La matemática ya no es una ciencia exacta: cómo un único controlador hizo que las computadoras industriales mintieran a los ingenieros durante años
Las pistas apuntan a un código secreto de hace veinte años.
La empresa SentinelOne en la reciente conferencia Black Hat Asia presentó un informe sobre fast16 — una plataforma maliciosa presuntamente creada ya en 2005. Los autores del trabajo fueron Vitaly Kamluk y Juan Andrés Guerrero-Saade. Según ellos, fast16 pudo haberse usado incluso antes de la legendaria Stuxnet y estaba orientada no al espionaje convencional, sino a distorsionar de forma oculta los resultados de simulaciones de ingeniería.
Los especialistas en ciberseguridad de Antiy analizaron las conclusiones de SentinelOne y reconocieron el alto nivel técnico del informe, pero impugnaron algunas interpretaciones. El equipo chino señaló que Stuxnet se empleó por primera vez no en 2010, cuando el gusano fue detectado públicamente por VirusBlokAda, sino antes — durante la operación contra la instalación nuclear iraní en Natanz. Por eso Antiy considera incorrecta la tesis de un «desplazamiento de la historia del ciber-sabotaje de cinco años».
El peligro principal de fast16 está relacionado con el controlador «fast16.sys». Tras infectar el sistema, el módulo inspeccionaba el entorno e instalaba el controlador solo si no había medidas de defensa evidentes. A continuación, el componente en el núcleo de Windows monitorizaba el inicio de programas de ingeniería especializados y modificaba sin ser detectado los resultados de los cálculos en coma flotante.
En el informe se mencionan tres objetivos: LS-DYNA, PKPM y MOHID. Estos conjuntos se utilizan para el modelado en ingeniería nuclear, construcción, hidrodinámica y gestión de recursos hídricos. Pequeñas desviaciones en los cálculos podían acumularse y conducir a decisiones de diseño erróneas que se descubrirían meses o años después.
Antiy interpreta fast16 como un ejemplo de operación cibernética militar, no como una herramienta de inteligencia. Según los autores del análisis, la plataforma se acerca al tipo de operaciones cuyo objetivo es la manipulación de datos y el efecto físico a través de decisiones erróneas de ingenieros. Este enfoque difiere de Stuxnet: aquel dejaba fuera de servicio directamente a las centrifugadoras, mientras que fast16 podía causar daños diferidos, de difícil investigación.
Una sección separada del análisis de Antiy está dedicada al contexto político de la publicación de SentinelOne. La empresa vincula la aparición del informe con la tensión en torno a Irán y considera que la demostración de las capacidades de fast16 actúa como un elemento de presión psicológica. Al mismo tiempo, Antiy reconoce que el hallazgo en sí tiene un valor técnico serio y muestra el nivel de madurez de los atacantes, capaces de mantener el sigilo durante años y de comprender la lógica interna del software de ingeniería.