• |
  • |

Stuxnet fue detectado en septiembre de 2010, y es considerado el gusano informático más avanzado de la historia. Asimismo, constituye el primer ejemplo real de arma digital eficaz, utilizada en lugar de una guerra convencional.

El malware original infectó a decenas de miles de PC operados con Windows, causando revuelo internacional al saberse que se trataba de un proyecto secreto estadounidense-israelí, diseñado específicamente para destruir las centrífugas iraníes empleadas para el enriquecimiento de uranio.

Los mismos desarrolladores habrían irrumpido nuevamente en el escenario de la seguridad informática mundial. La empresa Symantec anunció el 19 de octubre la detección de un código maligno que sería prácticamente idéntico a Stuxnet.

Se trata del troyano bautizado “Duqu”, que hasta ahora habría infectado un número reducido de empresas europeas, incluyendo fabricantes de sistemas de control industrial. Según el anuncio, los científicos de Symantec estarían seguros de que la nueva amenaza ha sido creada por los mismos desarrolladores que tuvieron acceso al código fuente de Stuxnet, y no solo a los archivos binarios.

“Partes de Duqu son prácticamente idénticas a Stuxnet, pero tienen un cometido totalmente distinto”, escriben los autores del informe.

El tema es confirmado por el renombrado experto en seguridad informática Mikko Hypponen, científico jefe de F-Secure, quien se refiere al virus directamente como Stuxnet 2.

Hypponen escribe en el blog de F-Secure: “Grandes noticias hoy. Se ha creado una nueva puerta trasera, por quienes tienen acceso al código fuente de Stuxnet. Este código fuente no está en circulación, y solo está en manos de los autores originales. Duqu ha sido creado por las mismas personas que programaron Stuxnet”.

Al contrario de Stuxnet, Duqu no se propaga, y por lo tanto, escapa a la denominación de gusano informático. Duqu tampoco contendría un componente que sabotea sistemas de control. Su finalidad sería recabar información de los sistemas infectados.

Hasta ahora, Symantec ha detectado al menos tres variantes, la última de las cuales tiene una fecha de compilación totalmente fresca: el 17 de octubre; es decir, el lunes de esta semana.

Duqu utilizaría comunicación HTTP abierta, como asimismo conexiones cifradas vía HTTPS, hacia un servidor de propiedad desconocida. “Los atacantes pueden instalar nuevos programas ejecutables mediante este servidor, por medio de un protocolo especialmente diseñado para tales efectos. La subida y descarga de datos ocurre principalmente mediante datos ocultos entre archivos JPEG, indica Symantec.

Desaparece en 36 días
El malware ha sido configurado para operar durante 36 días, al cabo de los cuales se desinstala automáticamente del sistema intervenido, indica Symantec en su comunicado.

La empresa ha publicado un www.symantec.com, un informe de 60 páginas (documento PDF), agregando que en los próximos días publicará información adicional.