Trace Id is missing

Irán intensifica las operaciones de influencia cibernética en apoyo de Hamás

Descargar
Compartir

Introducción

Cuando estalló la guerra entre Israel y Hamás el 7 de octubre de 2023, Irán aumentó inmediatamente el apoyo a Hamás mediante su ya bien perfeccionada técnica de combinar pirateos selectivos con operaciones de influencia amplificadas en las redes sociales, lo que denominamos operaciones de influencia cibernética.1 Las operaciones de Irán fueron inicialmente reaccionarias y oportunistas. A finales de octubre, casi toda la influencia iraní y los principales actores cibernéticos se centraron en Israel de forma cada vez más selectiva, coordinada y destructiva, lo que dio lugar a una campaña aparentemente ilimitada de "acción inmediata conjunta" contra Israel. A diferencia de algunos de los ciberataques anteriores de Irán, todos sus ciberataques destructivos contra Israel en esta guerra, reales o inventados, se complementaron con operaciones de influencia en línea.

Definición de términos clave

  • Operaciones de influencia cibernética 
    Operaciones que combinan operaciones ofensivas de redes informáticas con mensajes y una amplificación de forma coordinada y manipuladora para cambiar percepciones, comportamientos o decisiones de públicos objetivo con el fin de promover los intereses y los objetivos de un grupo o nación.
  • Persona cibernética 
    Grupo o individuo creado artificialmente que asume la responsabilidad de una operación cibernética, si bien el grupo o nación subyacente responsable puede negar su implicación.
  • Identidades falsas 
    Personaje falso en línea que emplea identidades ficticias o robadas con fines de engaño.

A medida que avanzaba la guerra, las operaciones de influencia se hicieron cada vez más sofisticadas e no auténticas, implementando redes de "identidades falsas" en las redes sociales. Durante la guerra, estas operaciones de influencia trataron de intimidar a los israelíes al tiempo que criticaban la forma en que el gobierno israelí trataba a los rehenes y las operaciones militares con el fin de polarizar y desestabilizar así a Israel.

Finalmente, Irán dirigió sus ciberataques y operaciones de influencia contra los aliados políticos y socios económicos de Israel para debilitar el apoyo a las operaciones militares israelíes.

Prevemos que la amenaza que suponen las operaciones cibernéticas y de influencia de Irán aumentará a medida que persista el conflicto, sobre todo en medio de las crecientes posibilidades de que se amplíe la guerra. La mayor audacia de los actores iraníes y afiliados a Irán, unido a la creciente colaboración entre ellos, presagia una amenaza cada vez mayor antes de las elecciones estadounidenses de noviembre.

Las operaciones cibernéticas y de influencia de Irán han pasado por múltiples fases desde el atentado terrorista de Hamás del 7 de octubre. Un elemento de sus operaciones se ha mantenido constante en todo momento: la combinación de ciberataques oportunistas con operaciones de influencia que a menudo engañan sobre la precisión o el alcance del impacto.

Este informe se centra en las operaciones de influencia y ciberinfluencia iraníes desde el 7 de octubre hasta finales de 2023, al tiempo que cubre las tendencias y operaciones que se remontan a la primavera de 2023.

Gráfico de las fases de las operaciones de influencia cibernética de Irán en la guerra entre Israel y Hamás

Fase 1: Reactivo y engañoso

Los grupos iraníes reaccionaron durante la fase inicial de la guerra entre Israel y Hamás. Los medios de comunicación estatales iraníes publicaron detalles engañosos de los ciberataques reivindicados y los grupos iraníes reutilizaron material fechado de operaciones históricas, reutilizaron el acceso que tenían antes de la guerra y exageraron el alcance y el impacto generales de los ciberataques reivindicados.

Transcurridos casi cuatro meses de la guerra, Microsoft aún no ha visto pruebas claras en nuestros datos que indiquen que grupos iraníes hubieran coordinado sus operaciones cibernéticas o de influencia con los planes de Hamás de atacar Israel el 7 de octubre. Más bien, la preponderancia de nuestros datos y hallazgos sugiere que los actores cibernéticos iraníes fueron reactivos, aumentando rápidamente sus operaciones cibernéticas y de influencia después de los ataques de Hamás para contrarrestar a Israel.

Detalles engañosos sobre ataques reivindicados a través de los medios de comunicación estatales: 
El día que estalló la guerra, Tasnim News Agency, un medio iraní afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), afirmó falsamente que un grupo llamado "Cyber Avengers" había realizado ciberataques contra una central eléctrica israelí "al mismo tiempo" que los ataques de Hamás. 2 Cyber Avengers, un personaje cibernético dirigido por el IRGC, afirmó de hecho haber llevado a cabo un ciberataque contra una compañía eléctrica israelí la noche anterior a la incursión de Hamás.3  Sus pruebas: informes de prensa de hace semanas sobre cortes de electricidad "en los últimos años" y una captura de pantalla de una interrupción del servicio sin fecha en el sitio web de la empresa. 4
Reusar material antiguo: 
Tras los ataques de Hamás contra Israel, los Cyber Avengers afirmaron llevar a cabo una serie de ciberataques contra Israel, los primeros de los cuales nuestras investigaciones revelaron que eran falsos. El 8 de octubre, afirmaron haber filtrado documentos de una central eléctrica israelí, aunque los documentos habían sido publicados previamente en junio de 2022 por otro ciberpersonaje dirigido por el IRGC, "Moses Staff".5
Reutilizar el acceso: 
Otro ciberpersonaje, "Malek Team", que, según nuestras estimaciones, está dirigido por el Ministerio de Inteligencia y Seguridad (MOIS) iraní, filtró el 8 de octubre datos personales de una universidad israelí sin que existiera ningún vínculo claro entre el objetivo y el incipiente conflicto en ese país, lo que sugiere que se trataba de un objetivo oportunista y tal vez elegido sobre la base de un acceso preexistente antes del estallido de la guerra. En lugar de establecer vínculos entre los datos filtrados y el apoyo a las operaciones de Hamás, Malek Team utilizó inicialmente hashtags en X (anteriormente Twitter) para apoyar a Hamás y solo unos días después cambió los mensajes para alinearse con el tipo de mensajes que denigran al primer ministro israelí, Benjamin Netanyahu, vistos en otras operaciones de influencia iraní.
Consumo de propaganda iraní en todo el mundo ilustrado en una línea de tiempo y un gráfico de proporción de tráfico
Ilustración 2: Inteligencia contra amenazas Microsoft: Consumo de propaganda iraní por países, atentados de Hamás contra Israel. Gráfico de actividad de abril a diciembre de 2023.
Las operaciones de influencia de Irán fueron más eficaces en los primeros días de la guerra 
El alcance de los medios de comunicación iraníes afiliados al Estado aumentó tras el estallido de la guerra entre Israel y Hamás. En la primera semana del conflicto, observamos un aumento del 42 % en el Índice de propaganda iraní del laboratorio Microsoft AI for Good, que controla el consumo de noticias del Estado iraní y de los medios de comunicación afiliados al Estado (véase la figura 1). El índice mide la proporción del tráfico que visita estos sitios con respecto al tráfico total en Internet. Ese aumento fue especialmente pronunciado en los países de habla inglesa estrechamente aliados de Estados Unidos (figura 2), lo que pone de relieve la capacidad de Irán para llegar al público occidental a través de sus informaciones sobre los conflictos de Oriente Próximo. Un mes después de la guerra, el alcance de estas fuentes iraníes seguía siendo globalmente un 28-29 % superior a los niveles de antes de la guerra.
La influencia de Irán sin ciberataques demuestra su agilidad 
Las operaciones de influencia de Irán parecían más ágiles y eficaces en los primeros días de la guerra, en comparación con sus operaciones combinadas de ciberinfluencia más adelante en el conflicto. Pocos días después del ataque de Hamás contra Israel, un probable actor estatal iraní, al que realizamos un seguimiento como Storm-1364, lanzó una operación de influencia utilizando un personaje en línea llamado "Tears of War", que se hacía pasar por activistas israelíes para difundir mensajes contra Netanyahu entre el público israelí a través de múltiples redes sociales y plataformas de mensajería. La rapidez con la que Storm-1364 lanzó esta campaña tras los ataques del 7 de octubre pone de relieve la agilidad de este grupo y apunta a las ventajas de las campañas exclusivamente de influencia, que pueden ser más rápidas de formar porque no necesitan esperar a la actividad cibernética de una operación de influencia cibernética.

Fase 2: Acción inmediata conjunta

Desde mediados hasta finales de octubre, un número cada vez mayor de grupos iraníes centraron su atención en Israel, y las operaciones de influencia de Irán basadas en la cibernética pasaron de ser en gran medida reactivas, fabricadas, o ambas cosas, a incluir ciberataques destructivos y desarrollar objetivos de interés para las operaciones. Estos ataques incluyeron la eliminación de datos, ransomware y, aparentemente, el ajuste de un dispositivo de Internet de las cosas (IoT).6 También observamos indicios de una mayor coordinación entre los grupos iraníes.

En la primera semana de la guerra, Inteligencia contra amenazas Microsoft rastreó 9 grupos iraníes activos en ataques contra Israel; ese número aumentó a 14 grupos el decimoquinto día. En algunos casos, observamos que varios grupos del IRGC o del MOIS tenían como objetivo la misma organización o base militar con actividades cibernéticas o de influencia, lo que sugiere coordinación, objetivos comunes fijados en Teherán, o ambas cosas.

También aumentaron las operaciones de influencia cibernética. En la primera semana de la guerra observamos cuatro operaciones de influencia cibernética dirigidas contra Israel. A finales de octubre, el número de operaciones de este tipo se había más que duplicado, lo que supone una importante aceleración de estas operaciones, sin duda la más rápida hasta la fecha (véase el gráfico 4).

Ilustración: El nexo entre la cibernética y la influencia de Irán, con los símbolos, la inteligencia sobre amenazas y el Cuerpo de la Guardia Revolucionaria
Línea de tiempo de las operaciones de influencia cibernética de Irán: Aumento durante la guerra de Kamas, 2021-2023

El 18 de octubre, el grupo Shahid Kaveh del IRGC, al que Microsoft realiza un seguimiento bajo el nombre de Storm-0784, utilizó un ransomware personalizado para llevar a cabo ciberataques contra cámaras de seguridad en Israel. A continuación, utilizó uno de sus personajes cibernéticos, "Soldiers of Solomon", para afirmar falsamente que había rescatado cámaras de seguridad y datos de la base aérea de Nevatim. El examen de las imágenes de seguridad filtradas por Soldiers of Solomon revela que procedían de una localidad situada al norte de Tel Aviv que tiene una calle cuyo nombre es Nevatim, y no de la base aérea del mismo nombre. De hecho, el análisis de la ubicación de las víctimas revela que ninguna estaba cerca de la base militar (véase la figura 5). Aunque los grupos iraníes habían iniciado ataques destructivos, sus operaciones seguían siendo en gran medida oportunistas y continuaban aprovechando la actividad de influencia para exagerar la precisión o el efecto de los atentados.

El 21 de octubre, otro ciberpersonaje dirigido por el grupo Cotton Sandstorm del IRGC (conocido comúnmente como Emennet Pasargad) compartió un vídeo en el que se veían atacantes desfigurando pantallas digitales en sinagogas con mensajes que calificaban de "genocidio" las operaciones de Israel en Gaza. 7 Se trata de un método para insertar mensajes directamente en ciberataques dirigidos a un objetivo relativamente vulnerable.

Durante esta fase, la actividad de influencia de Irán utilizó formas más amplias y sofisticadas de amplificación no auténtica. En las dos primeras semanas de la guerra, detectamos mínimas formas avanzadas de amplificación no auténtica, lo que sugiere una vez más que las operaciones eran reactivas. En la tercera semana de la guerra, el actor de influencia más prolífico de Irán, Cotton Sandstorm, entró en escena lanzando tres operaciones de influencia cibernética el 21 de octubre. Como es habitual en el grupo, utilizaron una red de identidades falsas en las redes sociales para amplificar las operaciones, aunque muchos de ellos parecen haber sido reasignados precipitadamente, sin una cobertura auténtica que los disfrace de israelíes. En múltiples ocasiones Cotton Sandstorm envió mensajes de texto o correos electrónicos de forma masiva para amplificar o alardear de sus operaciones, aprovechando cuentas comprometidas para aumentar la autenticidad.8

Se desmienten las afirmaciones de Irán sobre un ciberataque: Falso ransomware e imágenes de videovigilancia, operaciones de influencia engañosa al descubierto

Fase 3: Expandir el ámbito geográfico

A partir de finales de noviembre, los grupos iraníes ampliaron su influencia cibernética más allá de Israel, para incluir a países que Irán percibe que están ayudando a Israel, muy probablemente para debilitar el apoyo político, militar o económico internacional a las operaciones militares de Israel. Esta ampliación de los objetivos coincidió con el inicio de los ataques contra el transporte marítimo internacional vinculado a Israel por parte de los Houthis, un grupo militante chií respaldado por Irán en Yemen (véase la figura 8).9

  • El 20 de noviembre, el personaje cibernético "Homeland Justice", dirigido por Irán, advirtió de próximos ataques importantes contra Albania antes de amplificar los ciberataques destructivos de grupos del MOIS a finales de diciembre contra el Parlamento, la aerolínea nacional y los proveedores de telecomunicaciones de Albania.10
  • El 21 de noviembre, el ciberpersonaje "Al-Toufan", dirigido por Cotton Sandstorm, atacó a organizaciones gubernamentales y financieras de Bahréin por normalizar sus lazos con Israel.
  • El 22 de noviembre, grupos afiliados al IRGC comenzaron a atacar controladores lógicos programables (PLC) de fabricación israelí en Estados Unidos, y posiblemente en Irlanda, incluso desconectando uno en una empresa de distribución de agua en Pensilvania el 25 de noviembre (figura 6).11 Los PLC son ordenadores industriales adaptados para el control de procesos de fabricación, como cadenas de montaje, máquinas y dispositivos robóticos.
  • A principios de diciembre, "Cyber Toufan Al-Aksa", un personaje que según el MTAC está patrocinado por Irán, afirmó haber filtrado datos de un par de empresas estadounidenses por respaldar financieramente a Israel y suministrar equipos para sus fuerzas armadas.12 Previamente, el 16 de noviembre, reivindicaron ataques de eliminación de datos contra las empresas.13 Debido a la falta de pruebas forenses sólidas que vinculen al grupo con Irán, es posible que esté dirigido por un socio iraní fuera del país con participación iraní.
Un PLC comprometido en una empresa de distribución de agua de Pensilvania fue atacada con el logotipo de los Cyber Avengers el 25 de noviembre

Las operaciones de influencia cibernética de Irán también han seguido aumentando en sofisticación en esta última fase. Disimularon mejor sus identidades falsas cambiando el nombre de algunas y modificando sus fotos de perfil para que parecieran más israelíes. Mientras tanto, utilizaron nuevas técnicas que no habíamos visto en los actores iraníes, incluido el uso de la IA como componente clave de sus mensajes. Según nuestras informaciones, Cotton Sandstorm interrumpió los servicios de televisión en streaming en los Emiratos Árabes Unidos y otros países en diciembre bajo la apariencia de un personaje llamado "For Humanity". For Humanity publicó vídeos en Telegram que mostraban al grupo pirateando tres servicios de streaming en línea e interrumpiendo varios canales de noticias con una emisión de noticias falsas en la que aparecía un presentador generado aparentemente por IA que afirmaba mostrar imágenes de palestinos heridos y muertos en operaciones militares israelíes (figura 7).14 Medios de comunicación y telespectadores de los Emiratos Árabes Unidos, Canadá y el Reino Unido informaron de interrupciones en la emisión de programas de televisión, incluida la BBC, que coincidían con las afirmaciones de For Humanity..15

HUMANITY 2023: 8 de octubre, 180 muertos, 347 heridos. Ilustración 7: Interrupción de la televisión en streaming mediante una emisora generada por IA
Irán amplía sus ataques a partidarios de Israel, ciberataques, advertencias y actividades de desfiguración.

Las operaciones de Irán perseguían cuatro amplios objetivos: desestabilización, represalias, intimidación y debilitamiento del apoyo internacional a Israel. Estos cuatro objetivos también pretenden debilitar los entornos informativos de Israel y sus partidarios para crear confusión general y falta de confianza.

Desestabilización mediante la polarización 
Los ataques de Irán contra Israel durante la guerra entre Israel y Hamás se han centrado cada vez más en avivar el conflicto interno sobre el enfoque del gobierno israelí ante la guerra. Múltiples operaciones de influencia iraní se han hecho pasar por grupos de activistas israelíes para difundir mensajes incendiarios que critican la actitud del gobierno hacia los secuestrados y tomados como rehenes el 7 de octubre.17 Netanyahu ha sido uno de los principales objetivos de este tipo de mensajes y los llamamientos a su destitución han sido un tema común en las operaciones de influencia de Irán.18
AVENGERS: no hay electricidad, alimentos, agua, combustible. Cyber Avengers vuelve a publicar un vídeo sobre el bloqueo de Israel
Represalias 
Gran parte de los mensajes de Irán y de la elección de sus objetivos hacen hincapié en el carácter reivindicativo de sus operaciones. Por ejemplo, el personaje Cyber Avengers publicó un vídeo en el que se veía al ministro de Defensa israelí declarando que Israel cortaría la electricidad, los alimentos, el agua y el combustible a la ciudad de Gaza (véase la figura 9), seguido de una serie de ataques reivindicados por Cyber Avengers contra las infraestructuras israelíes de electricidad, agua y combustible.19 Sus anteriores reivindicaciones de ataques contra los sistemas nacionales de abastecimiento de agua de Israel incluyeron días antes el mensaje "Ojo por ojo" y Tasnim News Agency, afiliada al IRGC, informó de que el grupo había declarado que los ataques contra los sistemas de abastecimiento de agua eran una represalia por el asedio a Gaza.20 Un grupo vinculado a MOIS al que realizamos un seguimiento como Pink Sandstorm (alias Agrius) llevó a cabo un pirateo y una filtración contra un hospital israelí a finales de noviembre que parecía ser una represalia por el asedio de Israel durante días al Hospital al-Shifa de Gaza dos semanas antes.21
Intimidación 
Las operaciones de Irán también sirven para debilitar la seguridad israelí e intimidar a los ciudadanos de Israel y a sus partidarios difundiendo mensajes amenazadores y convenciendo al público objetivo de que la infraestructura y los sistemas gubernamentales de su Estado son inseguros. Parte de la intimidación iraní parece estar dirigida a debilitar la determinación de Israel de continuar la guerra, como los mensajes que intentan convencer a los soldados de las IDF de que deberían "dejar la guerra y volver a casa" (Figura 10).22 Un ciberpersonaje iraní, posiblemente haciéndose pasar por Hamás, afirmó estar enviando mensajes de texto amenazadores a las familias de los soldados israelíes, añadiendo: "Los soldados de las IDF deberían saber que si nuestras familias no están a salvo, las suyas tampoco lo estarán".23 Las cuentas con identidades falsas que se hacían pasar por Hamás publicaron mensajes en X en los que afirmaban que las FDI "no tienen poder para proteger a sus propios soldados" y remitían a los internautas a una serie de mensajes supuestamente enviados por soldados de las FDI en los que pedían a Hamás que perdonara a sus familias.24
Mensaje amenazador de una supuesta identidad falsa de Cotton Sandstorm, en el que se hace referencia al acceso a datos personales y se anima a abandonar la guerra.
Debilitar el apoyo internacional a Israel 
Las operaciones de influencia de Irán dirigidas a públicos internacionales incluían a menudo mensajes que pretendían debilitar el apoyo internacional a Israel resaltando los daños causados por los ataques israelíes contra Gaza. Un personaje disfrazado de grupo propalestino se refirió a las acciones de Israel en Gaza como "genocidio".25 En diciembre, Cotton Sandstorm llevó a cabo múltiples operaciones de influencia, bajo los nombres "For Palestinians" y "For Humanity", en las que se pedía a la comunidad internacional que condenara los ataques de Israel contra Gaza.26

Para lograr sus objetivos en el espacio informativo, Irán ha recurrido en gran medida a cuatro tácticas, técnicas y procedimientos de influencia (TTP) durante los últimos nueve meses. Esto incluye el uso de la suplantación de identidad y la mejora de las capacidades para activar a los públicos objetivo, junto con el creciente uso de campañas de mensajes de texto y el uso de medios de comunicación vinculados al IRGC para amplificar las operaciones de influencia.

Suplantación de grupos activistas israelíes y socios iraníes 
Los grupos iraníes se han basado en una antigua técnica de suplantación de identidad desarrollando personajes más específicos y convincentes que se hacen pasar tanto por amigos como por enemigos de Irán. Muchas de las operaciones y personajes de Irán en el pasado han pretendido ser activistas a favor de la causa palestina.27 Las últimas operaciones de un personaje que creemos que está dirigido por Cotton Sandstorm han ido más allá, utilizando el nombre y el logotipo del ala militar de Hamás, las Brigadas al-Qassam, para difundir mensajes falsos sobre los rehenes retenidos en Gaza y enviar a los israelíes mensajes amenazadores. Otro canal de Telegram que ha amenazado a personal de las FDI y filtrado sus datos personales, que según nuestras informaciones estaba dirigido por un grupo del MOIS, también utilizaba el logotipo de las Brigadas al-Qassam. No está claro si Irán actúa con el consentimiento de Hamás.

Del mismo modo, Irán ha creado suplantaciones cada vez más convincentes de organizaciones activistas israelíes ficticias a derecha e izquierda del espectro político israelí. A través de estos falsos activistas, Irán pretende infiltrarse en las comunidades israelíes para ganarse su confianza y sembrar la discordia.

Activar a los israelíes para la acción 
En abril y noviembre, Irán consiguió en varias ocasiones reclutar a israelíes sin que estos lo supieran para que participaran en actividades sobre el terreno destinadas a promover sus falsas operaciones. En una operación reciente, "Tears of War", agentes iraníes habrían logrado convencer a israelíes para que colgaran en barrios israelíes pancartas con la marca "Tears of War" en las que aparecía una imagen de Netanyahu aparentemente generada por Al y en las que se pedía su destitución (véase la figura 11).28
Amplificar a través de texto y correo electrónico con mayor frecuencia y sofisticación 
Si bien las operaciones de influencia iraníes siguen dependiendo en gran medida de la amplificación coordinada de redes sociales no auténticas para llegar al público objetivo, Irán ha aprovechado cada vez más los mensajes de texto y correos electrónicos masivos para potenciar los efectos psicológicos de sus operaciones de influencia cibernética. La amplificación en las redes sociales mediante identidades falsas no tiene el mismo impacto que un mensaje que aparece en la bandeja de entrada de alguien, y mucho menos en su teléfono. Cotton Sandstorm se basó en éxitos anteriores utilizando esta técnica a partir de 2022,29 enviando mensajes de texto, correos electrónicos o ambos de forma masiva en al menos seis operaciones desde agosto. El mayor uso de esta técnica sugiere que el grupo ha perfeccionado su capacidad y la considera eficaz. La operación "Cyber Flood" de Cotton Sandstorm a finales de octubre incluyó hasta tres series de mensajes de texto y correos electrónicos masivos a israelíes en los que se amplificaban ciberataques reivindicados o se distribuían falsas advertencias de ataques de Hamás contra la instalación nuclear israelí cercana a Dimona.30 En al menos un caso, aprovecharon una cuenta comprometida para aumentar la autenticidad de sus correos electrónicos.
Ilustración 11: Pancarta de Tears of War en Israel con imagen de Netanyahu generada por Al, texto "destitución inmediata".
Aprovechar los medios de comunicación estatales 
Irán ha utilizado medios de comunicación abiertos y encubiertos vinculados al IRGC para amplificar supuestas operaciones cibernéticas y, en ocasiones, exagerar sus efectos. En septiembre, después de que Cyber Avengers reivindicara ciberataques contra el sistema ferroviario de Israel, los medios de comunicación vinculados al IRGC amplificaron y exageraron casi de inmediato sus afirmaciones. Tasnim News Agency, vinculada al IRGC, citó incorrectamente la cobertura informativa israelí de un acontecimiento diferente como prueba de que se había producido el ciberataque.31  Esta información fue ampliada por otros medios de comunicación iraníes y afines a Irán, de forma que se ocultó aún más la falta de pruebas que respaldaran las afirmaciones sobre el ciberataque.32
Adopción incipiente de la IA para operaciones de influencia 
El MTAC observó a agentes iraníes utilizando imágenes y vídeos generados por IA desde el estallido de la guerra entre Israel y Hamás. Cotton Sandstorm y Storm-1364, así como los medios de comunicación afiliados a Hezbolá y Hamás, han aprovechado la IA para potenciar la intimidación y crear imágenes que denigran a Netanyahu y a los dirigentes israelíes.
Ilustración 12: Operaciones de influencia de Cotton Sandstorm de agosto a diciembre de 2023, con diversos métodos y actividades.
1. Colaboración floreciente 
Semanas después de que comenzara la guerra entre Israel y Hamás, empezamos a ver ejemplos de colaboración entre grupos afiliados a Irán, lo que potenció lo que los actores podían conseguir. La colaboración reduce la barrera de entrada, ya que permite a cada grupo contribuir con las capacidades existentes y elimina la necesidad de que un solo grupo desarrolle un espectro completo de herramientas o técnicas.

Según nuestras informaciones, un par de grupos vinculados al MOIS, Storm-0861 y Storm-0842, colaboraron en un ciberataque destructivo en Israel a finales de octubre y de nuevo en Albania a finales de diciembre. En ambos casos, Storm-0861 probablemente proporcionó acceso a la red antes de que Storm-0842 ejecutara el malware de tipo wiper. Del mismo modo, Storm-0842 ejecutó malware de tipo wiper en entidades gubernamentales albanesas en julio de 2022, después de que Storm-0861 obtuviera acceso.

En octubre, otro grupo vinculado al MOIS, Storm-1084, también podría haber tenido acceso a una organización en Israel donde Storm-0842 implementó el wiper "BiBi", llamado así porque el malware renombra los archivos borrados con la cadena "BiBi". No está claro qué papel desempeñó Storm-1084, si es que desempeñó alguno, en el destructivo ataque. Storm-1084 llevó a cabo ciberataques destructivos contra otra organización israelí a principios de 2023, posibilitados por otro grupo vinculado al MOIS, Mango Sandstorm (alias MuddyWater).33

Desde el estallido de la guerra, Inteligencia contra amenazas Microsoft también ha detectado la colaboración entre un grupo vinculado al MOIS, Pink Sandstorm, y unidades cibernéticas de Hezbolá. Microsoft ha observado superposiciones de infraestructuras y herramientas compartidas. La colaboración iraní con Hezbolá en operaciones cibernéticas, aunque no carece de precedentes, plantea el problema de que la guerra podría acercar a estos grupos más allá de las fronteras nacionales en términos operativos.34 Dado que todos los ciberataques de Irán en esta guerra se han combinado con operaciones de influencia, es probable que Irán mejore sus operaciones de influencia y su alcance recurriendo a los hablantes nativos de árabe para mejorar la autenticidad de sus personajes no auténticos.

2. Israel en el punto de mira 
Se intensificó el interés de los ciberactores iraníes por Israel. Irán lleva mucho tiempo centrando su atención en Israel, al que Teherán considera su principal adversario junto con Estados Unidos. En consecuencia, según los datos de Inteligencia contra amenazas Microsoft, en los últimos años, las empresas israelíes y estadounidenses han sido casi siempre los objetivos más comunes de Irán. Antes de la guerra, los actores iraníes se centraron sobre todo en Israel, seguido de los EAU y Estados Unidos. Tras el estallido de la guerra, esa atención hacia Israel se disparó. El 43 % de la actividad cibernética de los Estados nación iraníes rastreada por Microsoft tuvo como objetivo a Israel, más que los 14 países siguientes juntos.
Desglose porcentual de los datos de la inteligencia sobre ciberataques de Mogult por país y objetivo iraní antes de la guerra y 75 días después del inicio de la guerra

Prevemos que la amenaza de las operaciones cibernéticas y de influencia de Irán aumentará a medida que persista el conflicto entre Israel y Hamás, sobre todo en medio del creciente potencial de escalada en otros frentes. Mientras que los grupos iraníes se apresuraron a realizar, o simplemente fabricar, operaciones en los primeros días de la guerra, los grupos iraníes han ralentizado sus operaciones recientes, lo que les ha dado más tiempo para conseguir el acceso deseado o desarrollar operaciones de influencia más elaboradas. Lo que las fases de la guerra expuestas en este informe dejan claro, es que las operaciones cibernéticas y de influencia iraníes han progresado lentamente, haciéndose más selectivas, colaborativas y destructivas.

Los actores iraníes también se han vuelto cada vez más audaces en sus ataques, sobre todo en un ciberataque contra un hospital y poniendo a prueba las líneas rojas de Washington, aparentemente despreocupados por las repercusiones. Los ataques del IRGC contra los sistemas estadounidenses de control del agua, aunque oportunistas, fueron aparentemente una hábil estrategia para poner a prueba a Washington reclamando legitimidad al atacar equipos fabricados en Israel.

De cara a las elecciones estadounidenses de noviembre de 2024, el aumento de la colaboración entre grupos iraníes y afiliados a Irán augura un mayor desafío para quienes se dedican a la defensa de las elecciones. Los defensores ya no pueden contentarse con rastrear a unos pocos grupos. El creciente número de agentes de acceso, grupos de influencia y ciberactores están creando un entorno de amenazas más complejo e interconectado.

Más información de expertos sobre las operaciones de influencia de Irán

Para saber más de la mano de expertos sobre las operaciones de ciberinfluencia de Irán, en particular sus acciones en relación con las elecciones presidenciales estadounidenses de 2020 y la guerra entre Israel y Hamás, consulta el pódcast Inteligencia contra amenazas Microsoft. El debate abarca las tácticas que utilizan los actores iraníes, como la suplantación de identidad, el reclutamiento de ciudadanos locales y el uso del correo electrónico y los mensajes de texto para amplificar el mensaje. También arroja luz sobre las complejidades de las actividades cibernéticas iraníes, sus esfuerzos de colaboración, el consumo de propaganda, las tácticas creativas y los desafíos que plantea la atribución de operaciones de influencia.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Operaciones de influencia cibernética Estado nación Informes de estado nacional Actores de amenazas

Artículos relacionados

Los actores de amenazas rusos se atrincheran y se preparan para aprovechar la fatiga de la guerra 

Las operaciones cibernéticas y de influencia rusas persisten mientras la guerra continúa. Inteligencia contra amenazas Microsoft detalla las últimas actividades de ciberamenazas e influencia durante los últimos seis meses.
Más información

Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto

Inteligencia contra amenazas Microsoft descubrió un aumento de las operaciones de influencia cibernética desde Irán. Obtén información sobre amenazas con detalles sobre nuevas técnicas y posibles amenazas futuras.
Más información

Las operaciones cibernéticas y de influencia de la guerra en el campo de batalla digital de Ucrania

Inteligencia contra amenazas de Microsoft examina un año de operaciones cibernéticas y de influencia en Ucrania, descubre nuevas tendencias en ciberamenazas y qué esperar cuando la guerra entra en su segundo año.
Más información