Entrevista Las unidades cibernéticas respaldadas por Spider y el gobierno iraní tienen más en común que un aumento reciente en la actividad de piratería, según Ariel Parnes, un ex coronel de la Unidad Cibernética de las Fuerzas de Defensa Israelí 8200. Tanto la tripulación motivada financieramente como los grupos APT de Tehran sobresalen en la ingeniería social, y son las pruebas que los cibercenarios no necesariamente no deben usar los días cero de los cero daños. «Uno de los casos famosos en Israel fue con una compañía de seguros», dijo Parnes, cofundador y director de operaciones de la firma de detección y respuesta de la nube Mitiga, a The Registro. Se refiere a una operación iraní de hack-and-lok a fines de 2020 contra la compañía de seguros israelí Shirbit, que aseguró a los empleados del Ministerio de Defensa de Israel, aunque vale la pena señalar que Spider Experned también tuvo una serie más reciente de intrusiones digitales en las empresas de seguros estadounidenses. Un grupo respaldado por el gobierno de Irán «robó datos, aprovechando la ingeniería social y las vulnerabilidades de un día», dijo Parnes. Después de robar los archivos Shirbit, que incluían la información privada de los israelíes, la tripulación los dejó todos en línea. «El poder del ataque, más que cualquier otra cosa, fue el impacto psicológico», continuó Parnes. «Es el hecho de que pudieron tener datos confidenciales de Citizens of Israel, algunos de ellos trabajando en el gobierno, y luego lo amplificaron a través de las redes sociales y otras herramientas. Este es su modus operandi. No se trata solo del impacto real, sino más bien de la amplificación de la misma». Si bien sus campañas cibernéticas contra los objetivos israelíes no se han desacelerado en los años posteriores, los grupos iraníes también han utilizado estas mismas tácticas contra las organizaciones occidentales y los funcionarios del gobierno: la intención de phishing de lanza de robar credenciales, la ingeniería social, incluida la creación de personas falsas de LinkedIn, que se rompen en los sistemas de agua y combustible y luego no tiene nada con el acceso, pero luego en el gran trato en las redes sociales. No necesita ser una superpotencia, no necesita ser la NSA con cero días, solo necesita tener las habilidades para comprender cómo opera la organización a la que opera «y ahora la IA generativa introduce capacidades para poder dominar la ingeniería social, tanto en calidad como en cantidad», dijo Parnes. «Si eres un atacante y tienes tu objetivo, digamos, un banco en los Estados Unidos, debes hacer reconocimiento, reunir inteligencia sobre el objetivo y luego construir un ataque que sea relevante para la audiencia. La IA generativa ahorra años de inversión en la fase de reconocimiento». Los sistemas basados en IA pueden generar informes completos sobre individuos específicos, sus intereses, membresías en organizaciones personales y profesionales, colegas y amigos, todo desde las posibles páginas de redes sociales de las víctimas, opinó. «Y eso me permite ser significativamente más efectivo en este primer paso que si tuviera que hacer todo eso manualmente», dijo Parnes. Además, la IA hace que sea mucho más fácil elaborar correos electrónicos de phishing, documentos falsos e incluso sitios web falsificados que se ven y suenan reales. «Así que hace que este ataque sea significativamente más escalable: Google dijo que los actores de amenaza iraní estaban usando Géminis para estos fines», agregó. «Esto es lo que me preocupa más que los días cero». «No necesita ser una superpotencia, no necesita ser la NSA con días cero, solo necesita tener las habilidades para comprender cómo opera la organización a la que está apuntando, quiénes son los actores, qué procesos y procedimientos comprenden a las personas, comprenden el lenguaje, comprenden la cultura y esto es todo». La araña dispersa, quizás incluso más que los espías iraníes, ha dominado la ingeniería social y tienen una ventaja incorporada cuando se trata de atacar a las organizaciones estadounidenses y británicas porque son hablantes nativos, que conocen el idioma y la cultura. «La araña dispersa es un ejemplo de cuán poderosa puede ser la ingeniería social», dijo Parnes, y agregó que no se sorprendería al ver algún nivel de colaboración entre las pandillas motivadas financieramente y las tripulaciones patrocinadas por el estado de Teherán en la línea de las pioneras gatitas de Irán que trabajan con AlphV/Blackcat y otras pandillas de servicio de ransomware. Además, ya hay indicios de que los atacantes vinculados al estado están agregando ransomware a sus kits de herramientas. «Las arañas dispersas recolectan identidades, y las venden a quien quiera comprarlas, para que los actores de Irán amenazas puedan usarlas en sus campañas», dijo Parnes. «Todo termina en que los iraníes pueden hacer mucho más con sus capacidades bastante rudimentarias». Ni Irán ni la araña dispersa «tienen las armas cibernéticas más avanzadas», agregó. «Pero tal vez no lo necesitan». ®