Quince años después de su descubrimiento, el gusano informático Stuxnet sigue marcando un hito en la historia de los conflictos tecnológicos y geopolíticos. El reciente ataque israelí a la planta nuclear de Natanz vuelve a poner en primer plano la ciberoperación que saboteó por primera vez una infraestructura industrial mediante software malicioso.
En la madrugada del 12 de junio, la aviación israelí bombardeó la principal planta de enriquecimiento de uranio de Irán en Natanz, en una operación reconocida públicamente por el primer ministro Benjamin Netanyahu. Se trata del último episodio de una ofensiva que se remonta a comienzos de siglo, cuando las guerras comenzaron a librarse también en el ciberespacio. Hace exactamente 15 años, una sofisticada operación conjunta entre EE. UU. e Israel introdujo en ese mismo complejo nuclear el gusano informático Stuxnet, un código malicioso que alteró el funcionamiento de centrifugadoras y destruyó cerca de 1.000 unidades sin que los operarios se percataran.
Aquella operación marcó un antes y un después: por primera vez un software fue capaz de sabotear, físicamente, una infraestructura crítica, sin necesidad de explosivos ni infiltraciones armadas. Según los analistas, Stuxnet inauguró una nueva era en la guerra cibernética, que ha continuado con herramientas como Flame, Duqu o Gauss.
Una obra maestra del espionaje digital
Stuxnet fue descubierto en junio de 2010 por la empresa bielorrusa VirusBlokAda. El gusano, de medio megabyte, se propagaba a través de dispositivos USB y redes internas, incluso en entornos no conectados a Internet. Su compleja arquitectura lo hacía único: atacaba sistemas Windows, detectaba la presencia del software industrial Siemens Step7, y alteraba el código de los controladores lógicos programables (PLC) que gestionaban las centrifugadoras. Simultáneamente, enviaba señales falsas para ocultar su actividad a los operarios.
Lo más sorprendente no fue sólo su precisión, sino el uso de cuatro vulnerabilidades tipo zero-day, hasta entonces desconocidas por la comunidad de ciberseguridad. Tal nivel de desarrollo, junto al robo de certificados digitales legítimos y técnicas de ocultación avanzadas, llevó a expertos como Ralph Langner o Mikko Hypponen a concluir que sólo una nación-estado podía estar detrás.
Una campaña encubierta bajo “Juegos Olímpicos”
Informaciones posteriores, incluyendo filtraciones y reportajes del New York Times, identificaron la operación como parte del programa “Operation Olympic Games”, una iniciativa encubierta lanzada por EE. UU. bajo la presidencia de George W. Bush y ampliada por Barack Obama. Israel, a través de su unidad de inteligencia 8200 y con conocimiento detallado del modelo de centrifugadoras IR-1 utilizado en Irán, habría probado el código en instalaciones propias antes de su despliegue en Natanz.
Los daños fueron significativos. Según estimaciones del Instituto para la Ciencia y la Seguridad Internacional (ISIS), Stuxnet destruyó entre 900 y 1.000 centrifugadoras, aproximadamente el 10 % de la capacidad operativa del complejo. Imágenes de la OIEA habrían confirmado la retirada repentina de equipos durante el periodo de infección.
De arma de élite a amenaza global
Aunque diseñado con una lógica quirúrgica, Stuxnet terminó escapando del entorno iraní. Empresas occidentales como Chevron reconocieron infecciones colaterales. Ese error —atribuyen algunos a una actualización defectuosa— provocó que el gusano se propagara mundialmente, encendiendo las alarmas sobre los riesgos de reutilización por parte de cibercriminales.
Roel Schouwenberg, entonces investigador de Kaspersky Lab, afirmó: “Lo más preocupante no era sólo Stuxnet, sino el precedente que sentaba. Cualquiera puede reaprovechar sus componentes para causar daño en otros contextos”.
Y así fue. La aparición de Flame y Gauss, sofisticados programas espía descubiertos entre 2011 y 2012, mostró que el marco técnico de Stuxnet había inspirado una nueva generación de malware diseñado para ciberespionaje, robo de credenciales bancarias y control remoto de dispositivos.
Ciberarmas con firma borrosa
Hasta hoy, ni Estados Unidos ni Israel han reconocido oficialmente la autoría del gusano. Sin embargo, comentarios “extraoficiales” como los del entonces asesor de seguridad de la Casa Blanca, Gary Samore —“nos alegramos de que tengan problemas con sus centrifugadoras”— o el uso de nombres como “MYRTUS” en el código (posible alusión a la reina Esther, figura bíblica) han alimentado las sospechas.
Incluso se ha documentado que un ingeniero holandés colaboró con el Mossad para introducir físicamente el gusano en los sistemas de Natanz mediante un USB infectado, según reveló el diario de Volkskrant en 2024.
¿El principio de una nueva carrera armamentística digital?
Para muchos expertos, Stuxnet fue el Hiroshima del ciberespacio. “Legitimó el uso de armas digitales capaces de causar daños físicos reales”, aseguró el general Michael Hayden, exdirector de la CIA y la NSA. La publicación del código fuente y su posterior análisis permitieron a actores estatales y no estatales replicar sus técnicas. Hoy, la amenaza de un “Pearl Harbor digital” sigue vigente.
En palabras del analista Jeffrey Carr, “los millones invertidos en desarrollar Stuxnet y sus derivados no sólo han tenido impacto político, sino que han democratizado —para bien o para mal— la capacidad de sabotear industrias con software”.
La guerra silenciosa continúa
Con el bombardeo reciente a Natanz, el enfrentamiento entre Irán e Israel entra en una nueva fase. Pero como quedó demostrado en 2010, no siempre es necesario un misil para desactivar un programa nuclear. A veces basta con un archivo de medio megabyte y una estrategia paciente.
Mientras tanto, las preguntas siguen abiertas: ¿Hasta qué punto están protegidas las infraestructuras críticas en otras partes del mundo? ¿Y quién será el próximo en cruzar la línea invisible entre el código y la destrucción física?
Lo que Stuxnet puso en marcha en 2010 no fue solo un ataque, sino una advertencia. Una que sigue resonando 15 años después.
