Grupos vinculados a Irán sacuden la confianza de los israelíes al tratar de causar pánico y dudas a través de infiltraciones informáticas de gran tamaño. Los ransomware son ahora más que una amenaza.
Cada semana, aproximadamente mil instituciones de Israel sufren un ciberataque. Es un bombardeo constante de infiltraciones informáticas. La mayoría son ataques de ransomware, y el motivo es el dinero.
Hasta hace poco.
En 2021, los atacantes pidieron un rescate, pero su comportamiento iba en contra de los típicos ataques de ransomware y sugería que, bajo la superficie, tenían objetivos diferentes.
Hicieron sus demandas con un gusto extrovertido, como si pretendieran que su delito fuera un acto público. Los objetivos eran principalmente empresas de tamaño medio, como aplicaciones de citas y compañías de seguros, lo suficientemente grandes como para causar preocupación pública, pero no lo suficiente como para provocar la acción del Estado israelí.
Lo más revelador es que los grupos que están detrás de los ataques han sido vinculados a Irán en diversos grados.
“Yo llamo a esto una amenaza híbrida. Hay ataques que se consideran políticos-ciberofensivos, que son realizados por Estados o por actores no estatales pero con una agenda política”, dijo Gabi Siboni, jefe del programa de ciberseguridad del Instituto de Estrategia y Seguridad de Jerusalén. “Y hay ciberdelincuentes. Pero lo que se ve es que se está mezclando”.
Esta nueva generación de ataques de ransomware destaca cómo se está desarrollando un nuevo frente en el conflicto entre Irán e Israel.
Aparente delito financiero, el ransomware se ha convertido en una herramienta del arte de gobernar con el objetivo geopolítico de dañar los lazos de la sociedad israelí y la confianza pública en las instituciones del país, en lugar de dañar la infraestructura o extraer una recompensa financiera.
Aunque la Dirección Cibernética israelí ha emitido múltiples recomendaciones y advertencias sobre esta nueva “ola de ataques”, la responsabilidad de proteger los sistemas informáticos privados sigue recayendo en las empresas.
La llegada del ransomware geopolítico aprovecha una vulnerabilidad estructural: una vía para dañar la cohesión social de un país a través de ataques geopolíticos que eluden las defensas del Estado.
En octubre de 2021, en lo que se denomina el hackeo “Atraf”, Black Shadow, un grupo vinculado a Irán, hackeó los servidores de CyberServe, una empresa de alojamiento israelí, accediendo a los sitios web y aplicaciones de los clientes de la empresa.
Entre sus clientes estaba la aplicación de citas LGBTQ, Atraf. Las bases de datos de la aplicación no estaban encriptadas, lo que facilitó a los hackers hacerse con información personal muy sensible. Antes de pedir el rescate, el grupo volcó decenas de miles de registros de los distintos sitios que había penetrado.
La filtración incluía un millar de perfiles de usuarios de la base de datos de clientes de Atraf que revelaban información como nombres, orientaciones sexuales, contraseñas no cifradas, ubicaciones y estado del VIH.
Los atacantes exigieron un millón de dólares a cambio de la clave de cifrado y amenazaron con filtrar más información.
El paralelismo del ransomware con la desinformación es sorprendente. Mientras que la mayoría de los ataques de ransomware de alto perfil se producen en Estados Unidos, Reino Unido y Europa, la gran mayoría de los ataques se generan en países con inestabilidad política, como en América Latina y África.
Muchas organizaciones de toma de rehenes digitales se originan en los mismos focos donde se generan las campañas de desinformación, como Rusia, Ucrania, Corea del Norte y Filipinas.
El ransomware recorre las mismas divisiones políticas que las campañas de desinformación, traficando con la explotación de la desigualdad económica, el miedo a los inmigrantes y los resentimientos raciales para socavar la confianza pública en las instituciones y la creencia en la estabilidad social.
Mientras que la desinformación utiliza el ruido y la incoherencia para sembrar la duda y propagar la división, el ransomware hace algo similar: también es un agente del caos. Puede parecer sólo una forma de ganar criptodólares, pero sus efectos, a menudo intencionados, son mucho más profundos.
El hackeo de CyberServe se parecía poco a un clásico ataque de rescate. Todo fue muy público. El grupo utilizó Telegram y RaidForum para sus anuncios en lugar de establecer comunicación directa con la empresa. Por lo general, los actores motivados financieramente buscan negociaciones privadas, pero los grupos de Telegram dirigidos por Black Shadows parecen una campaña pública, con cuentas regresivas y mensajes alegres.
“La naturaleza de esta oleada de ataques es, en realidad, sembrar el miedo y la sensación de terror en el pueblo israelí atacando objetivos de alto perfil o que puedan generar suficiente atención mediática”, dijo Lotem Finkelsteen, de Checkpoint, una empresa de ciberseguridad.
Esto explica el comportamiento público de los atacantes. “Se centran más en hacerse eco del ataque, avergonzar a la víctima y crear expectativas en los seguidores de Twitter/Telegram que en obtener un pago económico”.
Irán e Israel son enemigos acérrimos. Tras la creación del Estado de Israel en 1948, Irán fue el segundo país de mayoría musulmana en reconocer a Israel como Estado soberano. Irán se retractó del reconocimiento tras su revolución de 1979 y amenaza regularmente a Israel con la aniquilación total.
El ámbito cibernético refleja a menudo las tensiones de la vida real, por lo que, una vez que la alta tecnología entró en nuestras vidas, los dos enemigos se hicieron rápidamente con armas cibernéticas.
El prolongado conflicto cibernético de ambos países ha dado muchos giros, pero hasta hace poco, los hackeos se concentraban principalmente en la infraestructura militar. Esto está cambiando.
Ambas partes están atacando cada vez más la infraestructura civil y las empresas privadas.
Entre los últimos ataques atribuidos a Israel se encuentran los perpetrados contra la Universidad de Teherán y contra un sistema que permite a millones de iraníes utilizar tarjetas emitidas por el gobierno para comprar combustible a un precio subvencionado. Irán ha ido por el agua de Israel.
En abril de 2021, seis instalaciones fueron objeto de un intento de aumentar la cantidad de cloro en el suministro de agua hasta niveles peligrosamente altos.
Según Boaz Dolev, director general de la empresa de ciberseguridad ClearSky, el anterior ataque de Black Shadow a la compañía de seguros israelí Shirbit también fue confuso. Tras robar los datos de la empresa, los atacantes borraron la información de los servidores en lugar de cifrarla.
“Esto no es algo que haga un grupo de ransomware”, dijo. Tras exigir un millón de dólares en bitcoin, Black Shadow se negó a conceder a la empresa una prórroga de cuatro horas más allá de su plazo para efectuar el pago completo.
Un negociador cibernético israelí, que pidió el anonimato para mantener un perfil profesional no público, también duda de la motivación de Black Shadow.
“No soy un ciberanalista, soy un negociador. Lo que puedo identificar desde el principio es si la motivación de la persona es política, es decir, causar estragos, incertidumbre y socavar la confianza pública en el sistema. En el caso de Shirbit estaba muy claro que se trataba de un ataque con motivación política y no financiera”.
Este negociador cibernético se había topado recientemente con ataques similares a empresas israelíes.
En una empresa, empezó a negociar con el grupo de hackers llamado “Pay2Key”. Al principio, le pareció un ataque de rescate típico, pero luego se dio cuenta de las banderas rojas. Por ejemplo, el grupo era un actor desconocido hasta entonces, pero utilizaba un lenguaje inusualmente agresivo.
No obstante, la compañía decidió pagar el rescate. Pay2Key no proporcionó un descifrador de datos. Para llegar a la cima en la industria de los rescates, la reputación es importante. Aceptar el rescate y a cambio no proporcionar la clave de descifrado para que una empresa pueda recuperar sus datos es muy malo para repetir el negocio.
Tras varios encuentros con actores de ransomware inusuales, el cibernegociador comenzó a investigar más de cerca la amenaza que representaban.
El análisis técnico del ataque a Pay2Key realizado por la empresa de ciberseguridad de Dolev, ClearSky, estimó “con una confianza media-alta” que Pay2Key es una nueva operación llevada a cabo por un grupo iraní llamado Fox Kitten, una amenaza persistente avanzada, nombre con el que se conoce a un actor opaco, normalmente vinculado al gobierno, que obtiene acceso no autorizado a una red informática y permanece sin ser detectado.
Se cree que Pay2Key ha iniciado una oleada de ataques contra docenas de empresas israelíes en julio y agosto de 2020.
Los ataques no se limitan a Israel. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos ( CISA, por sus siglas en inglés )identificaron recientemente un nuevo grupo de “Amenazas Persistentes Avanzadas” (APT, en inglés) asociado al régimen iraní que se dedica a la “exfiltración o cifrado de datos, ransomware y extorsión” en Estados Unidos y Australia.
De hecho, otro grupo vinculado a Irán ha tenido un modus operandi inusual. En junio de 2021, un grupo llamado Deus afirmó haber obtenido 15 terabytes de datos de Voicenter, una empresa de centros de llamadas.
Los datos contenían información perteneciente no sólo a Voicenter, sino también a 8.000 empresas que utilizaban sus servicios. Los hackers publicaron muestras de la información, grabaciones de cámaras de seguridad y webcam, fotos, tarjetas de identificación, mensajes de WhatsApp, correos electrónicos y llamadas telefónicas.
Utilizaron canales públicos, elevaron sus peticiones de rescate cada 12 horas y anunciaron que los datos estaban a la venta incluso antes de que terminara el periodo de negociación. De este modo, los grupos de amenazas persistentes avanzadas iraníes juegan una partida de póquer de ransomware: intentar infligir el máximo daño social y político sin desencadenar represalias estatales.
Las empresas israelíes son reacias a reconocer los ciberataques de los grupos iraníes precisamente porque la publicidad podría generar nerviosismo y dudas sobre la dureza de la coraza defensiva de Israel contra su poderoso enemigo.
Esta falta de transparencia, sin embargo, también crea vulnerabilidad, dicen los expertos israelíes en ciberseguridad.
“Todavía no tenemos suficiente información para vincular a estos grupos con el gobierno iraní, pero incluso si estos vínculos directos existen, las herramientas de rescate utilizadas en estos ataques son bastante convencionales y pequeñas”, dijo Einat Myron, un experto en ciberseguridad en Israel.
“Las empresas medianas pueden ciertamente hacer un mejor trabajo de protección contra ellos”, dijo Myron. “Tal vez evitar entrar en el juego de los actores extranjeros podría ser la nueva motivación para que los empresarios empiecen a tomarse en serio la protección de datos”.
*Esta historia fue publicada originalmente por Coda Story bajo el título In Israel, ransomware attacks against private companies pose a new kind of national security threat
**Los derechos de reproducción en español fueron otorgados por Coda Story al Proyecto ITEMP.
