Detrás del humo del ransomware hay una operación de espionaje que lleva meses robando datos. Los hackers, vinculados a Irán, han utilizado el ransomware Chaos como cortina para una campaña de ciberespionaje que ha pasado desapercibida hasta ahora. Los detalles los acaba de hacer públicos Israel Defense: los atacantes no buscaban un rescate económico; su objetivo era la exfiltración silenciosa de información sensible en múltiples sectores. La campaña, aún activa, demuestra cómo las APT iraníes están refinando su tradecraft para combinar sabotaje y espionaje en una sola operación.
La investigación de Israel Defense, el medio especializado en defensa y ciberseguridad del país, señala que los atacantes emplearon el ransomware Chaos —una variante conocida desde 2021— para cifrar sistemas como maniobra de distracción mientras, en paralelo, establecían canales de exfiltración de datos. El modus operandi es inconfundiblemente iraní, según los analistas: el grupo, probablemente alineado con el Ministerio de Inteligencia y Seguridad iraní (MOIS) o con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), ha replicado tácticas empleadas por APT35 (Charming Kitten) y APT34 (OilRig), pero con una capa adicional de ocultación.
Las víctimas identificadas abarcan organizaciones gubernamentales, entidades del sector energético y empresas tecnológicas en Oriente Próximo y, según algunas fuentes, también en Europa. No constan por ahora afecciones directas en España, pero las infraestructuras críticas nacionales monitorizan de cerca este tipo de campañas. El vector de entrada más común ha sido el correo electrónico con documentos maliciosos que explotan vulnerabilidades en el software de ofimática.
La elección del ransomware Chaos no es casual. A diferencia de otras familias más agresivas, Chaos tiene un código relativamente sencillo y se vende en foros clandestinos por unos pocos cientos de dólares. Eso permite a los atacantes lanzar una oleada de cifrado sin revelar capacidades avanzadas ni exponer herramientas propias. Es un disfraz barato, sí, pero eficaz para que los equipos de respuesta se centren en la recuperación del cifrado mientras la verdadera operación —el robo de datos— pasa a un segundo plano.
He hablado de esto muchas veces con analistas de inteligencia. “El ransomware no siempre es ransomware”, me decía un veterano del CNI hace años. Aquella frase me ha vuelto, como un eco, al leer el informe de Israel Defense. Porque lo que tenemos aquí no es un simple ataque de doble extorsión (cifrar y amenazar con filtrar), sino una operación de bandera falsa digital: utilizar una herramienta de delincuencia común para tapar una actividad que, de otro modo, sería detectada por los sensores de las agencias de contrainteligencia.
Llevo años escribiendo que el próximo 11S no se anunciará con un avión, sino con un clic, y empezará por el sistema de alguien que no se ha actualizado.
Anatomía de la operación: cómo funciona la cortina de humo
La campaña detectada por Israel Defense sigue un patrón que los analistas denominan “ransomware as a decoy”. En primer lugar, los atacantes obtienen acceso inicial mediante phishing dirigido. Los correos electrónicos, meticulosamente personalizados, suplantan a organismos oficiales o proveedores de confianza. Una vez dentro, los operadores instalan un backdoor que les permite moverse lateralmente por la red, escalar privilegios y, sobre todo, identificar los repositorios de información de mayor valor. Es en ese momento cuando bifurcan la operación: por un lado, preparan el cifrado con Chaos; por otro, despliegan herramientas de exfiltración, a menudo aprovechando servicios legítimos en la nube para camuflar el tráfico.
El ransomware Chaos se activa sólo después de que los datos hayan sido aspirados. El ruido que genera el cifrado —archivos bloqueados, pantallas de rescate, llamadas al servicio de atención técnica— es exactamente lo que los atacantes quieren. “Mientras los administradores corren a restaurar copias de seguridad, los datos ya están en un servidor en Teherán”, explica un analista consultado por este medio. Las muestras del ransomware analizadas por los investigadores no incluían el mecanismo de doble extorsión típico de otros grupos como LockBit o BlackCat; no había amenaza de publicación. Sólo el caos. Literalmente.
El actor detrás de la campaña no ha sido identificado con un nombre de grupo APT concreto, pero el informe de Israel Defense apunta a que los indicadores de compromiso se solapan con tácticas, técnicas y procedimientos (TTP) de APT35, también conocido como Charming Kitten, y de MuddyWater, un subgrupo vinculado al MOIS. El uso de PowerShell para la ejecución de payloads, los servidores de comando y control alojados en infraestructura previamente comprometida y los horarios de actividad coincidentes con la jornada laboral iraní refuerzan la atribución.
El historial iraní en ciberoperaciones: de Stuxnet a Chaos
Conviene recordar que Irán lleva más de una década perfeccionando sus capacidades cibernéticas ofensivas. Tras el impacto de Stuxnet en 2010 —la operación que destruyó centrifugadoras en Natanz y que muchos analistas atribuyen a una colaboración entre Estados Unidos e Israel—, Teherán entendió que el ciberespacio era un teatro de operaciones tan real como el Golfo Pérsico. A partir de ahí, la inversión en capacidades propias no ha dejado de crecer.
Los frutos de esa inversión los hemos visto en campañas como Shamoon (2012), que borró los discos duros de Aramco, la petrolera saudí; los ataques a la red eléctrica de Israel en 2016; las intrusiones en objetivos diplomáticos y de derechos humanos por parte de APT42; y, más recientemente, el intento de sabotaje a una planta de tratamiento de agua en Israel en 2020. El patrón es claro: Irán utiliza el ciberespionaje para obtener ventaja estratégica y, cuando lo considera necesario, pasa al sabotaje para enviar un mensaje.
El uso de un ransomware como el Chaos para ocultar espionaje es, en el fondo, una evolución lógica. Combina dos líneas de actuación que antes estaban separadas. Y plantea un desafío nuevo para las agencias de inteligencia occidentales: distinguir entre un ataque financiero y una operación de Estado cuando ambos utilizan las mismas herramientas. Porque si un banco sufre un cifrado, ¿está siendo víctima de un grupo criminal o de una APT que busca distraer mientras vacía la base de datos de clientes de alto perfil?
Yo mismo lo he escrito antes: los primeros que atacamos nuestra intimidad somos nosotros mismos. Pero cuando un Estado decide explotar esa intimidad a escala industrial, el problema se convierte en una cuestión de seguridad nacional.
Dossier Moncloa: Ojos en la Sombra
En este caso, el vector de amenaza es doble: ciberataque con componente de ransomware y exfiltración de datos. La operación se apoya en spear-phishing, backdoors personalizadas, movimientos laterales mediante herramientas de administración legítimas (lo que dificulta la detección) y, finalmente, la ejecución del ransomware Chaos como cortina de humo. La atribución técnica, aunque no concluyente al cien por cien, apunta con mucha solidez al ecosistema cibernético iraní, probablemente bajo dirección del MOIS o del IRGC.
Las agencias implicadas son, por un lado, los servicios de inteligencia israelíes —Shin Bet, Mossad y la Unidad 8200—, que llevan años monitorizando las actividades iraníes en el ciberespacio y que a menudo son los primeros en descubrir y atribuir estas campañas. Por otro lado, el CNI y el CCN-CERT en España mantienen una vigilancia permanente sobre las infraestructuras críticas nacionales y, aunque la campaña no ha tenido impacto directo en nuestro país, la información compartida por los aliados de Five Eyes permite anticipar posibles vectores de ataque. En este tipo de operaciones, la cooperación entre agencias es vital: lo que Israel detecta hoy, mañana podría golpear a Madrid.
Un precedente histórico relevante es la Operación Olympic Games, que demostró cómo el sabotaje y el espionaje pueden entrelazarse en el ciberespacio. Aquel ataque con Stuxnet no solo dañó físicamente las centrifugadoras de Natanz, sino que también recopiló información sobre la configuración de la planta. Ahora, Irán aplica una lógica similar, pero a la inversa: el ransomware crea el caos para que el espionaje pase inadvertido.
En cuanto al nivel de clasificación, estimo que el material robado podría alcanzar el nivel de Confidencial o incluso Secreto en algunos casos, dependiendo de la naturaleza de las organizaciones comprometidas. Los datos exfiltrados de entidades gubernamentales y del sector energético tienen un alto valor para la inteligencia iraní, ya sea para planificar futuros sabotajes o para obtener ventaja negociadora en un contexto de tensiones regionales.
Como analista, veo una contradicción en el modus operandi. Por un lado, Irán demuestra una sofisticación creciente al combinar herramientas comerciales con capacidades propias. Por otro, el uso de un ransomware barato como Chaos puede delatar su implicación, porque ningún grupo criminal serio emplearía una variante tan limitada. Es un error de cálculo que permite a los investigadores trazar la pista hasta Teherán. Y ese es, precisamente, el tipo de detalle que separa una campaña exitosa de una que acaba expuesta.
La pregunta ahora es cuántas otras campañas similares están pasando desapercibidas. Porque si Irán ha aprendido a esconder espionaje detrás del ransomware, otros actores —Rusia, Corea del Norte, China— no tardarán en copiar la táctica. El siguiente informe del ODNI sobre amenazas globales, previsto para finales de este año, podría arrojar más luz sobre esta tendencia. Mientras tanto, todos los servicios de inteligencia del entorno Five Eyes, incluido el CNI, deberían revisar sus protocolos de respuesta ante incidentes de ransomware para no caer en la trampa de la cortina de humo.
El juego se ha vuelto más sutil. Y como siempre en este oficio, el que no se adapta, pierde.
