superiores a los concedidos originalmente, explotando vulnerabilidades en un sistema o aplicación. para obtener acceso a nivel de sistema en máquinas bloqueadas
Además, utilizaba controladores firmados digitalmente con certificados de clave privada robados a dos fabricantes de hardware taiwaneses (Realtek y JMicron), lo que le permitía instalar un rootkit en modo núcleo sin activar alertas de seguridad. Kaspersky Lab estimó que el gusano requirió un equipo de al menos diez desarrolladores trabajando durante dos o tres años.
Dos secuencias de carga útil distintas
Stuxnet contenía dos secuencias de sabotaje separadas, cada una dirigida a diferentes aspectos del funcionamiento de las centrifugadoras. El Instituto para la Ciencia y la Seguridad Internacional (ISIS) analizó ambas en detalle utilizando la ingeniería inversa de Symantec:
Secuencia A (manipulación de válvulas): Como Kim Zetter detalló en su testimonio ante el Congreso de 2025, la primera versión atacaba las válvulas de salida de las centrifugadoras. Tras registrar 30 días de operación normal, Stuxnet cerraba las válvulas para impedir que el gas saliera, haciendo que la presión interna subiera a cinco veces el nivel normal. Simultáneamente, desactivaba los sistemas de seguridad en cascada y enviaba datos normales pregrabados a las estaciones de monitoreo. Este ciclo de sabotaje de dos horas se repetía cada 30 días.
Secuencia B (manipulación de frecuencia): Según el testimonio de Zetter, la segunda versión atacaba los convertidores de frecuencia que controlan la velocidad de rotación de las centrifugadoras. Tras un período de registro de 26 días, elevaba la frecuencia del motor desde la nominal de 1.064 Hz a 1.410 Hz durante 15 minutos. El ISIS confirmó que 1.410 Hz corresponde a una velocidad de pared del rotor de 443 metros por segundo, cerca del límite mecánico del rotor de aluminio de la centrifugadora IR-1 (440-450 m/s). Tras 13 días, luego reducía la frecuencia a 2 Hz durante 50 minutos, anulando cualquier avance en el enriquecimiento antes de restaurar el funcionamiento normal.
La entrega: cruzar el airgap
Los sistemas de control de Natanz estaban aislados de Internet. Stuxnet fue diseñado para propagarse mediante medios extraíbles, especialmente memorias USB. El NYT informó que «siempre hay un idiota por ahí que no piensa demasiado en el pendrive que tiene en la mano», en palabras de uno de los arquitectos de la operación.
Una pieza clave del mecanismo de entrega emergió en enero de 2024, cuando una investigación de dos años del periódico neerlandés De Volkskrant identificó a Erik van Sabben, un ingeniero neerlandés reclutado por el AIVD (Servicio General de Inteligencia y Seguridad de los Países Bajos) en 2005 a petición de la inteligencia estadounidense e israelí. Van Sabben se infiltró en Natanz usando sus conexiones comerciales en Irán y su matrimonio con una iraní.
SecurityWeek informó que el malware habría sido introducido mediante una bomba de agua que van Sabben instaló en la instalación, aunque el investigador de seguridad Ralph Langner, que realizó su propio análisis en profundidad de Stuxnet, señaló que «una bomba de agua no puede transportar una copia de Stuxnet», lo que sugiere que el mecanismo real de entrega sigue siendo objeto de debate. El exdirector de la CIA Michael Hayden, entrevistado por De Volkskrant, no pudo confirmar ni desmentir la teoría de la bomba de agua, alegando clasificación.
Evaluación del impacto
Los datos de salvaguardias del OIEA analizados por el ISIS mostraron que entre finales de 2009 y principios de 2010, Irán retiró aproximadamente 1.000 centrifugadoras IR-1 en la FEP, unas seis cascadas de 164 centrifugadoras cada una. El módulo A26 fue el más afectado: 11 de sus 18 cascadas fueron desconectadas, afectando a 1.804 centrifugadoras. El número máximo de centrifugadoras instaladas en Natanz había alcanzado 8.692 IR-1 antes del incidente.
El presidente iraní Ahmadineyad admitió que adversarios occidentales «lograron crear problemas en un número limitado de nuestras centrifugadoras con el software que habían instalado en piezas electrónicas». Los datos del OIEA sugieren otra cosa. Sin embargo, la tasa de producción de uranio levemente enriquecido de Irán aumentó realmente durante este período, lo que indica que los operadores compensaron priorizando la reparación de cascadas de enriquecimiento.
Las evaluaciones del impacto estratégico divergen. Las estimaciones internas de la administración Obama afirmaban un retraso de dieciocho meses a dos años. Kim Zetter argumentó en Stanford que «Stuxnet tuvo en realidad muy poco efecto en el programa nuclear iraní» y fue «prematuro», señalando que Irán obtuvo una ganancia neta en sus reservas de uranio mientras era atacado y posteriormente actualizó a diseños de centrifugadoras más resistentes.
El gusano finalmente infectó más de 200.000 ordenadores en todo el mundo tras escapar de Natanz, con la mayoría de infecciones concentradas en Irán. Fuera de la instalación, solo causó síntomas molestos (reinicios, pantallas azules) en máquinas que carecían de la configuración específica de Siemens atacada.
Descubrimiento e ingeniería inversa
El descubrimiento de Stuxnet comenzó con una llamada de soporte técnico. Una oficina iraní sufría reinicios persistentes incluso después de instalaciones limpias del sistema operativo. Sergey Ulasen, de la empresa bielorrusa VirusBlokAda, aisló el malware y reconoció los exploits de día cero. Compartió sus hallazgos con la comunidad de seguridad en general.
Liam O’Murchu de Symantec lo describió como «con diferencia el código más complejo que hemos analizado, en una liga completamente diferente a todo lo que habíamos visto antes». Tras tres a seis meses de ingeniería inversa, su equipo había determinado «el 99 por ciento de todo lo que ocurre en el código». El avance clave llegó cuando relacionaron los parámetros del código (ocho o diez arrays de 168 convertidores de frecuencia) con las especificaciones publicadas por el OIEA para una instalación de enriquecimiento de uranio.
Roel Schouwenberg de Kaspersky señaló que los cuatro días cero «se complementan todos a la perfección» y que el código era «demasiado sofisticado para ser obra de un grupo heterogéneo de hackers de sombrero negro». El código contenía la cadena «DEADFOO7», probablemente una referencia al término de aviación «dead foot» (motor muerto).
Legado y relevancia continua
En julio de 2025, Zetter testificó ante el Comité de Seguridad Nacional de la Cámara de Representantes que Stuxnet «proporcionó evidencia contundente de que la destrucción física de infraestructuras críticas, usando nada más que código, no solo era posible sino también probable». Advirtió que «una vez que los investigadores de seguridad dirigieron su atención a estos sistemas, encontraron no solo agujeros de seguridad en el software, sino también problemas arquitectónicos completos que no podían resolverse con un parche».
Las familias de malware que siguieron muestran un linaje claro con las innovaciones de Stuxnet:
- Duqu (2011): Malware de recopilación de inteligencia que comparte código con Stuxnet, dirigido a empresas industriales para reconocimiento
- Flame (2012): Plataforma de espionaje dirigida a sistemas gubernamentales iraníes, con código que tenía al menos cinco años en el momento de su descubrimiento
- BlackEnergy/Industroyer (2015-2016): Ataques contra la red eléctrica de Ucrania que causaron apagones a cientos de miles de personas, atribuidos a Rusia
- Triton (2017): Atacó los sistemas instrumentados de seguridad de una planta petroquímica saudí, un paso hacia ataques que podrían causar daño físico a los trabajadores
La lección estratégica de Stuxnet es de doble filo. Demostró que las operaciones cibernéticas podían sustituir a la acción militar cinética, evitando potencialmente un ataque aéreo israelí sobre Irán. Pero también, como Zetter le dijo al Congreso, abrió una era en la que las mismas técnicas «podrían desplegarse contra sistemas civiles y militares en todo el mundo, interrumpiendo servicios esenciales, dañando equipos y, en algunos casos, causando pérdidas de vidas». Las vulnerabilidades en los sistemas de control industrial que Stuxnet explotó en 2007 siguen siendo generalizadas en las infraestructuras críticas a nivel mundial. Quince años después de su descubrimiento, la revelación fundamental de Stuxnet, que el código puede destruir, no ha hecho más que ganar urgencia.
