Gambit Security ha desmontado la coartada hacktivista de Ababil of Minab: el ataque a LA Metro fue una operación encubierta del MOIS.
El pasado 2 de abril, LA Metro confirmó una intrusión que obligó a revisar cientos de servidores. El ataque había comenzado semanas antes, en la madrugada del 17 de marzo, y borró terabytes de datos hasta dejar inoperativos sistemas internos. Los servicios de autobuses y trenes siguieron funcionando, pero la administración estuvo semanas a medio gas.
Anatomía de una operación de bandera falsa
El grupo Ababil of Minab se presentó como un colectivo hacktivista proiraní. Colgó vídeos y capturas de pantalla, aseguró haber robado más de un terabyte de ficheros y borrado cientos de terabytes. Pero los investigadores de Gambit Security no se creyeron ni una coma.
El análisis técnico reveló una destrucción ejecutada con precisión militar, combinando automatización y control manual sobre los sistemas. El atacante abrió vCenter, apagó máquinas virtuales y las eliminó del disco una a una, con los cuadros de diálogo de confirmación como única testigo. Luego pasó a las máquinas Windows y, desde la herramienta de administración de discos, fue borrando particiones con la frialdad de un administrador legítimo.
No fue un simple borrado masivo. Los informáticos de Gambit identificaron dos modos de destrucción: por un lado, un script que recorría el inventario y ejecutaba comandos destructivos; por otro, un operador humano que, a golpe de ratón, eliminaba recursos con las mismas herramientas que usaría un administrador. La operación combinaba la eficiencia del código con la cirugía del operador. Un detalle minúsculo delata a un Estado.
La destrucción sistemática de terabytes, con ratón y script, descarta cualquier improvisación: es obra de un servicio de inteligencia.
El mismo patrón se repitió contra la compañía de mantenimiento saudí UNIMAC: borraron volúmenes y los renombraron «Minab». En Vyncs, un servicio de rastreo GPS, ejecutaron un script Python llamado main.py que eliminó bases de datos una a una y, de paso, borró la carpeta del sistema operativo. La sesión RDP se cayó a media destrucción, confirmando que el borrado había tenido éxito.
El descuido de pedir ayuda a ChatGPT para arreglar un script de borrado es tan grave como el de programar la herramienta de exfiltración en el escritorio de un tal «casio».
La pista llegó con un descuido casi de principiante. En uno de los vídeos que Ababil of Minab compartió, una pestaña del navegador mostraba una conversación con ChatGPT donde el operador pedía ayuda para filtrar bases de datos del sistema y asegurarse de que DROP DATABASE solo atacara información de usuario. El código generado por la IA coincidía con el comportamiento del script en tiempo real.
El rastro digital del MOIS: infraestructura y herramientas
La atribución al MOIS no se basa en especulaciones. Los analistas de Gambit rastrearon los archivos que los atacantes habían subido a su servidor de pruebas. Descubrieron que procedían de una IP —31.172.87.20— que anteriormente había servido un certificado SSL para nefeshhope[.]com, un dominio falso que se hizo pasar por un portal de apoyo psicológico para soldados israelíes en agosto de 2025. Aquella operación fue desmantelada por la Dirección Nacional Cibernética de Israel, que la atribuyó a un grupo iraní.
ClearSky Cyber Security y el investigador Simon Kenin vinieron a cerrar el círculo: la infraestructura pertenecía a Black Shadow, un grupo que opera a las órdenes del MOIS. El informe de Gambit es tajante: «Ababil of Minab no es un grupo hacktivista nuevo. La evidencia forense lo vincula a la actividad de Black Shadow, atribuido por Israel al Ministerio de Inteligencia y Seguridad iraní».
El trabajo de inteligencia no se detuvo ahí. En la misma infraestructura de pruebas aparecieron víctimas adicionales que el grupo prefirió no airear: una empresa de medios israelí, una universidad israelí, una correduría de seguros turca y varias webs de restaurantes, cultura y noticias. Contra esos objetivos, no hubo destrucción, sino exfiltración silenciosa. La técnica del disfraz hacktivista permitió seleccionar qué ataques dramatizar y cuáles perpetrar en la sombra. La mayoría de estos ataques fue silenciosa.
Dossier Moncloa: Ojos en la Sombra
La operación de Ababil of Minab es, en esencia, un ataque de ciberguerra enmascarado de activismo. El vector de amenaza es claro: ciberataque destructivo contra infraestructuras críticas civiles y de transporte, con un componente de exfiltración en objetivos secundarios. Las agencias que atacan —MOIS, a través de su proxy Black Shadow— llevan años perfeccionando este doble juego. La defensa corre a cargo de las víctimas públicas (LA Metro, servicios de GPS, etc.) y, en un segundo plano, de los servicios de inteligencia que monitorizan las campañas iraníes, como la NSA, el CCN-CERT en su labor de cooperación, y la Dirección Cibernética israelí.
Los terceros interesados son múltiples: Arabia Saudí, afectada directamente en UNIMAC, y los países del Golfo, que han visto cómo Irán utiliza el ciberespacio como prolongación de sus operaciones de inteligencia. España, aunque no figura en esta campaña, debe leer el caso como un recordatorio de que los grupos que actúan con falsa bandera son el pan de cada día en la frontera digital. Ya escribí en El quinto elemento que «el próximo 11S no se anunciará con un avión, sino con un clic». Esta vez el clic se dio en servidores de transporte.
El nivel de clasificación estimado de la operación es alto. A juzgar por la sofisticación, el uso de infraestructura reutilizada y la cuidadosa selección de víctimas, el material empleado por el MOIS encaja en categorías equivalentes a Secreto. Los scripts de destrucción, el compromiso de vCenter y la exfiltración personalizada apuntan a un plan aprobado a nivel de dirección de inteligencia, no a una célula oportunista. El precedente histórico que me viene a la mente es Shamoon, el virus que en 2012 borró los datos de miles de ordenadores de Saudi Aramco y que también se atribuyó a Irán. Entonces, como ahora, la destrucción fue selectiva, mediática y con un mensaje político entre líneas.
Me preocupa, sin embargo, un detalle: la flaqueza de la encriptación en las herramientas de exfiltración y el rastro dejado en ChatGPT. La inteligencia iraní demuestra tener capacidad para desplegar operaciones complejas, pero con errores de ciberseguridad que delatan al aprendiz. Esa dualidad —capaz de un ataque destructivo y a la vez tan descuidado como para pedir ayuda a una IA pública— debería hacer reflexionar a los analistas occidentales sobre la verdadera madurez de estos actores.
En mi opinión, el verdadero éxito de esta operación no fue técnico, sino de narrativa. Durante semanas, los medios trataron el ataque a LA Metro como hacktivismo. El informe de Gambit obliga a reescribir esa historia. Y eso, en el mundo de la inteligencia, es una victoria por sí misma.
