Quiénes son los “gorriones depredadores”, los misteriosos hackers que lograron incendiar una fábrica en Irán

Es muy raro que los hackers, que operan en el mundo digital, provoquen daños en el mundo físico.

Pero el ciberataque del que fue víctima un fabricante de acero en Irán hace dos semanas parece demostrar que esta regla no está escrita en piedra.

MIRA: Cómo fue el ataque en el que el ex primer ministro de Japón Shinzo Abe fue asesinado

Un grupo de piratas informáticos llamado Predatory Sparrow (“gorriones depredadores”, en español) asumió la autoría del ataque, que según la agrupación causó un grave incendio en las instalaciones de la acerería.

Asimismo, el grupo difundió un video que contiene imágenes grabadas por las cámaras de seguridad de la fábrica atacada y en las cuales se ve a los trabajadores de la planta saliendo antes de que una máquina comenzara a escupir acero fundido y fuego. La grabación termina con personas intentando apagar las llamas con mangueras.

En otro video que ha aparecido en internet, se oye al personal de la instalación pedir a gritos que llamen a los bomberos y describir los daños en los equipos.

El inicio de la guerra

Los "gorriones depredadores", también conocidos por su nombre en persa, Gonjeshke Darande, aseguran que este incidente fue uno de los tres ataques que llevaron a cabo contra los fabricantes de acero iraníes el 27 de junio, en respuesta a actos no especificados de "agresión" llevados a cabo por la República islámica.

El grupo también ha empezado a compartir gigabytes de datos que dice haber robado a las empresas, incluidos correos electrónicos confidenciales.

"Estas empresas están sujetas sanciones internacionales y continúan sus operaciones a pesar de las restricciones. Estos ciberataques se llevan a cabo cuidadosamente para proteger a individuos inocentes", aseguraron los "gorriones depredadores" en su página de Telegram.

Está claro que los piratas informáticos saben que sus acciones ponen vidas en peligro, pero parece que han intentado evitar daños colaterales y buscaron que la fábrica estuviera vacía antes de lanzar su ataque. Unas precauciones que también han querido sacar a la luz pública.

Esto ha llevado a muchos a preguntarse si el grupo es un equipo profesional y regulado de hackers militares patrocinados por algún Estado, por lo que incluso podrían estar obligados a realizar evaluaciones de riesgo antes de lanzar una acción.

"Dicen ser un grupo de hacktivistas, pero dada su sofisticación, y su alto impacto, creemos que el grupo está operado, o patrocinado, por un país", afirma Itay Cohen, jefe de investigación cibernética de Check Point Software, una firma israelí-estadounidense especializada en seguridad informática.

Irán ha sido víctima de una serie de ciberataques recientes que han tenido un impacto en el mundo real, pero nada tan grave como esto.

"Si esto resulta ser un ciberataque patrocinado por un Estado que causa daños físicos -o en la jerga de los estudios bélicos 'cinéticos'- podría ser enormemente significativo", dice Emily Taylor, editora del Cyber Policy Journal.

Haciendo memoria

"Históricamente, el ataque Stuxnet contra las instalaciones de enriquecimiento de uranio de Irán en 2010, es destacado como uno de los pocos -si no el único- ejemplo conocido de un ciberataque que causa daños físicos", agrega Taylor.

Stuxnet fue un virus informático descubierto por primera vez en 2010 que dañó o destruyó centrifugadoras en las instalaciones de enriquecimiento de uranio de Irán en la ultraresguardada planta de Natanz, obstaculizando su programa nuclear.

Desde entonces ha habido muy pocos casos confirmados de daños físicos. Posiblemente el único ocurrió en Alemania en 2014. En el informe anual de la autoridad cibernética germana se afirmaba que un ciberataque causó "daños masivos" en una fábrica de acero, provocando su cierre, pero nunca se dieron más detalles.

Ha habido otros ciberataques que podrían haber causado graves daños, pero que no tuvieron éxito.

Por ejemplo, grupos de hackers intentaron, sin éxito, añadir productos químicos al suministro de agua tomando el control de las instalaciones de tratamiento de agua.

Es más habitual que los ciberataques provoquen interrupciones -en las redes de transporte, por ejemplo- sin causar daños físicos reales.

Taylor afirma que se trata de una distinción importante, porque si se demuestra que un Estado causó daños físicos a la fábrica iraní puede haber violado las leyes internacionales que prohíben el uso de la fuerza, y daría a Irán motivos legales para devolver el golpe.

El sospechoso habitual

¿Pero qué país podría estar tras del grupo? Su nombre, un juego de palabras con el nombre del grupo de guerra cibernética iraní Charming Kitten, podría ser una pista que sugiere que se trata de un país con un fuerte interés en Irán.

Se cree que el ataque Stuxnet fue llevado a cabo por Israel, con el apoyo de Estados Unidos. Y las sospechas sobre el origen de los "gorriones depredadores" también apuntan a Israel, algo que ha provocado una airada reacción del gobierno de ese país.

El ministro de Defensa de Israel, Benny Gantz, ordenó investigar a los periodistas que han afirmado que las fuerzas militares israelíes están detrás del ataque a la planta persa, reveló la prensa.

La decisión gubernamental revela que al ministro le preocupa que se haya roto la "política de ambigüedad" de Israel en sus operaciones contra Irán.

En octubre del año pasado, los gorriones depredadores se atribuyeron la responsabilidad de desconectar las gasolineras iraníes del sistema nacional de pago. El grupo también dijo haber estado detrás de un hackeo que secuestró vallas publicitarias digitales en las carreteras, haciendo que mostraran un mensaje que decía: "Jamenei, ¿dónde está nuestro combustible?"-una referencia al líder supremo del país, el ayatolá Ali Jamenei.

En este último caso, los piratas informáticos buscaron minimizar el caos que crearían al advertir, con antelación, a los servicios de emergencia sobre su acción.

Más evidencias

Los investigadores de Check Point afirman que también han encontrado en el software malicioso utilizado por los gorriones un código que coincide con el utilizado por otro grupo, llamado Indra, que hackeó las pantallas de las estaciones de tren iraníes en julio del año pasado.

Según las noticias iraníes, los hackers indicaron en los paneles informativos de las estaciones de todo el país que los trenes estaban cancelados o retrasados, e instaron a los pasajeros a llamar al líder supremo.

Pero los expertos dicen que el ataque a la fábrica de acero es una señal de que lo que está en juego es cada vez más importante.

Según el director general de la empresa siderúrgica Mobarakeh, donde se produjo el incendio, las operaciones de la planta no se vieron afectadas por el ataque y nadie resultó herido.

Otras dos empresas también fueron atacadas dijeron que no tuvieron problemas.

Nariman Gharib, activista de la oposición iraní en el Reino Unido e investigador independiente de ciberespionaje, está convencido de que la fábrica resultó afectada.

“El ataque fue real, ya que los trabajadores grabaron un video desde otro ángulo y vimos una declaración publicada en el canal de Telegram de una empresa sobre la suspensión de la línea de producción, que luego fue desmentida”, agregó.