El actual conflicto en Irán está teniendo también un reflejo en el ámbito digital. Investigadores de amenazas de Proofpoint, compañía especializada en ciberseguridad y cumplimiento normativo, han detectado un incremento significativo de la actividad cibernética proestado dirigida principalmente contra entidades gubernamentales y diplomáticas de Oriente Próximo.
Según el análisis de la empresa, varios grupos de amenazas vinculados a Irán han mantenido su actividad incluso después del cierre de internet decretado por el gobierno iraní tras los primeros ataques de Estados Unidos y Israel. Entre ellos destaca el grupo conocido como TA453 —también identificado como Charming Kitten, Mint Sandstorm o APT42—, que ha intentado llevar a cabo un ataque de phishing de credenciales contra un think tank estadounidense. No obstante, los investigadores señalan que el intercambio de correos electrónicos con el objetivo había comenzado antes del inicio del conflicto, por lo que se trataría de una operación habitual dentro de su lista de objetivos.
La escalada del conflicto ha servido además como señuelo para operaciones de espionaje digital por parte de múltiples actores. De acuerdo con el informe de Proofpoint, diversos grupos de amenazas avanzadas comenzaron a utilizar el contexto de la guerra en sus campañas apenas entre 24 y 72 horas después del inicio de las hostilidades.
El análisis indica que, además de actores iraníes, grupos alineados con países como China, Bielorrusia o Pakistán han puesto en marcha campañas maliciosas aprovechando la situación. Para estos ciberdelincuentes, el conflicto representa una oportunidad para llevar a cabo operaciones rutinarias de inteligencia en el ciberespacio.
Entre las técnicas detectadas se encuentra el uso de cuentas de correo electrónico ministeriales comprometidas, utilizadas para aumentar la credibilidad de los mensajes y evadir sistemas de defensa. Además, los investigadores han identificado varios grupos de ciberdelincuencia que no habían sido rastreados anteriormente y que han lanzado rápidamente campañas de phishing relacionadas con la temática del conflicto.
Los ataques también incorporan técnicas de precisión como el geocercado, mediante las cuales los atacantes distribuyen selectivamente cargas útiles o páginas destinadas a la recolección de credenciales, muchas de ellas diseñadas para suplantar servicios de Microsoft. En algunos casos, los expertos han observado incluso el despliegue completo del software de simulación de amenazas Cobalt Strike.
Desde Proofpoint señalan que “la guerra en Irán está funcionando tanto como pretexto de ingeniería social como para impulsar una carrera de inteligencia más amplia en el ciberespacio”. Mientras los actores iraníes continúan centrados en sus objetivos tradicionales de espionaje, combinando estas acciones con campañas disruptivas en apoyo de intereses militares, otros grupos estatales buscan recabar información estratégica sobre la posición, evolución e implicaciones geopolíticas del conflicto mediante ataques dirigidos a organismos gubernamentales y diplomáticos de Oriente Próximo.
