Cuando los ataques afectaron a Teherán el sábado por la mañana, millones de iraníes recibieron una extraña notificación automática en sus teléfonos. La aplicación de oración BadeSaba Calendar, que ha sido descargada más de 5 millones de veces, fue pirateada y la aplicación emitió alertas que decían: “¡Ha llegado ayuda!” y pidió la creación de un “Ejército Popular” para proteger a sus “hermanos iraníes”, según la firma de inteligencia cibernética Flashpoint. El domingo, la aplicación envió instrucciones de rendición a miembros de base del Cuerpo de la Guardia Revolucionaria Islámica y lugares seguros para que se reunieran los manifestantes.
Los partidarios del régimen contraatacaron rápidamente.
Lo que siguió el domingo fue el uso “más agresivo” de la llamada campaña cibernética “Gran Épica” de Irán, que es un grupo vagamente coordinado de agentes cibernéticos llamado Resistencia Ciberislámica, según Flashpoint. Bajo los auspicios del grupo, varios ciberatacantes cerraron gasolineras en Jordania y lideraron ataques contra proveedores militares estadounidenses e israelíes para destruir datos y llevar a cabo operaciones psicológicas que simularan el hackeo de BadeSaba.
Es probable que las próximas 48 horas sean un período de “inestabilidad extrema” a medida que los hacktivistas y sus representantes “tomen la iniciativa en la escalada para llenar el vacío dejado por el comando central de Teherán”, señaló Flashpoint en su actualización. Estos actores supuestamente usan Telegram y Reddit como punto focal, publicando capturas de pantalla de presuntos ataques como evidencia, aunque lleva semanas y a veces meses verificar la precisión, dijo Katherine Raines, ex experta de la NSA y ahora jefa del equipo de inteligencia de amenazas en Flashpoint.
El hackeo de BadeSaba demuestra un patrón que los grupos proxy iraníes ahora pueden intentar utilizar a la inversa contra empresas occidentales y otros. Además, con el liderazgo de Irán efectivamente aniquilado por los ataques del sábado, la estructura de mando que supervisó las operaciones cibernéticas de Teherán esencialmente ha desaparecido, dijo Raines.
“El vacío de liderazgo iraní probablemente conducirá a más ataques de proxy descentralizados e impredecibles”, dijo a Fortune.
En la práctica, esto significa que los grupos conjuntos de hacktivistas y proxy toman sus propias decisiones sobre los objetivos sin la aprobación de las autoridades centrales. Entonces, si un grupo muy agresivo decidiera apuntar a una empresa de logística mediana para hacer una declaración, el riesgo se extendería más allá de Teherán, Washington, D.C. o Nueva York, dijo Raines.
“Está en manos de un hacker de 19 años en una sala de Telegram sin supervisión ni dirección alguna”, advirtió.
En consecuencia, los líderes empresariales estadounidenses deben prepararse para una incertidumbre continua, dijo Brian Carbaugh, cofundador y director ejecutivo de la empresa de seguridad de inteligencia artificial Andesite y ex director del Centro de Actividades Especiales (SAC) de élite de la CIA. A lo largo de los años, los iraníes han demostrado consistentemente que son increíblemente resistentes como gobierno y fuerza de resistencia. Y con el régimen bombardeando a sus vecinos, la gente debería esperar que Irán continúe desplegando sus formidables capacidades cibernéticas ofensivas además de otros aspectos del poder nacional como misiles y representantes armados en todo el mundo, dijo.
“La resistencia agresiva y creativa está arraigada en el espíritu del aparato de seguridad iraní y en toda la República Islámica de Irán”, dijo Carbaugh, quien anteriormente se desempeñó como jefe de personal de dos directores de la CIA. “Los líderes empresariales y quienes protegen las empresas y toman decisiones en niveles muy altos deben estar preparados para que esto continúe durante algún tiempo y para que el conflicto tome diferentes direcciones y desvíos”.
Debido a que los ataques estadounidenses e israelíes debilitan las capacidades militares convencionales de Irán, los ciberataques parecen más atractivos, dijo Carbaugh. Es económico de implementar, difícil de detectar y extremadamente capaz de causar enormes trastornos psicológicos y operativos en relación con la inversión requerida. Irán ha demostrado que es capaz de imitar y desarrollar técnicas de ciberataque demostradas por primera vez, por ejemplo, por Rusia.
“La República Islámica siempre se ha enorgullecido de las capacidades cibernéticas de sus servicios de seguridad”, dijo Carbo. Es poco probable que este orgullo desaparezca con la pérdida de la alta dirección y puede intensificarse a medida que otras opciones se vuelven más limitadas.
La mayoría de los planes de seguridad corporativos no están preparados para ataques como el hackeo de BadeSaba, que envió una notificación a potencialmente millones de musulmanes en Irán que usan la aplicación para rastrear los horarios religiosos diarios cuando comienzan los ataques, dijo Rains.
“Las empresas no están realmente preparadas para lo que yo llamo operaciones psicológicas nihilistas, que en realidad están diseñadas para afectar el estado mental y la confianza de sus empleados”, explicó, comparándolas con los ataques destinados a robar datos y derribar sistemas.
Pocas empresas tienen planes sobre cómo será la realidad para los empleados en las próximas horas, mientras que los modelos de riesgo a menudo se basan en el comportamiento del gobierno y en las “líneas rojas” percibidas que impiden una guerra total, señaló Raines.
Para las juntas directivas y ejecutivos que se reunirán la próxima semana, ella predice que los temas clave para los líderes de seguridad serán la cantidad máxima de tiempo que las funciones comerciales pueden estar fuera de línea antes de que los ingresos y la reputación se vean afectados.
“Estamos menos interesados en bloquear la velocidad y más en el tiempo de recuperación”, dijo Raines.
Carbaugh dijo que si estuviera en la reunión de la junta directiva de esta semana, querría saber si el negocio tiene un mayor nivel de riesgo en función de lo que está sucediendo en Irán. Si la respuesta es afirmativa, le gustaría saber qué se está haciendo para mitigar las consecuencias. Si la respuesta es no, hará aún más preguntas.
Los líderes deben averiguar qué medidas se han tomado para garantizar que el negocio no esté en riesgo, descubrir cómo interactúan las empresas con socios y otras personas para aprender cómo detectan ataques, y cómo se utiliza actualmente la inteligencia artificial para hacerlo, dijo Carbaugh.
Reiteró que esta no es una crisis que pueda resolverse en un futuro próximo e introduce riesgos cibernéticos que no desaparecerán de inmediato.
“Este conflicto puede tomar muchas vueltas y tomar muchas direcciones diferentes”, dijo Carbaugh. “No creo que esto vaya a ser algo que vayamos a concluir claramente y seguir adelante en unos pocos días. Requerirá vigilancia y protección constante de nuestras redes cibernéticas, seguridad física y todos los demás activos”.
