Espionaje, desinformación y ataques: las multinacionales de ciberseguridad detallan sobre la “guerra invisible” en el conflicto de Irán
No se ve el fuego, ni el humo, ni la estela de los misiles, pero internet se ha convertido en otro de los escenarios, aunque invisible, de la guerra en Irán, y durante las últimas semanas han proliferado las amenazas y los ataques en el ciberespacio, el espionaje y las campañas de desinformación.
Varias de las multinacionales especializadas en el campo de la ciberseguridad, que monitorean de una forma continua esas amenazas a través de sus ‘laboratorios’ de investigación, han alertado del aumento de los ataques, algunos de ellos muy sofisticados, y entre ellos los llamados wiper, diseñados para borrar de forma irreversible los datos de un sistema informático infectado, y que no persiguen el beneficio económico, sino el sabotaje y la destrucción de información.
Alertan además las grandes compañías del sector de la ciberseguridad de cómo el conflicto es utilizado por actores que no están directamente implicados en el mismo para lanzar campañas de pishing (captación de datos privados falsificando páginas que el usuario conoce), cómo se dispara el hacktivismo para promover causas políticas o religiosas, o cómo aumentan las reivindicaciones poco verificadas en algunos canales y redes sociales.
Confluyen así el espionaje, el sabotaje, la propaganda y los ataques oportunistas, con el riesgo que eso supone para los gobiernos, las empresas y las infraestructuras críticas.
El responsable global de Operaciones de la empresa de ciberseguridad Panda Security, Hervé Lambrert, ha subrayado que en contextos de tensión geopolítica como este suele registrarse un aumento de la actividad en el ciberespacio, y que en esos escenarios es habitual la aparición de campañas de desinformación, intentos de phishing vinculados a la actualidad y movimientos de grupos organizados con distintos objetivos, como el espionaje o la desestabilización.
Ataques cada vez más sofisticados
En declaraciones a EFE, Lambrert ha precisado que los ataques más frecuentes en estos casos son los de pishing y los basados en la ‘ingeniería social’, que se aprovechan del miedo y de la urgencia informativa; las campañas de desinformación en redes sociales; y los ataques dirigidos a infraestructuras críticas o las cadenas de suministro.
“El objetivo no siempre es destruir, muchas veces es robar información o generar caos”.
El responsable de esta empresa cuestiona que las organizaciones estén suficientemente preparadas, ya que los ataques “son cada vez más sofisticados” porque están financiados y organizados como empresas y explotan “lo de siempre: el error humano”, y ha asegurado que una parte importante de esos ataques siguen ‘entrando’ por fallos básicos de ciberseguridad y no por una tecnología avanzada.
La multinacional estadounidense Palo Alto Networks, que monitoriza este tipo de ataques a través de su ‘unidad de inteligencia’ (Unit 42), ha analizado varios incidentes recientes que han afectado a organizaciones de Israel y Estados Unidos en el contexto del conflicto con Irán, y ha apuntado a la actividad de grupos (conocidos como ‘Handala Hack’) que están vinculados al Ministerio de Inteligencia y Seguridad iraní.
Esta empresa ha explicado en uno de sus informes que el principal vector de ataque observado en esas operaciones es la explotación de identidades mediante campañas de pishing y el abuso de privilegios administrativos, especialmente a través de herramientas de gestión empresarial como Microsoft Intune, y ha observado que los atacantes buscan cuentas con privilegios elevados y accesos permanentes, lo que les permite ejecutar acciones destructivas de forma inmediata, como el borrado masivo de dispositivos.
Atacantes ‘oportunistas’ al margen del conflicto
También especializada en el sector de la ciberseguridad y el cumplimiento normativo, la empresa Proofpoint ha detectado un aumento de la ‘ciberactividad proestado’ que apunta a entidades gubernamentales y diplomáticas de Oriente Próximo, y también que grupos de amenaza iraníes han permanecido activos a pesar del cierre de internet por parte del gobierno iraní inmediatamente después de los primeros ataques de Estados Unidos e Israel.
Ha citado el caso del grupo ‘TA453’, que ha llevado a cabo un intento de robo de credenciales contra un laboratorio de ideas estadounidense, múltiples amenazas avanzadas que empezaron a usar el conflicto como señuelo y varias campañas ‘maliciosas’ lanzadas por grupos alineados con China, Bielorrusia o Pakistán, y ha subrayado la idea de que para muchos de estos ciberdelincuentes la guerra es “una manera oportunista” de realizar sus operaciones rutinarias de inteligencia.
En el mismo sentido, la multinacional estadounidense Fortinet, a través de su departamento de investigación de ciberamenazas (FortiGuard Labs) ha alertado también de un aumento de la actividad digital vinculada al conflicto , que incluye acciones de hacktivismo con afiliaciones poco claras, reivindicaciones “recicladas” de ataques, desfiguración de sitios web, interrupciones de transmisiones y comunicaciones e intentos “oportunistas” de intrusión.
Sus expertos han constatado en uno de sus últimos informes que en situaciones de tensión geopolítica el ciberespacio se convierte en un frente adicional de guerra, en el que incluso algunos actores que no están directamente implicados aprovechan el caos para lanzar sus campañas de phishing, malware o de desinformación, además de ataques contra medios de comunicación, aplicaciones civiles e infraestructuras digitales, y reivindicaciones poco verificadas en redes y canales como Telegram.
Con información de EFE
Minuto a minuto
