Irán lanzó su propia campaña contra Israel cuando comenzó la guerra el 7 de octubre. Inicialmente, los esfuerzos de Irán fueron reactivos y su campaña de influencia se centró en difundir información engañosa.
Los grupos iraníes y afiliados a Irán rápidamente se coordinaron mejor en sus esfuerzos, añadiendo ciberataques dirigidos a aumentar la confusión y el caos sobre la situación sobre el terreno. A medida que pasa el tiempo, este enfoque doble está ampliando su alcance en todo el mundo para involucrar a más naciones e impactar el diálogo global sobre el conflicto en curso.
La naturaleza cambiante de la campaña de Irán presenta tanto una preocupación actual como un modelo para futuros ataques contra organizaciones y la sociedad en su conjunto. Para los defensores, comprender cómo se desarrollan estas amenazas en tres fases distintas puede ayudar a identificar vulnerabilidades y vectores de ataque.
Fase 1: Reactiva y engañosa
Inmediatamente después de que comenzara el conflicto, los medios estatales de Irán y las agencias de noticias afiliadas comenzaron a hacer afirmaciones que resultaron ser demostrablemente falsas o no relacionadas, como la jactancia de que un grupo de piratas informáticos atacó con éxito una compañía eléctrica israelí al mismo tiempo que el ataque inicial de Hamás. Las únicas pruebas ofrecidas fueron viejas noticias sobre cortes de energía y capturas de pantalla sin fecha. El mismo grupo de hackers afirmó haber filtrado posteriormente documentos de otra central eléctrica israelí; un examen de los documentos reveló que habían sido filtrados más de un año antes.
Además de reutilizar material antiguo, los actores de amenazas afiliados a Irán utilizaron credenciales recopiladas en ataques anteriores para filtrar información no relacionada con el fin de aumentar la confusión. El 8 de octubre se filtraron datos personales de una universidad israelí, aunque no parecía haber conexión con el ataque de Hamas, lo que sugiere que el objetivo era oportunista.
El alcance de la campaña de influencia fue más amplio desde el principio
El alcance de los medios de comunicación afiliados al Estado iraní aumentó durante los primeros días de la guerra. Laboratorio de IA de Microsoft para el bienEl índice de propaganda iraní de Irán aumentó un 42% esa primera semana, lo que refleja un tráfico adicional que visita los sitios de noticias estatales y afiliados al estado de Irán. Los países de habla inglesa representaron gran parte de ese aumento, en particular Australia, Canadá y el Reino Unido. Un mes después, el tráfico mundial a estos sitios se mantuvo casi un 30 por ciento más alto que antes de la guerra.
Un elemento importante en la etapa inicial de la campaña de influencia fue la velocidad. Múltiples actores actuaron rápidamente y difundieron mensajes engañosos a las pocas horas o días del inicio del conflicto. Esto puede reflejar la facilidad de lanzar una campaña de influencia cibernética, en lugar de una estrategia de ciberataque en toda regla.
Fase 2: Manos a la obra
A medida que los combates continuaron durante octubre, más grupos iraníes centraron su atención en Israel. Más importante aún, estos actores de amenazas evolucionaron sus tácticas para incluir ciberataques activos contra objetivos específicos. La eliminación de datos y el ransomware aumentaron, y los dispositivos IoT fueron el objetivo. En este punto, los grupos se coordinaron cada vez más en sus esfuerzos.
Al comienzo de la guerra, nueve grupos iraníes tenían como objetivo a Israel, pero al final de la segunda semana, Microsoft Threat Intelligence rastreó 14 grupos. Algunos de estos atacantes persiguieron los mismos objetivos utilizando técnicas tanto cibernéticas como de influencia. Esto sugiere coordinación u objetivos comunes.
Irán vinculó rápidamente actores y técnicas de amenaza
Las operaciones de influencia cibernéticas también aumentaron durante las primeras semanas, con más del doble de actividad que al comienzo del conflicto. Por ejemplo, un grupo utilizó ransomware para afectar algunas cámaras de seguridad en partes de Israel; Luego, el mismo grupo utilizó una persona en línea para decir que esas cámaras estaban en una base de la Fuerza Aérea de Israel. Esta afirmación falsa pretendía exagerar las capacidades del grupo iraní.
A finales de octubre, las operaciones de Irán se volvieron más extensas y sofisticadas en el uso de amplificación no auténtica. Utilizando múltiples personas en línea falsas o robadas (“sockpuppets”), enviaban correos electrónicos y mensajes de texto para difundir mensajes inventados, a menudo utilizando cuentas comprometidas para agregar un barniz de autenticidad.
Fase 3: Ampliación del alcance geográfico
A medida que avanzaba el conflicto, los grupos iraníes ampliaron sus actividades de influencia cibernéticas para apuntar a naciones que consideraban que brindaban apoyo a Israel. Los ciberataques se dirigieron a Bahréin, Estados Unidos y posiblemente Irlanda. En Estados Unidos, grupos afiliados a Irán atacaron computadoras industriales fabricadas en Israel, incluido uno de esos dispositivos en una autoridad de agua en Pensilvania.
Mientras tanto, sus campañas de influencia cibernéticas se volvieron más matizadas, con actualizaciones en los perfiles de sus títeres. Los grupos también comenzaron a utilizar IA para crear nuevo contenido para que estas personas en línea lo distribuyeran, además de piratear canales de televisión en tiempo real para mostrar «informes de noticias» generados por IA. Se informó que estos ataques afectaron a los espectadores en los Emiratos Árabes Unidos, Canadá y el Reino Unido.
Comprender la amenaza en evolución
Con el tiempo, los grupos iraníes reorientaron sus esfuerzos de respuestas rápidas y oportunistas a operaciones más coordinadas y multifacéticas. Múltiples grupos trabajaron en conjunto para implementar ciberataques y campañas de influencia cibernéticas, volviéndose más destructivos a la vez que crecían en alcance. Para los defensores de todo el mundo, es esencial crear conciencia sobre este entorno de amenazas en expansión y, al mismo tiempo, realizar un seguimiento activo de la gama cada vez mayor de participantes y actores de amenazas.
A aprende más sobre las operaciones de influencia cibernética de Irán, lea este Microsoft Security Insider Informe del estado nacional o escuchar el Podcast de inteligencia sobre amenazas de Microsoft.