Ciberataques alineados y patrocinados por el estado iraní
Los últimos acontecimientos han provocado un aumento de la preocupación por posibles ataques cibernéticos procedentes de Irán. Estos son los últimos hallazgos del equipo de investigación de amenazas de Proofpoint sobre ataques patrocinados y alineados por el estado iraní, y recomendaciones de seguridad.
Autores de amenazas iraníes: cómo operan y últimos hallazgos
La capacidad de ataque cibernético iraní despuntó por primera vez a nivel mundial alrededor de 2013, tres años después del ataque de Stuxnet. Los atacantes patrocinados y alineados por el estado han sido una amenaza continua y se han dirigido a gobiernos, organizaciones y ciudadanos de todo el mundo, con impactos significativos.
El equipo de investigación de amenazas de Proofpoint continúa viendo actividades que siguen la misma lógica que las campañas iniciadas a principios de diciembre de 2019. Según las anteriores acciones de los actores de amenazas iraníes, es poco probable que se produzca nueva actividad de inmediato, ya que habitualmente son grupos muy metódicos y prudentes con los tiempos.
Si bien no podemos predecir que vayan a aumentar los ataques ni de qué tipo serán, es importante examinar los ataques anteriores para comprender mejor a estos actores de amenazas. Los datos históricos muestran que no podemos tomarnos esta amenaza a la ligera. Los atacantes iraníes pueden no ser tan conocidos como los de otros países, pero han llevado a cabo con éxito muchas operaciones a lo largo de los años, a veces con efectos significativos e incluso devastadores.
Los grupos de ataque iraníes operan principalmente por debajo del radar informativo (con la excepción de los ataques Shamoon). Esto se debe a la naturaleza metódica de su trabajo y su capacidad para evitar causar incidentes que generen grandes titulares. Eligen sus objetivos con cuidado y se infiltran frecuentemente de forma lenta y sigilosa, para llevar a cabo acciones de reconocimiento, espionaje o ataques posteriores. A menudo, estos grupos recogen credenciales y las mantienen a lo largo del tiempo para conseguir hacer el mayor daño posible. Esto significa que los ataques iraníes podrían tener ya información y presencia en determinados objetivos, que podrían movilizar en nuevos ataques.
Estos grupos iraníes no solo atacan a los Estados Unidos, Israel y Arabia Saudita: operan a una escala verdaderamente global. Y aunque los objetivos gubernamentales y militares son obvios, también persiguen a compañías de telecomunicaciones, organizaciones financieras y grupos de derechos humanos o incluso educativos. Organizaciones mundiales, de diversos sectores, deberían tomarse en serio esta amenaza potencial.
Recomendaciones de seguridad
Las sofisticadas amenazas patrocinadas y afiliadas al estado iraní requieren un cuidadoso enfoque de seguridad interno y externo (en asociación con fabricantes, proveedores y otros) para mejorar la posición general de seguridad de una organización; un enfoque básico no será suficiente. Una acción inmediata y efectiva para ayudar a proteger a la organización es mitigar los efectos de las credenciales robadas, particularmente aquellas con privilegios administrativos. Algunas organizaciones deberían considerar forzar el restablecimiento de contraseñas, incluidas las cuentas de servicio.
Asegúrese de reducir la superficie de ataque, llevar a cabo las actualizaciones de seguridad y asegurarse de que los empleados estén capacitados para identificar posibles amenazas. Monitorice lo que entra y sale de la red y dónde hacen clic los empleados, qué abren y qué distribuyen con sus cuentas de empresa. Cuanto más pequeña sea la superficie de ataque, más difícil es que los atacantes puedan hacer algo. Asegúrese de que los sistemas estén parcheados, porque cualquiera puede tener acceso a herramientas de código abierto. Hemos visto que los grupos APT usan vulnerabilidades públicas porque es rentable ya que es fácil conseguir objetivos.
Y, finalmente, trabaje activamente para implementar un plan de respuesta que involucre no solo a su organización sino también a sus empleados, proveedores y partners.
