Una empresa de seguridad confirmó recientemente que un fragmento de malware "Fast16", que se descubrió hace muchos años pero que recientemente se analizó por completo, se utilizó para interferir en secreto con las pruebas de simulación de explosión de armas nucleares. El propósito no era destruir directamente las armas, sino alterar los datos de las pruebas para inducir a error a los ingenieros haciéndoles creer que la prueba nuclear falló, frenando así el avance del programa nuclear.
Según el último análisis realizado por el equipo de búsqueda de amenazas de la empresa de seguridad Symantec, "Fast16" apunta a al menos dos software de simulación de alta precisión: LS‑DYNA y AUTODYN, reemplazando en secreto datos de prueba clave cuando se utilizan para simular los procesos físicos de explosivos de alta potencia y ojivas nucleares. El código malicioso actuará cuando la simulación esté cerca del estado "supercrítico" y alterará silenciosamente los valores mostrados frente a los ingenieros, haciéndoles creer erróneamente que la presión del núcleo no es suficiente para desencadenar una reacción nuclear en cadena.
Los expertos nucleares señalaron que, a juzgar por los detalles del código y su período activo, el objetivo de "Fast16" es casi con certeza el programa inicial de armas nucleares de Irán. David Albright, fundador del Instituto para la Ciencia y la Seguridad Internacional, un grupo de expertos estadounidense, dijo que aunque teóricamente era posible atacar a otros países involucrados en la investigación y el desarrollo de armas nucleares en ese momento, el momento, el acceso requerido para el desarrollo y el enfoque en los materiales de uranio apuntaban a los esfuerzos de armas nucleares de Irán como el objetivo más probable. Enfatizó: "No podemos descartar completamente a países como Corea del Norte o Siria, pero cuando se suman todos los factores clave, el programa de armas nucleares de Irán sigue siendo el objetivo más convincente".
En comparación con el conocido "Stuxnet", "Fast16" no es anterior, sino otra "arma digital" que apareció aproximadamente al mismo tiempo. El código para "Fast16" fue compilado el 30 de agosto de 2005, y la evidencia sugiere que Stuxnet comenzó a desarrollarse aproximadamente al mismo tiempo, aunque este último no fue "introducido" en los sistemas centrífugos de Irán hasta 2007. "Stuxnet" socavó silenciosamente las capacidades de enriquecimiento de uranio de Irán manipulando el funcionamiento de las centrifugadoras y falsificando datos de monitoreo; "Fast16" funcionó en otro frente: no destruyó el equipo físico, pero hizo que el equipo de diseño de armas nucleares perdiera el conocimiento exacto de los resultados de la simulación.
Los investigadores observaron que Fast16 apuntó a una etapa crítica en el proceso de compresión altamente explosiva: cuando la densidad del núcleo de uranio en la simulación alcanzó aproximadamente 30 gramos por centímetro cúbico (justo por debajo del umbral de densidad en el que el uranio comprimido comenzaría a licuarse), el malware comenzó a interceptar y alterar los datos. Los parámetros físicos reales se reemplazan por valores falsos que son unos puntos porcentuales más bajos. Las fluctuaciones parecen normales en el gráfico, pero son suficientes para que los ingenieros saquen la conclusión errónea de que "la presión es insuficiente y el diseño falló". Esto obligará al equipo a ajustar constantemente los cálculos, aumentar la carga explosiva o modificar el diseño estructural, perdiendo tiempo y recursos en interminables "caza de errores" y disputas internas.
El equipo de Symantec también descubrió que "Fast16" proporciona una excelente adaptación a múltiples versiones de LS‑DYNA, y que estos soportes no aumentan linealmente en el orden de las versiones de software, sino que "saltan" para compensarlo. Esto significa que es probable que el atacante continúe obteniendo información sobre cuándo el equipo de ingeniería objetivo cambió a qué versión del software de simulación y actualice el código malicioso en consecuencia para garantizar que, independientemente de cómo el objetivo actualice o retroceda, los resultados de la simulación sigan siendo manipulados. Al mismo tiempo, el malware también se propagará lateralmente dentro de la red interna, lo que provocará que cualquier terminal utilizado para ejecutar la simulación genere los mismos datos manipulados, reduciendo aún más la probabilidad de que la víctima sospeche que el sistema ha sido comprometido.
Los investigadores de seguridad notaron por primera vez la existencia de "Fast16" a través de un documento de herramientas de la Agencia de Seguridad Nacional (NSA) de EE. UU. filtrado en 2017. Estas herramientas fueron robadas por el misterioso grupo de piratas informáticos "Shadow Brokers" y lanzadas en lotes. El "Fast16" mencionado en el documento se describe como una capacidad de ataque que realmente se pone en uso, en lugar de una prueba de concepto que permanece en el laboratorio. Aunque no se filtró ninguna muestra real en ese momento, en octubre de 2017 se cargó una muestra "Fast16" en la plataforma de detección de malware VirusTotal y pasó desapercibida durante los dos años siguientes. No fue hasta que el investigador de SentinelOne, Juan Andrés Guerrero-Saade, descubrió esta muestra en 2019 y se asoció con el investigador independiente Vitaly Kamluk para utilizar inteligencia artificial para desmantelar sus funciones, y se reveló inicialmente su esencia para cálculos de simulación de alta precisión.
En ese momento, el equipo de SentinelOne especuló que "Fast16" probablemente estaba diseñado para alterar el software informático utilizado para simular detonaciones nucleares, y enumeró a LS-DYNA como uno de los objetivos más probables porque la información pública reveló que Irán había utilizado el software en la investigación de detonaciones. Ahora, el último análisis técnico de Symantec lo confirma y confirma además que AUTODYN también se encuentra dentro del rango de ataque. Ambos software son herramientas de uso común en los círculos industriales y de investigación científica. Se pueden utilizar para estudiar una serie de escenarios de física de alta presión, como la resistencia del metal, el impacto de una colisión y la seguridad aeroespacial y de los vehículos. También son adecuados para simular el comportamiento de ojivas nucleares bajo compresión altamente explosiva.
Para comprender el funcionamiento de "Fast16", debemos volver a los antecedentes históricos del programa nuclear de Irán. En 2002, el grupo de oposición iraní exiliado, el Consejo Nacional de Resistencia, celebró una conferencia de prensa en Washington en la que reveló que Irán estaba avanzando en secreto en su programa de armas nucleares. Muchas instalaciones que no habían sido reportadas a la Agencia Internacional de Energía Atómica (OIEA) quedaron expuestas. En 2003, una inspección in situ de la OIEA encontró que las actividades nucleares de Irán excedían con creces lo que debía revelar según el Tratado sobre la No Proliferación de Armas Nucleares y que había señales sospechosas de uso militar. Bajo presión internacional, Irán acordó suspender temporalmente algunas actividades nucleares en 2004 e iniciar negociaciones con la Unión Europea; sin embargo, en el verano de 2005 las negociaciones fracasaron e Irán anunció la reanudación de las actividades de enriquecimiento y promovió la instalación y operación de centrifugadoras en las instalaciones de Natanz.
Los investigadores de seguridad infieren que fue entre 2003 y 2005 que las agencias de inteligencia determinaron que Irán todavía continuaba con investigaciones relacionadas con armas nucleares, especialmente en el "Proyecto Amad" (Proyecto Amad), que utilizaba simulaciones por computadora para compensar las limitaciones de la escala limitada de las pruebas de explosión en vivo. Albright señaló que la comunidad de inteligencia estadounidense emitió una evaluación en 2007 de que Irán suspendió su programa de armas nucleares en 2003, pero las agencias de inteligencia en países como Israel y Alemania han creído durante mucho tiempo que Irán reanudó el trabajo relacionado de una manera más encubierta y con fondos reducidos en 2005. En esta etapa, los experimentos físicos son limitados y el estatus de la simulación por computadora es elevado, lo que también significa que la destrucción precisa del software de simulación se convertirá en una ruta de ataque muy rentable.
"Fast16" está diseñado como una herramienta de "destrucción suave" muy encubierta. No infecta precipitadamente a todos los hosts objetivo. En lugar de ello, primero comprueba si hay 18 productos de seguridad específicos instalados en el sistema. Una vez que se encuentra este software de protección, se cierra automáticamente para reducir el riesgo de ser capturado y analizado. Después de infiltrarse en el entorno de simulación, no desencadena activamente ninguna anomalía obvia. En cambio, comienza a funcionar cuando detecta que se inicia la simulación de alto explosivo y utiliza un modelo matemático específico. Las simulaciones de explosiones nucleares pueden utilizar una variedad de modelos matemáticos diferentes. La diferencia radica en la descripción de variables como presión, volumen, densidad y su interacción en condiciones extremas. "Fast16" sólo interviene en la manipulación cuando detecta que tres de los modelos específicos están habilitados para garantizar la precisión y eficacia del ataque.
En términos de diseño de armas nucleares, se cree que Irán ha llevado a cabo pruebas de componentes altamente explosivos para dispositivos de implosión esférica: los explosivos potentes están recubiertos uniformemente en el exterior de un núcleo esférico de uranio, y se generan ondas de choque a través de la ignición, empujando "piezas voladoras" de metal hacia adentro para golpear el núcleo de uranio como un martillo, provocando que entre en un estado de alta presión y alta temperatura. En este estado, los neutrones liberados por el núcleo de uranio chocan frecuentemente con otros núcleos atómicos, desencadenando una reacción de fisión en cadena, consiguiendo así una explosión nuclear. Los ingenieros ajustan constantemente el diseño del explosivo, el tiempo de detonación y los parámetros del material mediante simulación para encontrar la solución óptima para alcanzar el estado "supercrítico", y "Fast16" cambia los números que leen durante este proceso crítico.
El análisis de Albright cree que si el malware reduce sólo ligeramente el valor real entre un 1% y un 5%, los cambios de la curva en el gráfico parecerán completamente normales a simple vista, pero es suficiente para cambiar el juicio del ingeniero sobre los resultados. Pueden pensar que el impacto es insuficiente, la compresión no es suficiente o que el diseño es defectuoso, por lo que ajustan repetidamente el modelo y la configuración de carga, y cada ejecución de simulación conducirá a conclusiones manipuladas y erróneas. En este caso, el objetivo del ataque no es hacer que una determinada explosión esté "fuera de control", sino continuar perturbando el ritmo de desarrollo, consumir la confianza del equipo, crear fricciones internas y dudas sobre el plan de diseño, ralentizando así el proceso general de desarrollo de armas nucleares.
El investigador de Symantec, Vikram Thakur, señaló que "Fast16" puede parecer técnicamente simple, pero es uno de los "muy pocos ataques de élite" porque requiere que el atacante no sólo sea competente en los mecanismos internos del software objetivo, sino que también tenga un profundo conocimiento de los procesos físicos nucleares, las propiedades de los materiales y cómo lograr el efecto engañoso deseado con cambios mínimos. Él cree que la creación de un malware de "ataque y defensa de la integridad de los datos" basado en conocimientos de ingeniería de precisión en 2005 es "raro en cualquier época, y aún más inimaginable en ese momento".
A pesar de esto, Thakur enfatizó que Stuxnet sigue siendo uno de los códigos maliciosos más avanzados que jamás hayan visto en términos de complejidad. Lo que los dos tienen en común es que ambos centran sus ataques en el "nivel de datos": alterando la salida de datos del sistema en lugar de dañar directamente el hardware, permitiendo que la víctima se pierda en la información incorrecta. Al mismo tiempo, los atacantes deben atravesar entornos de seguridad físicamente aislados y altamente aislados, comprender con precisión cómo funcionan estos entornos e implementar modificaciones extremadamente sofisticadas sin ser descubiertos.
Stuxnet no fue descubierto hasta que se extendió a sistemas fuera de Natanz y provocó una falla. Permaneció inactivo durante unos tres años. Después de ser expuesto, el impacto en el programa nuclear de Irán no se limitó al daño físico, sino que también incluyó la destrucción de la confianza en todo el sistema de ingeniería: desde entonces, los ingenieros iraníes han mantenido un alto grado de sospecha ante cualquier falla. Incluso se puede sospechar que el envejecimiento de los equipos ordinarios o los errores accidentales son el resultado de un sabotaje externo. Symantec cree que los hechos revelados por "Fast16" también ejercerán una presión psicológica sobre el proyecto nuclear de Irán: recuerda a los responsables de la toma de decisiones y al personal técnico que incluso los datos ocultos en el software de simulación por ordenador pueden no ser dignos de confianza.
Los investigadores creen en general que "Fast16" y "Stuxnet" probablemente formen parte de una operación más amplia y de múltiples niveles lanzada por Occidente contra el programa nuclear de Irán. Durante las últimas dos décadas, Estados Unidos y sus aliados han seguido utilizando diferentes métodos, que van desde ataques cibernéticos hasta ataques dirigidos, para tratar de retrasar o impedir que Irán adquiera capacidades de armas nucleares. Los "ataques cinéticos" tradicionales no han destruido completamente la infraestructura nuclear de Irán, y la historia recientemente revelada de "Fast16" añade un nuevo capítulo a este juego a largo plazo: muestra cómo, además de la presión militar tradicional, a través de una destrucción digital que parece leve pero que en realidad llega profundamente al núcleo, el cronograma y los chips políticos del proyecto nuclear pueden cambiarse sin desencadenar una explosión a gran escala.
En un momento en que Estados Unidos e Israel todavía están tratando de limitar el programa nuclear de Irán a través de presiones y negociaciones, la exposición de "Fast16" se ve como una advertencia: para los responsables de las políticas e ingenieros nucleares de Irán, el llamado "límite de seguridad" se está volviendo cada vez más borroso, y cualquier vínculo -incluso un software de simulación aparentemente neutral y confiable en el laboratorio- puede convertirse en un punto de entrada para saboteadores digitales.