Por qué las tensiones geopolíticas aumentan el riesgo de ciberataques

Hoy en día, la guerra se libra sobre el terreno, en el aire... y en el ciberespacio. A raíz del conflicto actual en Oriente Medio, estamos viendo un aumento de la actividad cibernética relacionada con los acontecimientos de la región. No hay señales de armas secretas ni de nuevas técnicas sin precedentes. Para los gerentes de riesgos y las aseguradoras cibernéticas, eso significa amenazas conocidas en un contexto más volátil, y una gran necesidad de tener bien controlados los aspectos básicos.

Qué ha cambiado y qué no

Cuando aumentan las tensiones geopolíticas, la actividad cibernética las sigue. En este conflicto, los grupos alineados con el Estado iraní y afiliados a él están utilizando las operaciones cibernéticas como otra forma de responder. Lo importante es la perspectiva. Tal y como destaca el Grupo de Inteligencia sobre Amenazas de Google, no debemos esperar una clase de ataques totalmente nueva, sino un uso más frecuente de técnicas que ya hemos visto en los últimos años. Están observando:

• Ataques DDoS y ataques de desfiguración de sitios web, conocidos como defacements
• Operaciones de piratería y «hack-and-leak»
• Campañas de ingeniería social y phishing
• Malware, ransomware y, en algunos casos, herramientas destructivas de borrado

La amenaza es real, pero no es desconocida. Los controles diseñados para estas técnicas conocidas siguen siendo muy relevantes, especialmente a medida que aumentan los intentos y cambian los patrones de ataque.

¿Quién está detrás de esta actividad?

Irán puede recurrir a un amplio ecosistema de actores cibernéticos.

• Grupos de hackers y colectivos afines
  A fecha de 6 de marzo, más de 70 grupos y colectivos habían manifestado públicamente su apoyo a Irán. Son conocidos principalmente por filtraciones de datos, ataques de desfiguración de sitios web, conocidos como defacements, y ataques DDoS disruptivos, a menudo dirigidos a sitios web, aplicaciones, API y otros activos públicos de organizaciones que se percibe que apoyan a EE. UU. e Israel. Hasta ahora, el impacto más destacado ha sido la interrupción y las molestias, no la destrucción a gran escala.
  
  
• Grupos iraníes de amenazas persistentes avanzadas (APT)
  Grupos como APT33, APT42 y MuddyWater tienen un historial de campañas más sofisticadas. Combinan spear phishing, ingeniería social, malware, ransomware, exfiltración de datos y wipers. Investigaciones recientes han encontrado pruebas de que hay actores iraníes infiltrados en algunas redes corporativas estadounidenses. Al mismo tiempo, muchas campañas nuevas aún tendrían que crearse prácticamente desde cero, y los bombardeos y los problemas de conectividad dentro de Irán están limitando algunas actividades por ahora.

Es probable que sigamos viendo actividad cibernética relacionada con el conflicto, y que esta se extienda a organizaciones alejadas del frente.

Del ciberespacio al daño físico

Uno de los acontecimientos más llamativos es el vínculo entre las operaciones terrestres y la resiliencia digital.

Los drones iraníes han atacado varios centros de datos de AWS en la región, causando interrupciones en las operaciones digitales de las organizaciones que dependen de esas instalaciones, aunque es probable que se hayan establecido planes de contingencia con antelación para mantener las operaciones.

En términos más generales, la infraestructura digital —desde los centros de datos hasta las telecomunicaciones— es ahora claramente un objetivo potencial para el combate militar. Esto tiene dos implicaciones clave. Las interrupciones regionales pueden convertirse rápidamente en un problema de continuidad del negocio a nivel mundial. Mientras tanto, los planes de recuperación ante desastres y de resiliencia ya no son teóricos: se están poniendo a prueba en tiempo real.

En lo que respecta a los seguros cibernéticos, aquí es precisamente donde convergen la cobertura y los servicios: la interrupción del negocio provocada por cortes de suministro, las dependencias de la nube y la tecnología, y la solidez de la respuesta ante incidentes y la planificación de la continuidad de una organización.

¿Quiénes están más expuestos?

Históricamente, los actores alineados con Irán se han centrado en los intereses estadounidenses e israelíes, incluyendo infraestructuras críticas, energía, defensa, telecomunicaciones y servicios financieros en la región y más allá.

Hoy en día, vemos tres grandes grupos de posibles objetivos:

• Organizaciones estadounidenses e israelíes: Especialmente aquellas en infraestructuras críticas y sectores clave, o con fuertes vínculos estratégicos o de cadena de suministro con las partes directamente involucradas. Estas organizaciones deben mantener medidas reforzadas de vigilancia y resiliencia contra ataques DDoS a gran escala, ransomware y malware potencialmente destructivo.
  
  
• Organizaciones locales y globales en la región en general: Las empresas de países considerados históricamente aliados de EE. UU. —como Kuwait, Catar, Baréin y Arabia Saudí— se enfrentan a un riesgo elevado, incluidos ataques oportunistas. Grandes proveedores tecnológicos como Google, Microsoft, Oracle y Amazon operan instalaciones en la región y están expuestos a interrupciones, con posibles efectos en cadena para sus clientes.
  
  
• Organizaciones de otros lugares consideradas «enemigos que apoyan a Irán»: Actores respaldados por Irán atacaron a organizaciones europeas durante las negociaciones nucleares de 2015, y al Gobierno albanés en 2022. Podrían surgir patrones similares siempre que se perciba que países u organizaciones actúan en contra de los intereses iraníes.

La implicación política directa no es el único factor de riesgo. La percepción, el sector, las alianzas y la geografía importan, y son factores clave en la evaluación de la exposición.

Qué deben hacer las empresas ahora

La mayoría de las organizaciones no necesitan sistemas de seguridad completamente nuevos. Deben asegurarse de que los controles existentes estén activos, sean eficaces y hayan sido sometidos a pruebas exhaustivas. En este contexto, recomendamos a las empresas:

• Mantener un alto nivel de conciencia situacional a través de equipos internos y fuentes fiables de inteligencia sobre amenazas.
• Mantener los centros de operaciones de seguridad en alerta máxima ante intentos de phishing, ingeniería social, robo de credenciales y ataques DDoS.
• Verifiquen que los controles básicos funcionan, incluyendo la autenticación multifactorial (MFA), las soluciones EDR/MDR y el filtrado de correo electrónico.
• Mantengan actualizados los inventarios de activos y apliquen los parches de seguridad sin demora.
• Se aseguren de que los planes de respuesta a incidentes y gestión de crisis estén actualizados, ensayados y listos para activarse.
• Sensibilicen a los empleados, especialmente a los equipos de soporte y de primera línea, con orientación específica sobre los intentos de phishing y suplantación de identidad relacionados con el conflicto.

Estas medidas no solo reducen la probabilidad y el impacto de una pérdida. También demuestran una buena higiene cibernética, algo cada vez más importante para conseguir y mantener un seguro cibernético en condiciones sostenibles.

Mantente alerta, pero no alarmado

Es probable que sigamos viendo actividad cibernética relacionada con el conflicto, incluyendo ataques oportunistas y posibles repercusiones en organizaciones alejadas del frente. No nos enfrentamos a una nueva categoría de armas cibernéticas imparables.

Nos enfrentamos a un uso más frecuente de técnicas bien conocidas por parte de actores maliciosos decididos en un entorno geopolítico tenso. La clave es mantener la alerta, no alarmarse.

Este artículo se basa en informes disponibles públicamente e información de fuentes abiertas. Al igual que con todo el material de fuentes abiertas, algunos detalles pueden evolucionar o estar sujetos a una verificación posterior.