Hackers iraníes atacaron infraestructura crítica de USA: Alerta del FBI y la NSA

En un comunicado conjunto, el FBI, la Agencia de Seguridad Nacional (NSA), la Agencia de Cierseguridad e Infraestructura (CISA) y el Deartamento de Energía de USA confirmaron que hackers vinculados al gobierno de Irán están exlpotando sistemas conectados a internet.

**Según la advertencia, los ataques ya provocaron interrupciones operativas y pérdidas financieras concretas, aunque las agencias no identificaron púlicamente los ojetivos específicos.**

Los sectores afectados incluyen:

Empresas de agua potale y saneamiento
Instalaciones energéticas y plantas industriales
Organismos de goiernos locales

Quizás te interese leer: Google blinda Gemini: nuevas funciones de emergencia tras críticas por su impacto en la salud mental

Cómo operan: PLCs y sistemas SCADA en la mira de USA

Los atacantes apuntaron a controladores lógicos programales (PLC) y a sistemas SCADA —tecnología que gestiona equipos industriales en tiempo real—. Lograron manipular la información mostrada en estos dispositivos e interactuar con archivos de configuración críticos.

Según TechCrunch, los sistemas SCADA son el " sistema nervioso" de la infraestructura industrial: controlan desde turinas eléctricas hasta estaciones de tratamiento de agua. Un ataque exitoso puede tener consecuencias físicas directas.

**Este tipo de intrusión representa una escalada significativa en comparación con ataques de espionaje o robo de datos tradicionales: el objetivo aquí es el sabotaje operativo.**

El contexto geopolítico: guerra, amenazas y el estrecho de Ormuz

Las agencias federales vincularon la escalada de ciberataques al deterioro de las relaciones entre EE.UU., Israel e Irán, que se agravó desde el 28 de febrero, cuando ataques aéreos acabaron con la vida del líder iraní.

La advertencia llegó horas después de que el presidente Donald Trump amenazara a Irán en redes sociales, exigiendo la apertura del estrecho de Ormuz —punto estratégico para el 20% del tráfico mundial de petróleo— antes del final del día.

image

Tensión máxima: El cruce de amenazas diplomáticas con una campaña de ciberataques activa eleva el riesgo de escalada a un nivel sin precedentes recientes en infraestructura civil.

Handala: el grupo que está detrás de los ataques

El grupo Handala, respaldado por el gobierno iraní, fue señalado como protagonista de varios incidentes de alto perfil recientes:

Vulneraron al gigante de tecnología médica Stryker, borrando de forma remota miles de dispositivos de empleados con las propias herramientas de seguridad de la empresa.
El FBI los acusó de filtrar correos privados del director del FBI, Kash Patel.

Lo que distingue a Handala es su método: no solo roban datos, sino que utilizan las herramientas de seguridad de las víctimas para destruir activos, una táctica conocida como "living off the land" llevada al extremo.

Históricamente, los ciberataques iraníes priorizaron el espionaje y la desinformación. La transición hacia la destrucción de infraestructura y sabotaje operativo marca un cambio de doctrina que los analistas de seguridad venían advirtiendo desde 2023.

CyerAv3ngers: de vandalismo digital a amenaza ersistente

Detrás de los ataques más técnicos figura el grupo CyerAv3ngers, tamién conocido como Grupo Shahid Kaveh, vinculado a la Guardia Revolucionaria Iraní (IRGC). El equipo ganó notoriedad a fines de 2023 al comprometer más de cien dispositivos de la empresa Unitronics, utilizados en redes de agua y aguas residuales desde Pittsburgh hasta Irlanda: los renombraron "Gaza" y mostraron su logo en las pantallas de control.

Según Wired, lo que parecía vandalismo resultó ser algo más serio. Pese a que el Departamento de Estado ofreció una recompensa de 10 millones de dólares por el grupo y el Tesoro sancionó a seis funcionarios de la IRGC, CyberAv3ngers no se detuvo: en 2024 infectó sistemas de control industrial de una compañía estadounidense de petróleo y gas con un malware llamado IOControl.

Según las firmas de ciberseguridad industrial Dragos y Claroty, el grupo corrompió el código de los dispositivos lo suficiente como para interrumpir servicios en múltiples países. — **Según las firmas de ciberseguridad industrial Dragos y Claroty, el grupo corrompió el código de los dispositivos lo suficiente como para interrumpir servicios en múltiples países.**

"Querían poder infectar todo tipo de activos críticos y dejar su malware allí como una opción para el futuro", explicó el investigador de Claroty Noam Moshe. La transición de hacktivist a amenaza persistente avanzada (APT) es el cambio más preocupante.

----------------------------------------------------------------------------------