Irán responde a las bombas de Israel y EEUU con una ofensiva de ataques en el ciberespacio

El pasado 28 de febrero, cuando las primeras bombas de la actual fase de la guerra en Oriente Medio caían sobre radares, baterías y bases aéreas en todo el territorio de Irán, un mensaje de alistamiento recorrió muy diversos rincones de internet, incluidos foros de subasta de datos robados y plataformas de servicios al crimen organizado. "Anunciamos la apertura de una movilización general, y la reunión de recursos y expertos en ciberguerra en la gran batalla épica. Todo el que quiera participar y ser parte de esa batalla debe contactar en nuestra cuenta oficial". Firmaba el llamamiento una marca conocida ya desde hace algunos años en el mundo de la seguridad informática: Cyber Islamic Resistance.

Era un mensaje sin atribución comprobable, pero ese no es necesariamente el factor que cuenta, sino la disposición de esa Ciber Resistencia Islámica a devolver golpes a Israel y Estados Unidos en una campaña de ciberataques de patrocinio iraní. Con el comienzo mismo de los ataques cinéticos, arrancaban los virtuales no solo de los estados de Irán e Israel, también de alianzas de hacktivistas en apoyo de Teherán.

Este martes ya eran 84 los grupos localizados por diversas organizaciones expertas, tan diversas como el laboratorio de vigilancia Unidad 42 de Palo Alto Networks, el 'think tank' estadounidense Centro de Estudios Estratégicos e Internacionales (CSIS), o la propia Europol, uno de cuyos responsables, el portavoz Jan Op Gen Oorth, ha alertado en declaraciones a Efe de que su organización espera en Europa un repunte de la amenaza terroristas, los ciberataques y el crimen online como consecuencia de la guerra.

Objetivos de la 'ciberescalada'

El campo de batalla ciber se ha ido llenando de combatientes: una primera oleada de 60 agrupaciones de activistas de claro impulso iraní e islamista ha engordado ahora con la aportación de una treintena de grupos de hackers -estatales o independientes- que han apoyado a Rusia en ofensivas similares durante la actual guerra de Ucrania. El último recuento es de este martes.

Diversos laboratorios de análisis de ciberataques y equipos de respuesta occidentales analizan dos escalones de objetivos de la campaña de ciberataques de Irán, lo que técnicamente se llama ya "ciberescalada", y que discurre paralela a los bombardeos. Por un lado, dos claros objetivos militares: destruir cualquier tipo de red informática implicada en el Iron Dome, la Cúpula de Hierro de Israel, sistema de defensa antiaérea que cubre Tel Aviv y otras urbes del país de la acción de misiles y drones, y que fue tan efectivo parando los primeros ataques aéreos iranís en el otoño de 2025.

El segundo grupo de objetivos militares de la ciberescalada iraní es todo tipo de redes informáticas de empresas de transporte, suministros y otros servicios a las bases norteamericanas en la península arábiga. Interesan aquí sobre todo las cadenas de suministro de combustible y de agua.

En el segundo escalón de objetivos de esta campaña cibernética están las instituciones financieras y sistemas de pago israelíes, las cámaras de vigilancia callejera de aquel país -no para destruirlas, sino para espiar con ellas-, sistemas energéticos en Israel y sus apoyos del Golfo Pérsico y redes, páginas web y archivos de periodistas, altos funcionarios y científicos que operan en la zona.

Quiénes y cómo

Esta forma de respuesta asimétrica de Irán acuña y fija un concepto de la guerra cibernética: con la escalada cibernética, un Estado menos fuerte que su adversario trata de equilibrar las fuerzas concentrándose en el dominio ciber si en el mundo físico carece de posibilidad de respuesta.

Los ataques más reconocidos en esta fase de la ciberescalada son del tipo de DDoS, o de denegación de servicio por saturación de sites de internet, y los ataques de robo y borrado de datos o de defacement o cambio de la maqueta de la página web de una institución... pero la Ciber Resistencia Islámica ha impartido también instrucciones para introducirse en webs norteamericanas, europeas e israelís mediante técnicas de phising, con correos electrónicos falsos y falsas convocatorias de reuniones por videoconferencia, entre otras técnicas.

De momento, al margen de EEUU e Israel, los países atacantes, han trascendido -sin refrendo oficial- intentos de intrusión en redes de entidades de tres países europeos, Francia, Chipre y Turquía. Fuera de Europa, también han trascendido ataques informáticos a entidades localizadas en la India, Arabia Saudí, Emiratos Árabes Unidos, Omán, Australia, Corea del Sur y Bangladesh.

El grupo MuddyWater ha sido también detectado en intentos de intrusión estos días en sistemas informáticos de empresas menores norteamericanas. Entrar en redes de empresas pequeñas es la forma de avanzar hacia las grandes, si esas empresas pequeñas son proveedoras o clientes de las otras y contactan por email. MuddyWater está identificado por el CNI, a través del Centro Criptológico Nacional, en su informe anual sobre amenazas, como "actor estatal" que depende del Ministerio de Inteligencia y Seguridad de Irán.

En el bando más afín a Irán militan agrupaciones de hackers como Cyber Av3ngers, versión estatal de la autónoma Cyber4vengers. Además, dos plataformas iranís supuestamente estatales, Rippersec y Handala Hack, y una constelación de grupos que aparecen intermitentemente en los informes de ciberseguridad occidentales: Jangir, Gaza Children's Group, Tharallah Brigade...

Los aliados prorrusos que participan en la misma campaña son, además del conocido NoName057 (16), Mornign Star, Cardinal y SweetNigth entre otros.

Expertos de Palo Alto Networks ven algo similar en los ataques informáticos y en los ataques con misiles y drones, ambos de origen iraní, que tratan de extender la guerra. Es, en origen, "la degradación del Mando y Control de Irán", fruto de los bombardeos norteamericanos e israelís. Eso, traducido a la campaña de la Cíber Resistencia Islámica, "podría generar autonomía táctica para células fuera de Irán".

"Sabemos tus crímenes"

No solo Irán está golpeando en el dominio ciber. Israel lo hace desde el principio de esta fase de la guerra. Entre sus acciones está la irrupción de hackers israelís en BadeSaba, principal web religiosa de Irán, que informa del calendario litúrgico y de las horas de oración. Sus contenidos fueron cambiados por una amenaza a la cúpula de la dictadura por masacrar a la oposición.

Más reciente ha sido el envío selectivo de mensajes a individuos de la estructura paramilitar del régimen de los ayatolás, relatado por diversos especialistas occidentales en ciberseguridad. El último conocido corrió el pasado 8 de marzo. Los mensajes llovieron en las cuentas de Telegram y otras redes de los miembros del Basich, una división de voluntarios, organización paramilitar bajo las órdenes de la Guardia Revolucionaria de Irán.

Al recibir el mensaje, el destinatario comprueba de facto que figura en un fichero de la inteligencia militar israelí. Ese es el primer efecto; el segundo está en la amenaza: al cumplirse una semana de bombardeos, con las columnas de humo flotando sobre Teherán y otros enclaves del país, mientras Donald Trump anunciaba desde Estados Unidos que lo más duro estaba por llegar, el oficial basich podía leer en su móvil: "Estás totalmente bajo nuestra vigilancia. Conocemos los crímenes que cometiste contra el pueblo de Irán. Donde quiera que estés eres nuestro objetivo. Ríndete o huye para salvar tu inútil vida. No habrá más avisos".

Suscríbete para seguir leyendo