Estados Unidos sospecha que hackers iraníes atacaron sistemas ATG sin contraseña usados para controlar tanques de combustible en gasolineras de varios estados.
Intrusiones contra sistemas de combustible elevan alertas en EE. UU.
Autoridades de Estados Unidos sospechan que piratas informáticos iraníes participaron en intrusiones contra sistemas usados para controlar el combustible almacenado en tanques que abastecen a gasolineras en varios estados, según fuentes informadas sobre la actividad. Los atacantes aprovecharon sistemas automáticos de medición de tanques, conocidos como ATG, que estaban conectados a internet y carecían de protección con contraseñas.
En algunos casos, ese acceso les permitió alterar las lecturas visibles de los tanques, aunque no los niveles reales de combustible, indicaron las fuentes. Hasta ahora no se sabe que los incidentes hayan provocado daños físicos ni perjuicios materiales. Aun así, las brechas encendieron alertas de seguridad por el posible alcance de un acceso no protegido a esos sistemas.
De acuerdo con expertos privados y funcionarios estadounidenses, el acceso a un ATG podría permitir, en teoría, que una fuga de gas no fuera detectada. Irán figura entre los principales sospechosos por su historial de ataques contra sistemas de tanques de combustible, señalaron fuentes cercanas a la investigación, aunque una atribución definitiva podría no alcanzarse por la escasez de rastros forenses.
Una eventual confirmación de la participación iraní convertiría el caso en un nuevo episodio de amenazas de Teherán contra infraestructura crítica dentro del territorio continental de Estados Unidos. Ese escenario queda fuera del alcance de drones y misiles iraníes, en el contexto de la guerra de Estados Unidos e Israel contra Irán y sus efectos sobre el ciberespacio.
Claves de los sistemas ATG expuestos a internet
- Los ATG controlan combustible almacenado en tanques que abastecen a gasolineras.
- Algunos sistemas estaban conectados a internet y sin protección con contraseñas.
- Las intrusiones alteraron lecturas visibles, pero no niveles reales de combustible.
- No se conocen daños físicos ni perjuicios materiales por estos incidentes.
- Expertos advierten que una fuga de gas podría no ser detectada.
Infraestructura crítica vulnerable pese a años de advertencias
La campaña también expone otra vez las dificultades de numerosos operadores de infraestructura crítica en Estados Unidos para proteger sus sistemas, pese a años de advertencias y llamados de las autoridades federales. Los grupos iraníes han buscado durante años blancos vulnerables, entre ellos sistemas críticos conectados a internet y vinculados con instalaciones de petróleo y gas y redes de agua.
Tras el ataque de Hamás contra Israel el 7 de octubre de 2023, funcionarios estadounidenses atribuyeron a hackers afiliados al Cuerpo de la Guardia Revolucionaria Islámica de Irán una serie de ataques contra empresas de servicios de agua en Estados Unidos. En esos incidentes, equipos usados para gestionar la presión del agua mostraron un mensaje antiisraelí.
Los riesgos asociados a los ATG expuestos a internet no son nuevos. Investigadores de ciberseguridad llevan más de una década con advertencias sobre esos sistemas. En 2015, la firma Trend Micro colocó en línea sistemas ATG simulados para observar qué tipo de actores intentaban atacarlos, y un grupo proiraní apareció poco después.
Un informe de Sky News publicado en 2021 citó documentos internos del Cuerpo de la Guardia Revolucionaria Islámica que identificaban los ATG como posible objetivo de un ciberataque disruptivo contra gasolineras. Las agencias de inteligencia de Estados Unidos han considerado durante años que las capacidades cibernéticas de Irán están por debajo de las de China o Rusia.
La guerra acelera operaciones cibernéticas iraníes contra EE. UU.
Pese a esa evaluación sobre capacidades, una sucesión de hackeos oportunistas contra activos clave estadounidenses durante la guerra apunta a un adversario capaz e impredecible. Desde el inicio de la guerra a fines de febrero, hackers vinculados a Teherán han causado interrupciones en varios sitios estadounidenses de petróleo, gas y agua.
También se les atribuyen retrasos en los envíos de Stryker, un importante fabricante estadounidense de dispositivos médicos, y la filtración de correos electrónicos privados del director del FBI, Kash Patel. Organizaciones y ciudadanos israelíes también han sido blanco de una intensa actividad de los hackers de Teherán durante la guerra más reciente.
A la vez, las fuerzas armadas de Estados Unidos e Israel han utilizado operaciones cibernéticas para aumentar la letalidad de sus ataques cinéticos. La actividad cibernética iraní durante la guerra mostró “un aumento significativo en la escala, la velocidad y la integración entre operaciones cibernéticas y campañas psicológicas”, dijo Yossi Karadi, jefe de la Dirección Nacional Cibernética de Israel.
Las Fuerzas de Defensa de Israel afirmaron en marzo haber atacado un complejo que albergaba la “sede de Guerra Cibernética” de Irán. No está claro cuántos operativos cibernéticos iraníes, si los hubo, murieron en ese ataque. Karadi evitó comentar sobre ese punto y citó el mandato de su agencia, limitado a la defensa cibernética.
Hackers iraníes combinan malware rápido y propaganda digital
Desde una perspectiva defensiva, Karadi dijo que en los últimos meses se observa cierta degradación en partes de la actividad cibernética hostil. Según él, los actores iraníes están bajo presión y tratan de atacar donde encuentran una abertura en el ciberespacio, en medio de un entorno marcado por operaciones rápidas y presión militar.
Según Allison Wikoff, directora del equipo de inteligencia de amenazas de PwC y especialista con más de una década de experiencia en amenazas originadas en Irán, las operaciones iraníes de los últimos 18 meses se aceleran ahora con iteraciones más rápidas, más identidades hacktivistas en capas y una probable ampliación impulsada por IA para reconocimiento y phishing.
Wikoff señaló que lo notablemente nuevo en su manual cibernético es la rápida creación de malware “suficientemente bueno”, entre ellos tipos destructivos de borrado, además de campañas firmes de hackeo y filtración contra medios, disidentes e infraestructura civil clave estadounidense. Esa combinación amplía el alcance operativo y comunicacional de los grupos vinculados a Teherán.
Una parte de ese manual consiste en aprovechar un entorno mediático estadounidense marcado por la rapidez para reaccionar ante afirmaciones de todos los bandos. Hackers asociados con el Ministerio de Inteligencia de Irán y con su brazo paramilitar mantienen diversas identidades hacktivistas desde las que usan Telegram para exagerar acciones, publicar material robado y difundir videos promocionales con música pegadiza.
Handala, el FBI y los límites reales de la amenaza iraní
Uno de esos grupos, llamado Handala por un personaje de caricatura palestino, se burló de Patel mientras afirmaba haber vulnerado los sistemas informáticos “impenetrables” del FBI. En realidad, los hackers accedieron a antiguos correos de Gmail de Patel, un caso que mostró la distancia entre las afirmaciones propagandísticas y los efectos técnicos reales.
Alex Orleans, investigador de ciberseguridad que ha seguido durante años a hackers vinculados a Irán y dirige la inteligencia de amenazas en Sublime Security, dijo que cada afirmación de Handala provoca alarma. Para él, esa reacción demuestra que agencias gubernamentales y proveedores no parecen poder articular la realidad operativa de la amenaza que plantea Irán.
Orleans planteó dos razones para explicar por qué, pese a la serie de hackeos procedentes de Irán durante la guerra, no se han registrado más incidentes. La primera es que Irán parece haber carecido de líneas de acceso para producir efectos sostenidos, o probablemente se habrían visto más incidentes como el de Stryker.
La segunda razón, según Orleans, es que el régimen ha demostrado claramente su intención de perdurar, lo que desincentiva aún más las operaciones cibernéticas indiscriminadas con efectos. Esa lectura no elimina la preocupación por la agresividad y la imprevisibilidad de las operaciones iraníes, pero matiza el alcance de sus resultados recientes.
Preocupación electoral por operaciones de influencia de Irán
La agresividad y la imprevisibilidad de las operaciones iraníes también preocupan a algunos funcionarios estadounidenses actuales y anteriores ante las elecciones de mitad de mandato. En 2020, agencias federales, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad, atribuyeron a Irán un plan que se hizo pasar por los Proud Boys para intentar intimidar votantes.
Durante las elecciones presidenciales de 2024, hackers iraníes vulneraron la campaña de Trump y enviaron documentos internos a organizaciones de noticias. Ahora, por primera vez en años durante un ciclo electoral, funcionarios militares y de inteligencia estadounidenses aún no han activado un equipo especializado para detectar y frenar amenazas extranjeras contra las elecciones.
Jason Kikta, exfuncionario del Comando Cibernético, calificó esa situación como “mala praxis estratégica”. Chris Krebs, quien en 2020 dirigía la CISA y compareció junto al entonces director de Inteligencia Nacional John Ratcliffe para advertir al público estadounidense sobre operaciones de influencia iraníes y rusas, dijo que le sorprendería que Irán se quedara al margen.
Krebs dijo que su apuesta es por operaciones de información, no por ataques a sistemas electorales. Según él, ahí han ido los rusos y los chinos, con razón, porque es barato, fácil de escalar con IA y nadie paga un precio por ello, una evaluación que sitúa el riesgo principal en la influencia digital.