Una nueva campaña de phishing, atribuida al grupo iraní conocido como Educated Manticore (también identificado como APT42, Charming Kitten o Mint Sandstorm), encendió las alarmas entre especialistas en ciberseguridad.
Los ciberatataques, que en los últimos días se intensificaron especialmente en Israel, tienen el objetivo de robar credenciales mediante tácticas de suplantación sofisticadas y personalizadas.
Leé también: El 70% de los ciberataques son phishing: ¿por qué sigue siendo tan efectivo este fraude digital?
Según investigadores de Check Point Research, este grupo iraní fue responsable, en los últimos días, de una ofensiva global de robo de credenciales y forma parte de una estrategia de espionaje cibernético más amplia, vinculada a la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI).
Cómo son los ataques del grupo de ciberdelincuentes iraníes
La campaña utiliza técnicas de phishing selectivo (spear phishing) cuidadosamente diseñadas: los atacantes crean identidades falsas que aparentan estar asociadas a instituciones diplomáticas, académicas o empresas tecnológicas israelíes. Luego, establecen contacto con sus víctimas a través de canales como correo electrónico o aplicaciones de mensajería privada como WhatsApp.
Los mensajes enviados por los atacantes presentan un nivel de redacción profesional, con gramática correcta y estilo formal. Sin embargo, detalles mínimos como faltas de ortografía leves o errores en nombres propios pueden servir como señales de alerta.
Los remitentes falsos a menudo se presentan como empleados de nivel medio de compañías israelíes, personal de la Oficina del Primer Ministro o profesionales de firmas tecnológicas reconocidas.
Leé también: Alerta mundial por una filtración masiva de contraseñas: quedaron expuestas 16.000 millones de credenciales
Una vez ganado el primer nivel de confianza, las víctimas son redirigidas a sitios falsos que simulan ser plataformas legítimas como Google, Outlook o Yahoo, donde se les solicita ingresar sus credenciales.
Algunas veces, la trampa toma la forma de invitaciones falsas a reuniones en Google Meet, con páginas de inicio de sesión que imitan casi a la perfección las originales.
La infraestructura técnica detrás de esta campaña incluye docenas de dominios falsos registrados para imitar plataformas populares o servicios legítimos. Las páginas están adaptadas a cada víctima y alojadas en servidores que dificultan su detección.
Entre los blancos identificados se encuentran académicos israelíes especializados en informática y ciberseguridad, así como periodistas reconocidos por cubrir temas de geopolítica, inteligencia y defensa. En uno de los casos reportados por el medio israelí Mako, un periodista recibió un mensaje que fingía provenir de un asesor del primer ministro y exembajador en Estados Unidos. Aunque la campaña se concentra actualmente en Israel, Check Point advirtió que su alcance real es global.
Leé también:Los diez consejos para proteger tus redes sociales de los ciberdelincuentes
Uno de los aspectos más alarmantes de esta operación es su capacidad para evadir mecanismos de autenticación de dos factores (2FA). A través de ingeniería social, los atacantes convencen a las víctimas de ingresar o compartir códigos de verificación, lo que permite tomar el control total de sus cuentas.
En ciertos casos, incluso se registraron intentos de coordinar reuniones presenciales, como un mensaje enviado por WhatsApp a una víctima en Tel Aviv. Si bien puede haber sido una táctica para reforzar la credibilidad del engaño, este tipo de acciones abre la posibilidad de que la operación exceda el ámbito digital.
