Las amenazas cibernéticas iraníes suelen figurar en último lugar, junto con otros actores llamados “CRINK”, China, Rusia y Corea del Norte. Sin embargo, los riesgos que plantea el país están aumentando rápidamente, evolucionando desde una simple destrucción de sitios web hasta ataques a infraestructuras nacionales críticas (CNI) y, más recientemente, una interferencia significativa en las elecciones estadounidenses.
En agosto, funcionarios de inteligencia estadounidenses confirmaron que Irán estuvo involucrado en el pirateo de la campaña presidencial de Donald Trump. El FBI, la Oficina del Director de Inteligencia Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijeron en una declaración conjunta que Irán utilizó ingeniería social para infiltrar a personas con “acceso directo a las campañas presidenciales de ambos partidos políticos”.
Así, en septiembre, el New York Times calificó a Irán como la “mayor amenaza de desinformación” en Estados Unidos, afirmando que “no es de extrañar que se culpe al país de una serie de hackeos y sitios web falsos”.
Considerando esto, ¿qué tan grande es la amenaza de Irán y sus países asociados? ¿Y cómo afectará esto a tu negocio?
Amenaza cibernética iraní: una breve cronología
El ataque a la campaña de Trump no es la primera vez que Irán se ve involucrado en un ciberataque de alto perfil. La primera campaña de ciberataques de Irán se produjo después de las elecciones presidenciales de junio de 2009, que provocaron protestas generalizadas en medio de acusaciones de fraude.
“La acalorada campaña electoral ha dado lugar al ascenso del opositor Movimiento Verde, que se ha convertido en el objetivo de un grupo que se autodenomina Ciberejército iraní, que ha lanzado ataques de desfiguración de contenidos en línea que apoyan la protección del medio ambiente”, dijo el máximo responsable de Cyjax. dijo la fuente.
En 2016, se reveló que las actividades de la Fuerza Cibernética iraní estaban supervisadas por el Cuerpo de la Guardia Revolucionaria Islámica (CGRI), la principal rama multimilitar del ejército iraní.
En 2010, Irán fue víctima de un ahora infame ataque patrocinado por el Estado. El gusano de la red Stax, que se cree que está dirigido por Estados Unidos e Israel, apuntó a los sistemas basados en SCADA subyacentes a CNI. El ataque alcanzó una centrífuga en una planta de energía nuclear iraní, descarrilando los planes del país durante años.
En 2012, las agencias de inteligencia estadounidenses vincularon a Irán con el gusano Shamoon, un malware dirigido al CNI. El ataque a la compañía petrolera estatal de Arabia Saudita, Saudi Aramco, marcó un “hito importante” en las operaciones de guerra cibernética en la región, y el ex coronel de inteligencia militar británico Philip Ingram calificó a Shamoun como un “ataque destructivo que causó daños significativos”.
Ciberamenazas iraníes: importancia creciente
Desde entonces, Irán se ha convertido en un “actor importante en el ciberespacio”, dijo Ingram a ITPro. Dijo que Irán “no es un jugador de primer nivel como Rusia o China, pero sigue siendo un jugador sólido de segundo nivel”.
El IRGC está en la primera línea de las operaciones de guerra cibernética de Irán, utilizando tácticas sofisticadas como ransomware, malware y puertas traseras para atacar infraestructuras críticas y datos confidenciales. “El foco del IRGC está principalmente en Medio Oriente, incluidos Israel y Arabia Saudita, así como los intereses de Estados Unidos y el Reino Unido”, añadió Ingram.
Thornton-Trump llamó a Irán la “navaja suiza de las capacidades cibernéticas”, y señaló que Irán ha evolucionado más rápidamente que Rusia y China “probablemente debido al entrenamiento y apoyo de ambos países”.
En febrero de 2024, Microsoft identificó a piratas informáticos afiliados al IRGC que utilizaban IA generada para ayudar en la ingeniería social, solucionar errores de software y evadir la detección en redes comprometidas. Microsoft proporcionó ejemplos detallados de operaciones cibernéticas asistidas por IA iraní y enfatizó la necesidad de descubrir estos primeros esfuerzos antes de que se puedan perfeccionar las estrategias de ataque.
“Irán está constantemente desarrollando y mejorando sus capacidades cibernéticas y, en mi opinión, ahora tiene capacidades a la par de Rusia y China”, advirtió Thornton-Trump.
Grupos de amenaza iraníes notables
Casi todos los grupos de amenaza iraníes destacados están respaldados por el Estado, dijo Giovana Macakanja, analista editorial de CTI en Cyjax. Citó el ejemplo de Imperial Kitten, que se formó en 2017 y cuyos primeros esfuerzos supuestamente apuntaban a veteranos estadounidenses que buscaban trabajo a través de sitios web maliciosos. “El objetivo principal del grupo es recopilar información para el ciberespionaje”, dijo Makakanja.
APT33 ha estado activo desde al menos 2013, pero ganó notoriedad en 2017 por importantes ataques contra los sectores aeroespacial y energético de Estados Unidos y Arabia Saudita. Makakanja dijo que el motivo detrás de los ataques del grupo fue la recopilación de inteligencia. “Roban información, incluida propiedad intelectual e información de identificación personal, para promover los objetivos del Estado iraní”.
APT42 es un grupo de amenaza patrocinado por el estado iraní que se remonta a 2015. “APT42 se especializa en phishing selectivo con ataques de alta ingeniería social destinados a eliminar objetivos específicos de la vigilancia”, dijo Ken Dunham, director de la Unidad de Investigación de Amenazas Cibernéticas de Qualys.
Dunham dijo que APT42 participa en “operaciones de amplio alcance”, incluido el uso de identidades falsas para interactuar con objetivos y recopilar datos en plataformas de redes sociales.
Aleksandar Milenkoski, investigador principal de amenazas de Sentinel Labs, dijo que los presuntos grupos de amenazas iraníes están utilizando una amplia gama de tácticas para obtener acceso inicial, incluido el phishing, la ingeniería social y la explotación de vulnerabilidades.
Por ejemplo, APT42 lleva a cabo “comunicaciones extensas” con organizaciones e individuos específicos para “generar confianza y desarrollar una buena relación” antes de lanzar sus actividades maliciosas, dijo Milenkoski. “Estos grupos utilizan una variedad de métodos de comunicación, incluido el correo electrónico y plataformas de mensajería instantánea como WhatsApp”.
El futuro de las ciberamenazas iraníes
La amenaza de los grupos respaldados por Irán es real y las empresas de todos los sectores deben incorporarla a sus esfuerzos junto con las amenazas de otros países. Las organizaciones con información confidencial se consideran objetivos fáciles, especialmente si están involucradas en el proceso político, dijo Adam Dollar, vicepresidente de inteligencia de ZeroFox.
Teniendo esto en cuenta, aconseja a las empresas que fortalezcan su inteligencia sobre amenazas cibernéticas y garanticen una gestión adecuada de los parches para las vulnerabilidades y las estrategias de respaldo.
Los recursos adicionales, como las recomendaciones de CISA sobre las amenazas a los Estados-nación, se actualizan periódicamente y pueden aumentar los programas internos, añade Darrah. “Estos grupos a menudo apuntan a información confidencial, por lo que las empresas siempre deben realizar copias de seguridad de sus datos en servidores seguros externos o en la nube y hacerlo de forma regular”.
Muchos grupos de amenazas iraníes buscan recopilar credenciales robadas en la web oscura, comprometer cuentas de correo electrónico y recopilar datos, y llevar a cabo más actividades maliciosas, dijo Makakanja. “Prevenir estos intentos de acceso iniciales es clave para proteger a las organizaciones de futuras actividades maliciosas, como el despliegue de puertas traseras y malware, incluido el robo de información”, afirma.
Según Makakanja, el phishing y el phishing son los principales métodos que utilizan estos grupos para acceder a credenciales y cuentas de correo electrónico. “Los usuarios pueden ayudar a mitigar estas amenazas siendo más conscientes de las técnicas de phishing comunes”.
Como parte de esto, recomienda verificar el origen de los correos electrónicos que contienen enlaces y archivos adjuntos, y consultar los sitios web oficiales para obtener números de teléfono y direcciones de correo electrónico de contacto legítimos. “La implementación de la autenticación multifactor (MFA) y el uso de contraseñas únicas y seguras también pueden ayudar a reducir la probabilidad de que la cuenta se vea comprometida”.
https://www.itpro.com/security/cyber-attacks/the-iran-cyber-threat
