Ciberataque de Irán contra Estados Unidos: ¿cuáles pueden ser las consecuencias?

El asesinato del general Qasem Soleimani a manos del ejército estadounidense, porque según el presidente Donald Trump "planeaba volar la embajada estadounidense en Irak", ha hecho que el mundo entero piense que Irán prepara una serie de ciberataques contra Estados Unidos como parte de su venganza. Incluso la embajadora estadounidense en Naciones Unidas, Kelly Craft, justificó ante el Consejo de Seguridad de Naciones Unidas dicho asesinato como un acto de "legítima defensa".

Aunque Irán no se considera una de las amenazas cibernéticas más gigantescas del mundo (su programa va a la zaga de Rusia y China), la preocupación no es nimia tampoco porque sus ataques cibernéticos, hasta ahora, se han caracterizado por la imprevisibilidad, y el gobierno de Estados Unidos desconoce cómo han mejorado sus capacidades en los últimos años.

¿Cuáles pueden ser las consecuencias de esta amenaza de ciberguerra de Irán contra EE. UU.? Hemos hablado con el experto en ciberseguridad Deepak Daswani (La Amenaza Hacker, 2018) para analizar la situación y ponderar sus posibles consecuencias.

¿Irán supone realmente un peligro para la ciberseguridad?

“A raíz de las últimas noticias y del asesinato por parte de EE.UU. al general Soleimani, se especula mucho con la posibilidad de que Irán utilice el ciberespacio como campo de batalla para lanzar su respuesta. En este sentido, Irán podría suponer un peligro para la ciberseguridad, pero al igual que el resto de estados con capacidades ofensivas en este ámbito, que como sabemos son muchos. A lo largo de los últimos años hemos conocido detalles sobre numerosos ataques que se lanzan desde naciones tanto sobre otros países, como sobre estamentos concretos, compañías o incluso individuos disidentes de algún régimen. Suele tratarse de ataques sofisticados, que requieren de planificación, recursos y un despliegue de capacidades. Ataques que se lanzan sobre sectores y objetivos concretos dirigidos dependiendo de la motivación que tengan, pero evidentemente no sobre el mundo entero. A diferencia de las campañas masivas de ataques que lanzan los ciberdelincuentes para obtener máxima rentabilidad con la mínima inversión, los ataques que provienen de estados tienen siempre objetivos muy concretos y dirigidos”.

Algunas voces en Internet parecen asumir que lo ocurrido significa que es casi inminente que haya una Tercera Guerra Mundial que, a diferencia de las anteriores, sería cibernética. ¿Qué opina?

“Que esto no es nada nuevo para los que conocemos este mundo. Desde hace ya muchos años se han dado numerosos incidentes de guerra entre países. Uno de los más sonados del que se habló mucho durante años en medios, congresos de seguridad, series y hasta películas fue precisamente entre Estados Unidos e Irán. Hablamos como no podía ser de otra manera de Stuxnet, el primer ataque sobre una central nuclear de Irán allá por 2009, que provenía de EE.UU. e Israel. De hecho este ataque y otros que le sucedieron motivaron la aparición de un acrónimo muy utilizado desde entonces y en los últimos años en el sector de la ciberseguridad: el de APT (Advanced Persistent Threat). Para definir precisamente los ataques dirigidos a los que hacíamos referencia sobre objetivos concretos, que cuentan con un nivel de sofisticación y planificación muy grandes, y detrás de los cuales en muchos casos hay gobiernos.

Respecto a la alusión a una Tercera Guerra Mundial, el experto comenta: “Como hemos visto a lo largo de la historia, ya se han dado algunos incidentes de ciberguerra entre países. Además, de Stuxnet, podríamos comentar la operación Aurora, los incidentes entre Estonia y Rusia, China y Estados Unidos.... Realmente este escenario que constituye el ciberespacio, es un contexto diferente que poco tiene que ver con el mundo físico, donde evidentemente cuando se produce un ataque por parte del ejército de un país , el mundo entero se percata. En este sentido, los ataques que tienen como escenario la red, no se pueden apreciar tan fácilmente. En muchos casos son ataques muy complejos y sofisticados, que se perpetran de manera global y en los que ya de por sí lo más difícil es poder atribuir la autoría del ataque a un ejército o a una nación. En la mayoría de los casos tras investigar se puede especular quién ha estado detrás de un ataque pero en última instancia es imposible garantizar al 100% la veracidad de esta suposición, por lo que evidentemente los responsables de los diferentes países generalmente tampoco reconocen ni asumen su posible responsabilidad o implicación en un ataque. Esto es lo que hace que el ciberespacio sea un marco muy atractivo para lanzar estos ataques. Por otra parte siempre será menos costoso lanzar exploits a través de la red que movilizar un ejército a un país”.

“Lo que es una realidad es que desde hace ya unos cuantos años existen operaciones que se desarrollan en el espacio virtual, y que como hemos afirmado previamente, en la práctica es muy difícil atribuir la autoría de los ataques a ciencia cierta. Por otra parte, algo que también sucede ya a día de hoy es que en muchas ocasiones, en los conflictos bélicos tradicionales, los ataques en el mundo físico van precedidos de ataques en el ciberespacio, que buscan atentar contra las infraestructuras que dan soporte a las defensas de la nación o país a atacar. Un ejemplo de esto lo pudimos ver hace unos años en el conflicto en Libia, donde EE.UU. planteó la posibilidad de lanzar ciberataques para cortar temporalmente las comunicaciones militares de la defensa de Libia, de cara a que no pudiesen enviar misiles a los aviones de la OTAN”.

Han pasado unos días y no parece haber habido una respuesta significativa. Sea como fuere, ¿cuáles serían las preocupaciones más genuinas y las consecuencias de un ataque de estas características? ¿Podría afectarnos?

“Un ataque de estas características lleva consigo planificación, recursos y despliegue de capacidades. Además, se trata de ataques que generalmente se constituyen de varias etapas y que pasan por diferentes fases. Por otra parte, el hecho de que se cree una alerta generalizada a nivel mundial para poder detectar una ofensiva de estas características, también hace que el atacante deba maximizar la precaución para no ser detectado. En principio, según podríamos entrever, el objetivo de una respuesta por parte de Irán sería EE.UU., por motivos evidentes, por lo que son sus infraestructuras críticas y sus organizaciones las que podrían estar entre los objetivos principales. Pero todo puede pasar. Recordemos que más allá de estos incidentes de ciberataques entre países, hemos visto casos de incidentes en los últimos años muy mediáticos en los que se han visto comprometidas organizaciones e infraestructuras de diferentes países. Como el famoso WannaCry, el ciberataque más mediático de la historia, o el Non-Petya que se produjo justo un mes después. También sería posible que otros actores ajenos al conflicto como pudiesen ser otros estados u organizaciones cibercriminales aprovechasen el momento para lanzar alguna campaña de ataques, intentando apuntar a Irán como el país responsable para generar confusión y evitar ser detectados. Lo bueno o lo malo que tienen los ataques en el ciberespacio es que es difícil atribuir en última instancia la autoría real de un ataque, aunque en muchos casos con el paso del tiempo se pueda apuntar con casi total certeza”.

¿Qué medidas preventivas aconsejaría a usuarios o empresas?

“Pues maximizar la precaución siguiendo las directrices de seguridad que siempre se apuntan. Pero en particular ser extremadamente cautos a la hora de abrir correos electrónicos, pinchar enlaces o abrir adjuntos incluso en aquellos correos que aparenten venir de remitentes conocidos y confiables. En este tipo de ataques dirigidos, el nivel de sofisticación es tal que se conoce el entorno de los objetivos y es posible utilizar señuelos muy creíbles a la hora de suplantar la identidad de contactos de confianza mediante ataques de phishing dirigidos para poder robar credenciales y disponer de un primer punto de acceso a la organización atacada. Por otra parte, es esencial mantener siempre los sistemas actualizados para evitar que puedan ser comprometidos mediante vulnerabilidades conocidas. Esto debe de ser una máxima. Es cierto que ante una vulnerabilidad zero day (no conocida ni por el fabricante) nadie puede protegerse y que ataques sofisticados como los que comentamos podrían utilizar este tipo de ciberarmas, pero volvemos a que en la práctica, tiene sentido que estas se utilizarían sobre objetivos concretos y no se “desperdiciarían” para lanzar un ataque masivo. De cualquier modo, incluso siendo consciente de que a día de hoy no es posible pretender evitar ser comprometidos en algún momento, sí que es posible mitigar el impacto que un posible ciberataque pueda tener. Y para ello hay que aplicar estas medidas y muchas otras, como incluso impartir formación al personal de la organización sobre concienciación en ciberseguridad. Esto último es esencial para evitar que los trabajadores caigan en las trampas de los ciberdelincuentes. Por otra parte, es imperativo que las organizaciones que no hayan desarrollado un plan de respuesta a incidentes se marquen como objetivo prioritario la elaboración del mismo. Debemos de asumir que en algún momento podemos ser víctimas de un ciberataque, y que es indispensable poder estar preparados para algo ocurra y saber cómo reaccionar”.

Los ataques informáticos que sufrimos en 2019

El Centro Criptológico Nacional (CCN) detectó 36 ciberataques críticos a sistemas informáticos de nuestro país durante 2019. Estos fueron los incidentes más destacados:

Caso FaceApp: Su política de privacidad resultó ser un tanto opaca y anticuada, pues la empresa rusa establecía que los usuarios otorgaban absolutamente todos los derechos acerca de los resultados obtenidos por el uso de la aplicación a la compañía y a empresas filiales del mismo grupo.

Filtración de datos en venta online de entradas a la Alhambra: en mayo de 2019, los datos privados (emails, números de teléfono, nombres, apellidos...) de 4,5 millones de usuarios de este servicio fueron hackeados y fueron a parar a manos de ciberdelincuentes, engrosando el mercado negro de compra de datos robados.

Cibersecuestro Ryuk: Europa sufrió un ciberataque basado en ransomware, concretamente en Ruyk, un tipo de malware especializado en atacar entornos empresariales. Este malware “secuestra” los datos del usuario al ser infectado y solicita un rescate económico para dejar libre o desbloquear el ordenador. En 2018 el protagonista fue el virus WannaCry y en 2019 lo ha sido Ryuk, que provocó caídas de servicios y páginas web.