Los 4 Zero-Days de Stuxnet: Anatomía de un Arma Cibernética (2010)

Cuatro balas de plata en un solo cargador

En junio de 2010, la empresa de seguridad bielorrusa VirusBlokAda descubrió un malware inusual en máquinas de clientes iraníes. Lo que inicialmente parecía un rootkit convencional resultó ser algo sin precedentes: un arma cibernética diseñada para sabotear las centrifugadoras de enriquecimiento de uranio de la planta nuclear de Natanz, en Irán.

Stuxnet no era simplemente sofisticado. Era una categoría nueva de amenaza. Y lo que lo hacía técnicamente excepcional no era solo su payload (la manipulación de PLCs Siemens S7-300 que controlaban las centrifugadoras) sino su arsenal de penetración: cuatro vulnerabilidades zero-day de Windows utilizadas simultáneamente, más dos certificados de firma digital robados a empresas taiwanesas.

En un mundo donde un solo zero-day puede valer entre 500.000 y un millón de dólares en el mercado gris, quemar cuatro en una sola operación era una declaración de recursos y determinación. El análisis técnico de estos cuatro zero-days revela no solo cómo funcionaban individualmente, sino cómo encajaban en una cadena de ataque diseñada con precisión quirúrgica.

El contexto: por qué cuatro zero-days

Stuxnet tenía un problema operativo que ningún malware convencional enfrenta: su objetivo final (las centrifugadoras IR-1 de Natanz) estaba en una red air-gapped, completamente desconectada de Internet. No había posibilidad de enviar un exploit por correo electrónico, comprometer un servidor web, o utilizar cualquier vector que requiriera conectividad de red con el exterior.

La cadena de ataque necesitaba resolver cuatro problemas distintos:

1. Entrada: ¿cómo llegar a una red sin conexión a Internet?
2. Propagación: ¿cómo moverse lateralmente dentro de la red hasta alcanzar las máquinas con el software Step7 de Siemens?
3. Escalada de privilegios: ¿cómo obtener acceso de kernel para instalar un rootkit que ocultara la manipulación?
4. Persistencia invisible: ¿cómo mantener los drivers del rootkit instalados sin disparar alarmas?

Cada zero-day respondía a uno o más de estos problemas. Los certificados robados resolvían el cuarto.

Zero-Day 1: CVE-2010-2568 (LNK Shell Icon Loading)

El vector de entrada

Boletín: MS10-046 (agosto 2010) Componente: shell32.dll (Windows Shell) Impacto: Ejecución de código remoto sin interacción del usuario Sistemas afectados: Windows XP, Vista, 7, Server 2003, Server 2008

Esta fue la vulnerabilidad más ingeniosa de las cuatro y la que resolvía el problema más difícil: la entrada a una red air-gapped.

El mecanismo: carga de iconos CPL

Windows Explorer renderiza los iconos de los archivos en una carpeta cuando el usuario la abre. Para la mayoría de archivos, el icono se extrae del propio archivo ejecutable o de un icono registrado en el sistema. Pero los archivos de acceso directo (.lnk) tienen un mecanismo especial: pueden especificar un archivo externo como fuente del icono.

Los archivos .cpl (Control Panel applets) son DLLs con una extensión diferente. Cuando un archivo .lnk señalaba a un .cpl como fuente de icono, Windows Explorer utilizaba LoadLibrary() para cargar el archivo .cpl y extraer su recurso de icono. El problema: LoadLibrary() no solo carga la DLL en memoria para leer sus recursos, sino que ejecuta su función de entrada DllMain() como parte del proceso de carga.

El flujo del exploit:

1. USB insertado en la máquina
2. Windows Explorer abre la vista del contenido del USB
3. Explorer encuentra archivo .lnk con icono apuntando a .cpl
4. Explorer llama a LoadLibrary("archivo_malicioso.cpl")
5. LoadLibrary() ejecuta DllMain() del .cpl
6. DllMain() ejecuta el payload de Stuxnet

No hacía falta que el usuario hiciera doble clic en nada. Bastaba con que Explorer renderizara el directorio, algo que ocurría automáticamente al insertar un USB o al navegar a la carpeta.

La implementación en Stuxnet

Stuxnet colocaba en el USB cuatro archivos:

• ~WTR4141.tmp: el archivo .lnk con la referencia al icono malicioso
• ~WTR4132.tmp: la DLL maliciosa disfrazada de .cpl
• Dos archivos adicionales que formaban parte de la carga útil principal

Cuando el USB se insertaba en una máquina Windows, Explorer renderizaba el directorio, cargaba la DLL a través del mecanismo de iconos CPL, y Stuxnet se ejecutaba con los privilegios del usuario actual.

Por qué era tan efectivo contra air-gap

Este exploit era perfecto para el escenario de Natanz. Los ingenieros que trabajaban en la planta usaban memorias USB para transferir datos y actualizaciones de software entre máquinas. La red interna no tenía conexión a Internet, pero los USBs creaban puentes físicos. El exploit LNK garantizaba que cualquier máquina Windows que mostrara el contenido de un USB infectado se comprometiera automáticamente.

Microsoft parcheó la vulnerabilidad en agosto de 2010 con MS10-046, pero el parche inicial fue incompleto. En 2015, los investigadores descubrieron que la corrección podía eludirse (CVE-2015-0096), y Microsoft tuvo que publicar un segundo parche.

Zero-Day 2: CVE-2010-2729 (Windows Print Spooler RCE)

La propagación lateral

Boletín: MS10-061 (septiembre 2010) Componente: Windows Print Spooler Service (spoolsv.exe) Impacto: Ejecución de código remoto a través de la red Sistemas afectados: Windows XP, Vista, 7, Server 2003, Server 2008

Una vez dentro de la red a través del USB, Stuxnet necesitaba moverse lateralmente para alcanzar las máquinas que ejecutaban el software Step7 de Siemens. El exploit del Print Spooler proporcionaba esta capacidad.

El mecanismo

El servicio Windows Print Spooler gestiona las colas de impresión y las impresoras compartidas en red. El exploit aprovechaba una vulnerabilidad en cómo el servicio manejaba las solicitudes de impresión enviadas a impresoras compartidas.

Un atacante (o en este caso, Stuxnet) podía enviar una solicitud de impresión especialmente construida a una impresora compartida en otra máquina de la red. La solicitud incluía un archivo que se escribía en el directorio del sistema de la máquina remota en lugar de en el directorio temporal del spool de impresión. Stuxnet utilizaba esta capacidad para escribir un ejecutable malicioso directamente en el directorio %SYSTEM% de la máquina objetivo.

1. Stuxnet identifica impresora compartida en máquina objetivo
2. Envía solicitud de impresión con payload malicioso
3. Vulnerabilidad en el Spooler escribe el archivo en directorio del sistema
4. Archivo se ejecuta con privilegios SYSTEM (el Spooler corre como SYSTEM)

Este vector era especialmente valioso en entornos industriales donde las impresoras se compartían en red entre estaciones de trabajo de ingeniería, y donde el servicio Print Spooler estaba siempre activo.

Impacto post-Stuxnet

La familia de vulnerabilidades del Print Spooler de Windows no terminó con CVE-2010-2729. En 2021, la vulnerabilidad PrintNightmare (CVE-2021-34527) demostró que el Print Spooler seguía siendo una superficie de ataque fértil más de una década después de Stuxnet. La arquitectura fundamental del servicio, que requiere privilegios elevados y procesa datos de la red, lo convierte en un objetivo recurrente.

Zero-Day 3: CVE-2010-3338 (Task Scheduler Privilege Escalation)

La escalada al kernel

Boletín: MS10-092 (diciembre 2010) Componente: Windows Task Scheduler Impacto: Escalada de privilegios local (user to SYSTEM) Sistemas afectados: Windows Vista, 7, Server 2008

Stuxnet necesitaba privilegios de kernel para instalar sus drivers de rootkit (mrxcls.sys y mrxnet.sys). Si el exploit LNK proporcionaba ejecución con los privilegios del usuario que navegaba el USB, esos privilegios podían ser insuficientes: en muchos entornos corporativos, los usuarios operan con cuentas limitadas.

El mecanismo

El Programador de Tareas de Windows (Task Scheduler) almacena las definiciones de tareas programadas como archivos XML. En Windows Vista y 7, el servicio Task Scheduler verificaba la integridad de estos archivos XML usando un hash CRC32 almacenado como atributo de seguridad del archivo.

La vulnerabilidad residía en que el CRC32 no es una función criptográfica: es posible crear un archivo XML modificado que produce el mismo hash CRC32 que el original (colisión de hash). Stuxnet modificaba una tarea programada existente que se ejecutaba con privilegios SYSTEM, reemplazando su contenido con código malicioso mientras mantenía el hash CRC32 intacto.

Cuando el servicio Task Scheduler ejecutaba la tarea modificada, el payload de Stuxnet se ejecutaba con privilegios SYSTEM, proporcionando el nivel de acceso necesario para instalar los drivers del rootkit.

1. Stuxnet identifica tarea programada existente que corre como SYSTEM
2. Modifica el XML de la tarea, insertando su payload
3. Calcula colisión CRC32 para mantener el hash original
4. Task Scheduler ejecuta la tarea modificada con privilegios SYSTEM
5. Payload instala los drivers del rootkit

Relevancia de la escalada

Sin este zero-day (o el siguiente, CVE-2010-3888, que servía como alternativa), Stuxnet no podría haber instalado su rootkit a nivel de kernel. Y sin el rootkit, la manipulación de los PLCs habría sido detectable por los operadores de la planta. La escalada de privilegios era el puente entre la infección a nivel de usuario y el sabotaje invisible a nivel de control industrial.

Zero-Day 4: CVE-2010-3888 (win32k.sys EoP)

La escalada alternativa

Boletín: MS11-011 (estimado, parcheado en 2011) Componente: win32k.sys (Windows Kernel-mode Driver) Impacto: Escalada de privilegios local (user to kernel) Sistemas afectados: Windows XP, Vista, 7

El cuarto zero-day era una vulnerabilidad de escalada de privilegios en win32k.sys, el driver de kernel que gestiona el subsistema de ventanas y la interfaz gráfica de Windows. Este componente es históricamente una fuente prolífica de vulnerabilidades de escalada de privilegios debido a su complejidad y a su ejecución en modo kernel.

El mecanismo

La vulnerabilidad estaba relacionada con el manejo de layouts de teclado (keyboard layouts) en win32k.sys. El driver procesaba estructuras de datos de layout de teclado proporcionadas por el usuario sin validar correctamente ciertos campos, lo que permitía una escritura arbitraria en memoria del kernel.

El exploit:

1. Carga de layout de teclado malicioso: Stuxnet invocaba funciones de la API de Windows para cargar un layout de teclado personalizado con estructuras de datos manipuladas
2. Escritura en memoria de kernel: el procesamiento del layout corrupto causaba que win32k.sys escribiera datos controlados por el atacante en una dirección de memoria del kernel también controlada por el atacante
3. Redirección de flujo: la escritura modificaba una estructura del kernel para redirigir la ejecución al código de Stuxnet
4. Ejecución en modo kernel: el código de Stuxnet se ejecutaba con privilegios de kernel completos

Redundancia operativa

Stuxnet incluía dos escaladas de privilegios (CVE-2010-3338 y CVE-2010-3888) como medida de redundancia. CVE-2010-3338 (Task Scheduler) solo funcionaba en Windows Vista y 7. CVE-2010-3888 (win32k.sys) funcionaba en XP, Vista y 7. En entornos industriales, Windows XP era extremadamente común (y lo sigue siendo en muchos casos), por lo que la escalada alternativa garantizaba que Stuxnet pudiera operar en toda la base instalada de Windows que encontrara en Natanz.

Los certificados robados: la quinta pieza

Realtek y JMicron

Además de los cuatro zero-days, Stuxnet utilizaba certificados de firma de código robados de dos empresas taiwanesas:

Realtek Semiconductor: uno de los drivers de Stuxnet (mrxcls.sys) estaba firmado con un certificado válido de Realtek, empresa conocida por sus chips de red y audio.

JMicron Technology: cuando el certificado de Realtek fue revocado tras el descubrimiento de Stuxnet, una variante posterior usaba un certificado de JMicron, fabricante de controladores de almacenamiento.

Ambas empresas tenían sede en el Hsinchu Science Park de Taiwán, un parque tecnológico donde también se encuentran TSMC, MediaTek y otras empresas de semiconductores. La proximidad geográfica sugiere que los certificados pudieron ser obtenidos mediante una operación dirigida a la cadena de suministro o a la infraestructura del parque.

Por qué eran necesarios

Windows Vista introdujo la Kernel Mode Code Signing Policy (KMCS): los drivers de kernel debían estar firmados digitalmente con un certificado de un editor verificado por una autoridad de certificación reconocida. Sin una firma válida, Windows rechazaba la carga del driver.

Stuxnet necesitaba cargar dos drivers de kernel:

• mrxcls.sys: el driver principal del rootkit que interceptaba las comunicaciones entre Step7 y los PLCs, inyectando las modificaciones en los comandos enviados a las centrifugadoras
• mrxnet.sys: un driver de filtro del sistema de archivos que ocultaba los archivos de Stuxnet en el disco

Sin los certificados robados, estos drivers no habrían podido cargarse en Windows Vista o 7 sin disparar advertencias de seguridad. En Windows XP, la firma no era obligatoria pero sí reducía las alertas.

Técnica MITRE: T1553.002 (Code Signing)

El uso de certificados robados se mapea directamente a la técnica T1553.002 de MITRE ATT&CK (Subvert Trust Controls: Code Signing). Stuxnet fue uno de los primeros casos documentados de uso de certificados legítimos robados para firmar malware, un patrón que se ha repetido en ataques sofisticados posteriores (el ataque a SolarWinds en 2020 también involucró la firma de código malicioso con certificados legítimos).

La cadena completa

Con los cuatro zero-days y los certificados, la cadena de ataque de Stuxnet operaba así:

FASE 1: ENTRADA (CVE-2010-2568)
  USB infectado → Windows Explorer renderiza directorio
  → LoadLibrary() carga DLL maliciosa como icono CPL
  → Stuxnet se ejecuta con privilegios del usuario

FASE 2: ESCALADA (CVE-2010-3338 o CVE-2010-3888)
  Stuxnet detecta SO → elige exploit apropiado
  → Vista/7: explota Task Scheduler (CRC32 collision)
  → XP: explota win32k.sys (keyboard layout)
  → Obtiene privilegios SYSTEM/kernel

FASE 3: ROOTKIT (certificados Realtek/JMicron)
  Instala mrxcls.sys (firmado con cert robado)
  → Windows acepta la firma como válida
  → Driver se carga en kernel sin alertas
  Instala mrxnet.sys para ocultar archivos

FASE 4: PROPAGACIÓN (CVE-2010-2729 + MS08-067 + MS10-061)
  Print Spooler RCE → máquinas con impresoras compartidas
  MS08-067 → máquinas sin parche en red interna
  USB → nuevos dispositivos extraíbles

FASE 5: PAYLOAD (Step7 + PLCs)
  mrxcls.sys intercepta comunicación Step7 → PLC
  → Modifica frecuencia de centrifugadoras (entre 1410 Hz y 2 Hz)
  → Envía datos normales falsos a la interfaz del operador
  → Centrifugadoras se dañan gradualmente

Valoración del arsenal

Estimación del coste de los zero-days

El mercado de zero-days es opaco, pero existen referencias. Zerodium (fundado en 2015 como evolución de Vupen) publica precios de referencia. Aplicando estimaciones conservadoras al contexto de 2010:

Zero-day	Tipo	Estimación 2010	Estimación actual
CVE-2010-2568 (LNK)	RCE sin interacción	$500K - $1M	$1M - $2M
CVE-2010-2729 (Print Spooler)	RCE de red	$200K - $500K	$500K - $1M
CVE-2010-3338 (Task Scheduler)	EoP a SYSTEM	$100K - $250K	$200K - $500K
CVE-2010-3888 (win32k.sys)	EoP a kernel	$100K - $250K	$300K - $500K
Certificados robados (x2)	Code signing	$100K - $200K	$200K - $500K
Total estimado		$1M - $2.2M	$2.2M - $4.5M

El hecho de "quemar" (revelar y hacer parchear) un arsenal valorado en millones de dólares para una sola operación es algo que solo un actor estatal con presupuesto de inteligencia puede permitirse. Un grupo criminal conservaría los zero-days para múltiples operaciones con retorno económico.

Precedente sin retorno

Antes de Stuxnet, el uso de zero-days era conservador: un atacante usaba uno, quizá dos, y los protegía cuidadosamente. Stuxnet demostró que un actor estatal estaba dispuesto a invertir un arsenal completo en una sola operación con un objetivo estratégico claro.

Este precedente cambió el cálculo de riesgo para los defensores: si un atacante con recursos suficientes está dispuesto a quemar cuatro zero-days para alcanzar un objetivo, la defensa basada en parchear vulnerabilidades conocidas es insuficiente. Las mitigaciones de diseño (ASLR, DEP, sandboxing, principio de mínimo privilegio) se vuelven la línea de defensa primaria, porque no dependen de conocer la vulnerabilidad específica que el atacante usará.

Análisis MITRE ATT&CK

Fase	Técnica	Zero-day/recurso
Acceso inicial	T1091 (Replication via Removable Media)	CVE-2010-2568 (USB + LNK)
Ejecución	T1203 (Exploitation for Client Execution)	CVE-2010-2568 (LoadLibrary CPL)
Propagación	T1210 (Exploitation of Remote Services)	CVE-2010-2729 (Print Spooler)
Escalada de privilegios	T1068 (Exploitation for Privilege Escalation)	CVE-2010-3338, CVE-2010-3888
Evasión de defensas	T1553.002 (Code Signing)	Certificados Realtek y JMicron
Persistencia	T1547.006 (Kernel Modules and Extensions)	Drivers mrxcls.sys, mrxnet.sys
Impacto	T1565.001 (Stored Data Manipulation)	Modificación de comandos PLC

El legado técnico

Los cuatro zero-days de Stuxnet marcaron un punto de inflexión en múltiples dimensiones:

Para los defensores: la premisa de que "parchear vulnerabilidades conocidas es suficiente" quedó destruida. Si un atacante puede desplegar cuatro zero-days simultáneamente, la defensa debe ser arquitectónica (reducir superficie de ataque, segmentar redes, monitorizar comportamiento anómalo) y no solo reactiva.

Para los investigadores: Stuxnet demostró que el análisis de malware podía revelar las capacidades ofensivas de actores estatales. Los zero-days encontrados en Stuxnet proporcionaron inteligencia sobre el tipo de vulnerabilidades que los programas ofensivos gubernamentales desarrollaban o adquirían.

Para la industria de zero-days: el mercado de vulnerabilidades se profesionalizó. Empresas como Vupen (luego Zerodium), Immunity Inc., y brokers gubernamentales establecieron precios y procesos de adquisición formales. Los zero-days se convirtieron explícitamente en activos estratégicos con valor económico cuantificable.

Para los sistemas industriales: Stuxnet reveló que los sistemas SCADA/ICS, diseñados en una era de aislamiento físico, eran vulnerables a ataques sofisticados incluso en redes air-gapped. El sector industrial tardó años en asimilar esta lección, y muchas plantas industriales siguen operando con sistemas vulnerables.

Los cuatro zero-days de Stuxnet fueron, en retrospectiva, la demostración más clara de que la ciberseguridad había dejado de ser un problema exclusivamente técnico para convertirse en un asunto de seguridad nacional y geopolítica.