Los ciberataques aumentan un 130% tras iniciarse el conflicto en Oriente Medio

Según el análisis de la compañía, la actividad maliciosa comenzó a intensificarse a partir del 28 de febrero, apenas unos días después del aumento de la tensión en la región, y desde entonces se ha mantenido en niveles significativamente elevados. En concreto, los ataques han crecido un 130% de media respecto a los niveles previos al conflicto, llegando a alcanzar picos de actividad cercanos a cuatro veces el volumen habitual.

Este repunte pone de manifiesto cómo los ciberdelincuentes son capaces de aprovechar eventos geopolíticos en tiempo real para incrementar la efectividad de sus campañas. En este caso, los atacantes han recurrido principalmente a señuelos de temática empresarial -como facturas, contratos, comunicaciones bancarias o notificaciones de entrega- para engañar tanto a organizaciones como a usuarios individuales.

Técnicas y métodos de los ataques detectados

La investigación de Bitdefender detecta técnicas avanzadas como troyanos de acceso remoto basados en Java (familia STRRAT) y ataques fileless con PowerShell (ataques que no dejan archivos y usan herramientas del sistema para pasar desapercibidos). Estas amenazas operan en memoria para dificultar su detección. Asimismo, se han observado cadenas de infección complejas orientadas a garantizar la persistencia dentro de los sistemas comprometidos.

Aunque algunas campañas hacen referencia directa al contexto geopolítico actual, Bitdefender señala que no existe una atribución confirmada a actores estatales, y que gran parte de la actividad podría estar vinculada a ciberdelincuentes oportunistas. No obstante, advierte de que este tipo de ataques suele ser la puerta de entrada a amenazas más sofisticadas, al facilitar el acceso inicial a los entornos corporativos.

Gran parte de la actividad podría estar vinculada a ciberdelincuentes oportunistas

Además del aumento sostenido de correos electrónicos maliciosos dirigidos a los países del Golfo, la compañía señala otra serie de conclusiones clave que pueden consultarse:

• La actividad máxima aumentó aproximadamente cuatro veces en comparación con los niveles de phishing anteriores a la guerra , con varios días consecutivos de alto volumen.
• Las campañas dependen en gran medida de elementos atractivos relacionados con el mundo empresarial : facturas, contratos, operaciones bancarias y entregas.
• Los atacantes utilizan múltiples técnicas de distribución de malware , incluyendo RATs basados en Java y cadenas de PowerShell sin archivos.
• Evidencia de ataques multietapa diseñados para el sigilo y la persistencia.
• La infraestructura y los temas a veces hacen referencia a acontecimientos geopolíticos actuales.
• En esta etapa no se ha atribuido directamente la actividad a actores de amenazas patrocinados por el Estado; dicha actividad podría incluir campañas ciberdelictivas oportunistas que explotan la situación.