WatchGuard Technologies, compañía especializada en ciberseguridad unificada para proveedores de servicios gestionados, ha publicado The WatchGuard Geopolitical Cyber Report, un nuevo informe de inteligencia de amenazas que analiza la relación entre la inestabilidad geopolítica y el aumento del riesgo cibernético para infraestructuras críticas.
El documento pone el foco en la actividad de CyberAv3ngers, un grupo también conocido como Shahid Kaveh Group, Storm-0784, Hydro Kitten, UNC5691 o CL-STA-1128. Según el análisis, esta organización vinculada a Irán habría dirigido campañas contra controladores lógicos programables (PLC) y entornos de tecnología operacional (OT) utilizados en infraestructuras críticas de Norteamérica.
Aunque el estudio se centra principalmente en esta región, las técnicas identificadas tienen relevancia para organizaciones de otros mercados, especialmente aquellas que operan con sistemas industriales, dispositivos OT o infraestructuras conectadas expuestas a Internet.
La investigación ha sido elaborada por Paolo Omezzolli, analista SOC de WatchGuard en España. Su trabajo se centra en la investigación de incidentes de seguridad, el apoyo en la elaboración de informes de alertas para clientes y el desarrollo de inteligencia de amenazas con especial atención al impacto geopolítico de las campañas cibernéticas actuales.
El ciberespacio como extensión de la tensión geopolítica
El análisis se enmarca en un contexto internacional marcado por el aumento de las tensiones geopolíticas y la consolidación del ciberespacio como un frente adicional de confrontación. Según recoge el informe, tras la escalada geopolítica analizada se registraron 1.245 ciberataques asociados a 99 actores de amenaza y 14 países, lo que refleja cómo las crisis internacionales están teniendo una traslación cada vez más directa al ámbito digital.
Una de las principales conclusiones del informe es que los ataques contra entornos OT no deben interpretarse como incidentes informáticos convencionales. WatchGuard advierte de que este tipo de campañas ya no buscan únicamente robar información, cifrar datos o interrumpir servicios digitales, sino que pueden afectar a sistemas industriales que controlan procesos físicos. En el caso de los PLC, un compromiso puede alterar el funcionamiento de bombas, válvulas, líneas de producción o sistemas de suministro, con posibles consecuencias sobre la continuidad operativa y los servicios esenciales.
El informe también llama la atención sobre la exposición global de estos dispositivos. Según la investigación, existen 5.219 hosts expuestos a Internet que responden a EtherNet/IP. Aunque la mayoría se encuentran en Estados Unidos, el informe también identifica presencia en España, con 110 dispositivos, además de otros países como Taiwán e Italia.
Sectores afectados y principales hallazgos
Entre los sectores afectados o dentro del alcance de esta actividad están los sistemas de agua y aguas residuales, entidades del sector energético, servicios e instalaciones gubernamentales, así como indicios de sondeos en otros sectores manufactureros y dependientes de OT mediante la selección de puertos específicos.
Entre los principales hallazgos, WatchGuard destaca que CyberAv3ngers ha comprometido PLC expuestos a Internet y que la campaña ya ha provocado interrupciones operativas, manipulación de pantallas HMI/SCADA y pérdidas económicas en las organizaciones afectadas. El informe también subraya que los atacantes han utilizado herramientas legítimas de ingeniería para establecer conexiones con los sistemas de las víctimas, lo que dificulta la detección mediante enfoques tradicionales basados únicamente en malware.
La investigación señala que cualquier organización con tecnología OT expuesta a Internet debe considerarse dentro del alcance potencial de esta amenaza y evaluar su exposición de forma prioritaria, especialmente si opera dispositivos accesibles desde la red pública o servicios asociados a puertos industriales utilizados habitualmente en estos entornos.
Recomendaciones de mitigación
WatchGuard recomienda a las organizaciones identificar todos los dispositivos OT expuestos a Internet, revisar su superficie de ataque externa, desconectar o aislar mediante firewall los sistemas de control accesibles públicamente, reforzar la autenticación, analizar indicadores de compromiso en registros de red y DNS, segmentar los entornos IT y OT, validar copias de seguridad offline y revisar los planes de respuesta ante incidentes específicos para escenarios industriales.
El informe concluye que la relación entre geopolítica y ciberseguridad debe tratarse como un factor de riesgo continuo, no como un episodio aislado vinculado a una crisis concreta. Para WatchGuard, la visibilidad continua, la reducción de la exposición, la segmentación y la capacidad de respuesta serán claves para proteger infraestructuras críticas frente a campañas cada vez más sofisticadas y con impacto potencial en el mundo físico.
