Si los misiles fallan, borran los datos: guía breve sobre las tácticas iraníes de presión en interne
Detrás de los grandes titulares siempre se oculta algo más peligroso.
El agravamiento del conflicto en Oriente Medio tras los ataques de EE. UU. e Israel contra objetivos iraníes podría pronto trasladarse también al ámbito digital. La empresa SentinelOne advirtió a socios y clientes sobre la alta probabilidad de un aumento de ciberataques por parte de estructuras iraníes, que tradicionalmente emplean operaciones cibernéticas como instrumento de presión durante las crisis geopolíticas.
Los analistas de SentinelOne señalan que en los últimos quince años Irán ha desarrollado un ecosistema cibernético avanzado y lo utiliza regularmente para alcanzar objetivos estatales. Los grupos iraníes llevan a cabo operaciones de espionaje, roban credenciales, despliegan programas maliciosos destructivos y emplean presión psicológica mediante campañas informativas. Para encubrir su actividad, con frecuencia crean identidades falsas de "hacktivistas", lo que permite negar un vínculo directo con el Estado.
En el pasado, a este tipo de operaciones se han vinculado los grupos APT34, APT39, APT42 y MuddyWater. Equipos similares han atacado organizaciones militares y civiles, compañías de telecomunicaciones y universidades en Oriente Medio y en EE. UU. Paralelamente, Irán ha llevado a cabo campañas destructivas que usan software para destruir datos, así como operaciones de influencia a través de redes sociales y medios comprometidos.
Según SentinelOne, la actual escalada podría dar lugar a varios tipos de actividad cibernética. En primer lugar, se esperan operaciones puntuales de espionaje contra estructuras de defensa, redes gubernamentales y agencias de inteligencia de Israel y EE. UU. Ese tipo de ataques suelen empezar con correos de phishing y el robo de credenciales, tras lo cual los atacantes obtienen acceso a sistemas internos y extraen información estratégica.
Otro escenario probable está relacionado con intentos de interrumpir el funcionamiento de infraestructuras. Irán ya ha empleado ataques DDoS y software malicioso destructivo contra los sectores energético, del transporte y los servicios financieros. Los analistas consideran que acciones similares podrían repetirse contra objetivos estadounidenses e israelíes, especialmente servicios en línea públicos y sistemas de servicios públicos.
Los especialistas prestan atención particular a las operaciones informativas. Las estructuras iraníes con frecuencia difunden desinformación a través de Telegram y redes sociales, publican filtraciones falsas de documentos y promueven mensajes sobre supuestos ciberataques exitosos o pérdidas militares del adversario. Ese tipo de campañas buscan minar la confianza en las instituciones estatales y moldear la agenda informativa deseada.
El informe también menciona intentos de probar vulnerabilidades en la infraestructura occidental. Anteriormente, las estructuras iraníes ya habían atacado sistemas de tratamiento de agua en EE. UU. a través de controladores industriales vulnerables. Ese tipo de operaciones, según SentinelOne, podrían repetirse en forma de ataques pequeños pero resonantes contra sistemas energéticos, de transporte y de agua.
Al momento de la publicación del informe, SentinelOne no detectó ciberataques directos vinculados a los últimos acontecimientos militares. Sin embargo, los expertos consideran que la situación evoluciona rápidamente y esperan que la actividad de los grupos iraníes pueda intensificarse en los próximos días y semanas.