Hace más de un año que saltó a la fama el gusano Stuxnet. En ese momento muchos lo nombraron como el primer gran virus informático orientado a la industria, un gusano que parecía diseñado para atacar al programa nuclear iraní cuyo análisis por expertos marcaban una hoja de ruta clara en Stuxnet, atacar los equipos que controlan los procesos productivos para conseguir reprogramar y obtener información de los mismos. Bien, pasado poco más de un año Symantec anuncia el descubrimiento de el "hijo de Stuxnet", Duqu, un nuevo malware que utiliza las mismas técnicas que el gusano infectando varios sistemas e infraestructuras en Europa.
La firma de seguridad asegura tras los análisis que Duqu contiene partes idénticas a Stuxnet hasta tal punto que parece haber sido escrito por los mismos autores o por alguien que ha tenido acceso directo al código fuente. Al igual que el gusano encontrado en las plantas nucleares de Irán, Duqu se enmascara como un código legítimo a través de archivos con certificados digitales validados. Symantec afirma que los certificados pertenecen a una empresa con sede en Taiwán aunque se han negado a identificarla.
Más tarde fue F-Secure la firma de seguridad que revelaba el nombre de la compañía como C-Media Electronics Incorporation en Taipei. El certificado vencía el 2 de agosto del 2012 pero al parecer fue revocado el 14 de octubre poco después de que Symantec comenzara a examinar el malware.
A diferencia de Stuxnet, Duqu no es un gusano, no busca propagarse ni se replica, es más ligero ya que no contiene una carga destructiva en el hardware de la manera que lo hacía el gusano. A cambio, el análisis lo reconoce como un posible precursor de algo mucho más grande. Desde Symantec se afirma que su creación y diseño busca llevar a cabo el reconocimiento de un sistema de control industrial desconocido, de ser capaz de recabar información en áreas de inteligencia con el fin de que más adelante se pueda definir un ataque dirigido más efectivo.
Liam O Murchu, experto en el gusano Stuxnet, ha colaborado con Symantec en el estudio del malware encontrado publicando un artículo sobre el mismo y explicando lo siguiente:
Ambos tienen el mismo origen y se asemejan en demasiadas cosas. Cuando hablábamos de Stuxnet anteriormente esperábamos que hubiese otro componente que no habíamos visto y que reunía información acerca de cómo funcionaba la planta. Finalmente nunca lo vimos, pero Duqu puede ser la clave de lo que buscábamos.
Lo más sorprendente del caso es que Duqu, tenga o no conexión directa con Stuxnet, ha continuado operando hasta hace poco después de toda la publicidad que se le dio al gusano. Ha estado claramente operativo durante este año y es muy probable que la información que ha estado reuniendo vaya a ser utilizada para un nuevo ataque. Estamos completamente sorprendidos y se trata de un tema muy delicado
Quizá la mayor gravedad del asunto son estas últimas palabras de Murchu. Duqu habría estado operativo durante todo este 2011 y se cree que los ataques con el malware habrían empezado desde el mes de diciembre del 2010, cinco meses después de descubrirse Stuxnet y unos 18 meses después de que el gusano se hubiera puesto en marcha por primera vez.
Por ahora y hasta que no se avance en la investigación, la firma de seguridad sólo ofrece pistas de su actividad en Europa, sin ofrecer nombres de países y habiendo infectado al menos a 10 infraestructuras con origen no revelado. Sí se sabe que está configurado para ejecutarse durante 36 días, momento en el se elimina del equipo infectado.
Faltaría por saber lo más importante para esclarecer la razón del mismo, su origen, de donde viene y para qué fue construido. Si Stuxnet fue descubierto a raíz de una memoria USB infectada, Duqu mantiene el enigma de su propagación.