Richard Clark, quien durante 11 años, y hasta 2003, fue consejero de seguridad en la Casa Blanca para tres distintos presidentes, considera que Estados Unidos fue el responsable de malware Stuxnet y que Israel sólo realizó un aporte modesto, como por ejemplo en la etapa de pruebas, pero que la iniciativa, desarrollo y ejecución del ataque fue responsabilidad del país gobernado por Obama.
Stuxnet es un gusano informático que atacó específicamente las instalaciones nucleares iraníes en Natanz, donde realizó una acción de sabotaje no detectado contra las centrífugas de enriquecimiento de uranio, interrumpiendo su funcionamiento. El gusano fue detectado en varios lugares del mundo, pero sólo causó daños en Natanz, debido a limitaciones programadas en su código: el sabotaje fue consumado luego de comprobar que concurrían varios factores; entre otros, que los motores de las centrífugas provinieran de dos empresas que no habían distribuido motores a otras instalaciones de enriquecimiento de uranio que no fueran las de Natanz.
La estructura del Stuxnet indica que el gusano debió necesariamente ser diseñado por organizaciones altamente competentes y poderosas. La mayoría de los expertos señaló a Israel y Estados Unidos como responsables directos.
Clarke consideró que un ataque de este tipo no debe ser considerado un acto de guerra, sino una operación secreta. De igual modo, dice haber quedado con la impresión que el ataque también fue consultado con un grupo de abogados de Washington. Fundamentó lo anterior citando la forma en que el código estaba diseñado para cerciorarse de que únicamente las instalaciones de Natanz serían saboteadas. Esto puede deberse, en parte, a disposiciones de derecho internacional, que obligan a las Fuerzas Armadas a hacer todo lo posible por reducir el llamado "daño colateral" a civiles.
Otro indicio habría sido el elemento "TTL" ("time to live" o "tiempo de vida") incorporado en el código. Después de haber cumplido su cometido, ya sea al constatar que no se encontraba en Natanz, o debido a que el sabotaje ya había sido consumado, el gusano estaba programado para autoeliminarse y borrar todas sus huellas.
Sin embargo, el TTL de Stuxnet no funcionó, lo que permitió a numerosos expertos en seguridad informática fuera de Irá revelar el código y, con ello, la operación.
Clarke explicó la situación señalando que el gusano dependía demasiado de la hora del reloj del sistema en que estaba siendo ejecutado. Recordó que quienes instalan versiones pirateadas de Scada casi invariablemente sabotean el reloj con el fin de impedir que el sistema deje de funcionar debido al incumplimiento de la licencia.
Según Clarke, "lo peor de todo es que miles de hackers de todo el mundo han tenido la posibilidad de analizar la mejor ciberarma creada alguna vez por Estados Unidos. El error en el TTL del código fue prácticamente un regalo para el enemigo".
