Misiles vuelan y el correo colapsa: bienvenidos a un mundo donde la ciberguerra ya forma parte de los partes de guerra
Cada brecha digital abre la puerta a un incendio real.
En marzo, en el contexto del agravamiento de la situación en Oriente Medio, los ciberataques trascendieron los escenarios habituales y comenzaron a entrelazarse estrechamente con los hechos reales. Expertos detectaron una serie de intentos de intrusión en servicios en la nube que, por la naturaleza de los objetivos, podrían complementar las acciones militares y ayudar a evaluar las consecuencias de los ataques.
El equipo de Check Point Research registró una campaña de búsqueda de contraseñas contra la infraestructura de Microsoft 365. La actividad se atribuyó a un grupo que actúa en interés de Irán. Los ataques se produjeron en tres oleadas — 3, 13 y 23 de marzo — y afectaron a más de 300 organizaciones en Israel y a más de 25 en Emiratos Árabes Unidos. Episodios aislados se detectaron en Europa, Estados Unidos, Reino Unido y Arabia Saudita.
El objetivo principal fueron los municipios. Estas entidades desempeñan un papel clave en la gestión de las consecuencias de los ataques con cohetes. Los analistas observaron coincidencias entre las ciudades atacadas y las zonas que fueron bombardeadas en el mismo periodo. Esa relación indica el posible uso de datos robados para evaluar los daños y planificar acciones posteriores.
Los atacantes emplearon el método Password Spraying — comprobación masiva de contraseñas comunes en un gran número de cuentas. A diferencia del cribado clásico, este enfoque no ataca una sola cuenta, sino que distribuye los intentos entre muchos usuarios, reduciendo el riesgo de bloqueo. Para dificultar su detección se usaron diferentes direcciones IP y nodos de la red Tor.
Tras obtener credenciales válidas, los atacantes pasaban a la siguiente fase. El acceso al sistema se efectuaba a través de servicios VPN comerciales con direcciones IP vinculadas a Israel, lo que permitía eludir las restricciones geográficas. A continuación, los intrusos obtenían acceso a información confidencial, incluido el correo electrónico.
Por el conjunto de indicios, la actividad se relacionó con conocidas agrupaciones iraníes, entre ellas Gray Sandstorm. En los registros se hallaron herramientas y tácticas similares, incluido el uso de Tor y la infraestructura de un proveedor concreto.
Los especialistas aconsejan prestar atención a los registros de acceso para detectar a tiempo intentos masivos de autenticación fallidos. Además, recomiendan limitar el acceso por geolocalización, bloquear redes anónimas e implementar la autenticación multifactor para todos los usuarios. Se hace especial hincapié en conservar los registros: sin ellos es difícil comprender la magnitud del incidente y las acciones de los atacantes tras acceder al sistema.