Máxima tensión: EEUU alerta de una oleada de ciberataques de Irán. ¿Qué puede ocurrir?
Tras el asesinato del general Soleimani se da por hecho que Irán prepara ciberataques contra EEUU como parte de su venganza. ¿Cuáles son sus capacidades reales para lograr un ataque de impacto?
"Les pedimos de forma urgente que analicen y refuercen sus defensas básicas tanto digitales como físicas para protegerse contra esta potencial amenaza". La frase, nada tranquilizadora, la ha publicado este lunes la CISA, la agencia del gobierno de EEUU responsable de la ciberseguridad del país. La potencial amenaza tiene un nombre: Irán. La CISA, dependiente del Departamento de Seguridad Nacional, ha sido la última en dar la voz de alarma sobre algo que prácticamente todo el mundo da por hecho desde el asesinato el pasado viernes del general Qasem Soleimani: Irán prepara ciberataques como parte de su "dura venganza" por la "injerencia" de EEUU. Pocos dudan de que llegarán. La gran pregunta es: ¿qué tipo de ciberataques puede elaborar de verdad el país islámico y que consecuencias tendrán?
La historia de ciberataques entre EEUU e Irán, y de Irán hacia otros países, como Arabia Saudí, es tan prolífica que todos los especialistas en seguridad informática creen que es inevitable: va a volver a ocurrir. Irán lleva desde el 2010 desarrollando sus capacidades en este frente, en concreto desde que el devastador virus Stuxnet tumbó la central nuclear de enriquecimiento de uranio iraní de Natanz. EEUU e Israel nunca lo reconocieron de forma oficial, pero siempre se atribuyó este ataque a una cooperación conjunta de ambos países. Su sofisticación (dejó fuera de juego 1.000 centrifugadoras de uranio de las 5.000 que operaban en la planta, deteniendo su actividad varios días) solo podía ser posible en ese momento con la financiación y ayuda estatal.
La creación de Stuxnet fue de hecho el resultado de la llamada operación Olympic Games, iniciada en 2006 por George W. Bush y continuada (y acelerada) luego por Obama solo meses después de iniciar su mandato a comienzos de 2009. Stuxnet marcó un antes y un después en la guerra digital: fue la primera vez que un país usó ataques online en lugar de misiles para inhabilitar una infraestructura crítica. La efectividad fue tal que Irán decidió emplear esas mismas armas años después. El incidente más conflictivo fue el de la petrolera Saudi Aramco en 2012, cuya red interna tuvo que ser reconstruida por completo tras un ataque iraní con el virus Shamoon que inutilizó 30.000 ordenadores.
En 2018, otra operación similar ligada a Irán inutilizó cientos de equipos y servidores de la petrolera italiana Saipem en medio mundo. Y, más preocupante, hace solo unos meses: el grupo de 'hackers' iraní APT33 estaba reuniendo contraseñas y probando cómo infectar e inutilizar sistemas industriales usados en grandes fábricas, petroleras y empresas eléctricas. "Están tratando de poner en aprietos las infraestructuras críticas que utilizan estos sistemas industriales", explicó recientemente a Wired Ned Moran, investigador de Microsoft que descubrió la actividad de estos 'hackers' y presentó sus conclusiones a finales del año pasado.
En otras palabras: tanto las unidades del ejército iraní dedicadas al mundo 'cyber' como grupos afines a ellos (APT33, APT29 o APT35) han sofisticado mucho sus métodos y ahora es cuestión de tiempo que los pongan de nuevo en práctica. "Las capacidades las tienen. No están al nivel de EEUU o Israel, pero desde luego pueden lanzar ciberataques bastante destructivos. Y no solo a EEUU, quizás se centren primero en sus aliados, como Arabia Saudí", explica a Teknautas Rubén Santamarta, uno de los expertos en ciberseguridad españoles más respetados a nivel internacional, analista de IOActive y responsable de la investigación que el pasado verano destapó fallos técnicos en el Boeing 787.
Santamarta y otros especialistas en ciberseguridad apuntan a un primer tipo de ataque que Irán puede lanzar: los conocidos como 'wipers'. "Es un virus que borra todo el ordenador o servidor infectado con dos objetivos: uno, eliminar cualquier rastro que permita identificar al atacante en un análisis forense posterior y, dos, realizar un ataque destructivo que obligue a detener la actividad de la compañía afectada", explica Santamarta. Basta con que un empleado infiltrado inserte un USB en uno de los equipos o que alguien abra documentos adjuntos infectados en un email para desatar el contagio.
"Todo va a depender de quién y cómo se organicen los ataques. Sería raro que Rusia no ayude, y esto cambia las cosas"
'Hackers' vinculados a Irán utilizaron los 'wipers' en los mencionados ataques a Saudi Aramco y Saipem, pero también en otro más sonado, el que inutilizó en 2014 decenas de sistemas en un casino de Las Vegas propiedad del millonario Sheldon Adelson, solo días después de que este sugiriera que EEUU debería lanzarles una bomba nuclear. Es una de las modalidades de ataques que podríamos ver durante los próximos días, entre otras cosas porque Irán no debería preocuparse de borrar los rastros del atacante, algo que siempre dificulta estas operaciones. Todo lo contrario: ahora querrá dejar muy clara su firma en el rastro digital del código.
Más allá de los 'wipers', el otro posible vector de ataque es precisamente el detectado recientemente por Microsoft: inutilizar sistemas industriales para paralizar empresas de infraestructuras críticas. El hecho de que los 'hackers' de APT33 lo estuvieran ensayando incluso antes del asesinato del general Soleimani no augura nada bueno. "Es un escenario que podríamos ver, aunque lo dudo. Requiere un alto nivel de sofisticación para que sea efectivo. Todo va a depender de quién y cómo se tome la decisión. Sería raro que Rusia no ayude de alguna manera en la elaboración de los ataques, y esto cambia las cosas".
Junto con China, Israel y EEUU, Rusia cuenta con algunas de las capacidades para lanzar ciberataques más avanzadas del mundo. El grupo de 'hackers' conocido como APT28, a sueldo del Kremlin, es uno de los más temidos del mundo. Se sospecha que APT28 está adscrito a la Dirección de Inteligencia Militar (GRU) del gobierno ruso. Según Antonio Villalón, director de seguridad de la tecnológica española S2 Grupo y autor del libro "Amenazas Persistentes Avanzadas" (APT, en sus siglas en inglés), el GRU es "el más opaco de los servicios rusos. Rusia sería el país que más sofisticación aplica en sus ataques APT, dirigidos, sigilosos y técnicamente brillantes, con unos índices de persistencia muy elevados", explicaba en 2017 a este diario.
Con la ayuda de Rusia, las capacidades de Irán para lanzar ciberataques complejos se multiplican. Durante los tres últimos días, firmas como Kaspersky o Spamhaus Project han confirmado un aumento en la actividad de bots que envían 'spam' y 'malware' procedentes de Irán. Son actividades de bajo nivel, con escaso impacto, que han resultado en la caída de webs como la del Federal Deposit Library Program, dependiente del gobierno estadounidense. "Detrás hay adolescentes y 'hackers' de bajo perfil. Consiguen algún titular despistado, y ya", explica Santamarta. Suele ser el calma tensa que precede la tormenta. Los ataques importantes están por llegar.
