Tras la emisión de una advertencia por parte de la **Agencia de Ciberseguridad e Infraestructura (CISA)** sobre actores cibernéticos vinculados a Irán que buscan causar interrupciones dentro de EE. UU., han aumentado las preocupaciones sobre ataques a infraestructuras críticas. Sin embargo, funcionarios y expertos en ciberseguridad sugieren una amenaza diferente y más sutil: intrusiones oportunistas diseñadas para parecer más grandes de lo que son. ## La Naturaleza de la Amenaza Hablando en la Cumbre Asness sobre Conflicto Moderno y Amenazas Emergentes en Nashville, el ex director de la **NSA**, **Tim Haugh**, y **Kevin Mandia**, fundador de una nueva empresa de ciberseguridad con IA, destacaron que las operaciones cibernéticas iraníes a menudo explotan brechas de seguridad básicas y amplifican los resultados, en lugar de utilizar capacidades novedosas. "Probablemente haría una analogía ahora mismo, que Irán y la capacidad cibernética de Irán están más cerca de un actor criminal", dijo Haugh. "Realizarán oportunidades dirigidas [ataques] y luego intentarán vincular eso a una operación de información para hacerlo grande". Este enfoque se centra en obtener acceso primero, y luego dar forma a la narrativa más tarde, lo que ha sido un patrón recurrente. ## El Incidente Stryker: Un Caso de Estudio El reciente incidente que involucra a la empresa de dispositivos médicos **Stryker** es un ejemplo de esto. Los hackers supuestamente deshabilitaron miles de dispositivos. Sin embargo, según Haugh y Mandia, esta operación no dependió de malware sofisticado o vulnerabilidades desconocidas. En cambio, comenzó con ingeniería social. "Hicieron ingeniería social a alguien y usaron credenciales legítimas para básicamente causar un efecto", explicó Haugh. Utilizaron una "capacidad legítima asociada con ese acceso para simplemente eliminar cosas que tenían permiso para eliminar". Aunque se describió como un ciberataque destructivo, el incidente puso de relieve un problema más común: atacantes que utilizan credenciales válidas para causar daños desde adentro. ## Estrategias de Defensa: Enfoque en los Fundamentos Mandia enfatizó que las organizaciones deben esperar este patrón de ataques en lugar de exploits altamente personalizados. "Compraron credenciales válidas en la dark web", dijo. "Así que si soy un CISO ahora mismo, estoy buscando un servicio que... intente iniciar sesión en cada página de inicio de sesión, cada API... [y] asegurarme de tener MFA en todas partes. Así es como van a entrar. Es lento y sigiloso", agregó. "Argumentaría que eso es como un elemento criminal". Los atacantes a menudo reclaman públicamente un objetivo que ya han comprometido para crear la ilusión de velocidad y precisión, especialmente en situaciones de conflicto. Mandia hizo un paralelismo: "El dominio cibernético es un barrio peligroso y, para citar a '<a rel="noopener noreferrer" href="https://www.youtube.com/watch?v=4xgx4k83zzc">Spinal Tap</a>', simplemente suben el volumen a 11 ahora porque hay una guerra en curso y se acabaron las contemplaciones". ## Objetivos Probables y Perspectiva Futura En lugar de ataques a gran escala contra infraestructuras críticas, es más probable que Irán apunte a organizaciones específicas con vínculos con Israel o EE. UU., combinando intrusiones con campañas de información. "Dudo que vean ataques personalizados a aplicaciones web", dijo Mandia. "Creo que será iniciar sesión. Realmente lo creo. Será un problema de seguridad de identidad". Incluso con la disminución de las tensiones, esta línea de base es poco probable que cambie. "Mi opinión es que los hackers hackean, fin de la historia", dijo Mandia. "Se presentan todos los días. Lo hacen de ocho a diez horas". Para los defensores, la conclusión clave es clara: la próxima fase del conflicto cibernético puede depender menos de nuevas herramientas y tácticas, y más de cerrar las brechas de seguridad básicas que los atacantes han explotado durante mucho tiempo.