Las agencias estadounidenses advierten sobre el aumento de los ataques cibernéticos iraníes contra la defensa, las redes OT e infraestructura crítica

Las agencias de ciberseguridad e inteligencia de los Estados Unidos han emitido una advertencia conjunta de ataques cibernéticos potenciales de actores de amenaza patrocinados por el estado iraní o afiliados.

«En los últimos meses, ha habido una actividad creciente de hacktivistas y actores afiliados al gobierno iraní, que se espera que se intensifique debido a eventos recientes», las agencias dicho.

«Estos actores cibernéticos a menudo explotan objetivos de oportunidades basados ​​en el uso de software no parpadeado o anticuado con vulnerabilidades y exposiciones comunes conocidas o el uso de contraseñas predeterminadas o comunes en cuentas y dispositivos conectados a Internet».

Actualmente no existe evidencia de una campaña coordinada de actividad cibernética maliciosa en los Estados Unidos que puede atribuirse a Irán, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigación (FBI), el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3) y la Agencia Nacional de Seguridad (NSA).

Enfatizando la necesidad de una «mayor vigilancia», las agencias destacaron a las compañías de la Base Industrial de Defensa (DIB), específicamente aquellos con lazos con las empresas de investigación y de defensa israelíes, como un riesgo elevado. Las entidades estadounidenses e israelíes también pueden estar expuestas a ataques distribuidos de denegación de servicio (DDoS) y campañas de ransomware, agregaron.

Los atacantes a menudo comienzan con herramientas de reconocimiento como Shodan para encontrar dispositivos vulnerables orientados a Internet, especialmente en entornos del sistema de control industrial (ICS). Una vez dentro, pueden explotar la segmentación débil o los firewalls mal configurados para moverse lateralmente a través de las redes. Los grupos iraníes han utilizado previamente herramientas de acceso remoto (ratas), keyloggers e incluso utilidades de administración legítimas como Psexec o Mimikatz para intensificar el acceso, todo mientras evade las defensas básicas de punto final.

Según las campañas anteriores, los ataques montados por los actores de amenaza iraníes aprovechan las técnicas de aprovechamiento de la contraseña automatizada, el agrietamiento de hash de contraseña y las contraseñas predeterminadas del fabricante para obtener acceso a dispositivos expuestos a Internet. También se ha encontrado que emplean herramientas de ingeniería y diagnóstico de sistemas para violar las redes de tecnología operativa (OT).

El desarrollo se produce días después del Departamento de Seguridad Nacional (DHS) liberado Un boletín que insta a las organizaciones estadounidenses a estar atentos a posibles «ataques cibernéticos de bajo nivel» por parte de los hacktivistas pro-iraníes en medio de las continuas tensiones geopolíticas entre Irán e Israel.

La semana pasada, punto de control reveló Que el Grupo de piratería de estado-estado de la nación iraní rastreó como periodistas dirigidos a APT35, expertos en seguridad cibernética de alto perfil y profesores de informática en Israel como parte de una campaña de phishing de lanza diseñada para capturar sus credenciales de cuentas de Google utilizando páginas de inicio de sesión de Gmail falsos o las invitaciones de Google.

Como mitigaciones, se aconseja a las organizaciones que sigan los pasos a continuación –

• Identificar y desconectar los activos de OT y ICS de Internet público
• Asegúrese de que los dispositivos y las cuentas estén protegidos con contraseñas fuertes y únicas, reemplace las contraseñas débiles o predeterminadas, y apliquen la autenticación multifactor (MFA)
• Implementar MFA resistente a phishing para acceder a redes OT desde cualquier otra red
• Asegúrese de que los sistemas estén ejecutando los últimos parches de software para proteger contra las vulnerabilidades de seguridad conocidas
• Monitorear los registros de acceso de los usuarios para el acceso remoto a la red OT
• Establecer procesos OT que eviten cambios no autorizados, pérdida de visión o pérdida de control
• Adoptar copias de seguridad del sistema y datos completos para facilitar la recuperación

«A pesar de un alto el fuego declarado y las negociaciones continuas hacia una solución permanente, los actores cibernéticos y grupos hacktivistas afiliados a iraníes aún pueden realizar actividades cibernéticas maliciosas», dijeron las agencias.

Actualizar

En un nuevo informe, Censys dijo que descubrió 43.167 dispositivos expuestos a Internet de Tridium Niagara, 2,639 de Red Lion, 1.697 de Unitronics y 123 de Orpak Siteomat a partir de junio de 2025. La mayoría de las mayores exposiciones asociadas con Tridium Niagara parecen estar en Alemania, Sweden y Japón.

También señaló que las contraseñas predeterminadas continúan proporcionando una vía fácil para que los actores de amenazas accedan a sistemas críticos, instando a los fabricantes a evitar dispositivos de envío o software con credenciales predeterminadas, y en su lugar requieren contraseñas fuertes y únicas, así como para ofrecer formas de evitar exponer sus sistemas directamente a Internet.

«Además de la unidad, que se observa más comúnmente en Australia, el mayor número de estos dispositivos se observan en los Estados Unidos», la compañía dicho. «Aunque Tridium Niagara cuenta con los números de exposición más altos, es el software de automatización de construcción. Dependiendo del objetivo de un actor de amenaza, estos sistemas, aunque abundantes, pueden no ser los objetivos más valiosos».

Socradar dicho El conflicto de Irán-Israel de 2025 ha llevado a un aumento en la actividad cibernética, con más de 600 reclamos de ataque cibernético reportados en más de 100 canales de telegrama entre el 12 y el 27 de junio, 2025. Israel surgió como el país más dirigido con 441 reclamos de ataque, seguidos por los Estados Unidos (69), India (34) y Medio Oriente como Jordan (33) y Saudi Arabia (13).

Los principales grupos hacktivistas durante el período de tiempo incluyeron al Sr. Hamza, Keymous, Mysterious Team, Team Fearless, Garuda_error_System, Dark Storm Team, Arabian Ghosts, Cyber ​​Fattah, Cyber ​​Unity y Noname057 (16). Los gobiernos, la defensa, las telecomunicaciones, los servicios financieros y los sectores de tecnología se encontraban entre las industrias más específicas.

«Desde que comenzó la guerra, los piratas informáticos patrocinados por el estado, los hacktivistas de ambos países y los actores cibernéticos de naciones no participantes que van desde el sur de Asia hasta Rusia hasta todo el Medio Oriente se han vuelto activos», la firma de inteligencia de amenazas dicho. «Israel fue el objetivo principal de los ataques DDoS, con 357 reclamos, lo que representa el 74% de toda la actividad de DDoS».

Destacando el aumento en la actividad hacktivista en medio del conflicto, Outpost24 Krakenlabs, la investigadora Lidia López Sanzh, dijo que más de 80 grupos hacktivistas distintos están «realizando activamente o apoyando» operaciones cibernéticas ofensivas dirigidas a Israel y sus aliados, agregando sospechosos de sospecha entidades faketivistas Tales como Cyber ​​Av3ngers, Handala y Depredatory Sparrow probablemente operen con apoyo estatal o directamente bajo dirección estatal.

Entre los colectivos hacktivistas que han expresado solidaridad con Irán están Dienet, el misterioso equipo de Bangladesh, el equipo loco Pakistán, Z-Alianza, los asesinos de servidores, el equipo cibernético de Akatsuki, Ghostsec, Keymous+, Inteid, Anónimo de Cachemira y el Sr. Hamza Cyber ​​Force.

«El aumento dramático en las operaciones cibernéticas hacktivistas después de las recientes escaladas geopolíticas entre Israel e Irán subraya el papel cibernético cada vez más central que juega el conflicto cibernético dentro de la guerra moderna», Outpost24 dicho. «Los hacktivistas ideológicamente impulsados, junto con los posibles faketivistas en estado-nación, han demostrado claramente su disposición para explotar las tensiones geopolíticas para perseguir diversos objetivos estratégicos».