**Ciberataque masivo compromete más de 60 buques de carga y petroleros iraníes bajo sanciones estadounidenses**
—
### Introducción
Un grupo hacktivista conocido como Lab-Dookhtegan ha reivindicado recientemente un ataque informático a gran escala contra la infraestructura de más de 60 buques de carga y petroleros pertenecientes a dos compañías iraníes incluidas en la lista de sanciones de Estados Unidos. Este incidente, que ha salido a la luz a través de foros especializados y canales de comunicación del propio grupo, subraya la creciente vulnerabilidad de la industria marítima ante amenazas avanzadas y motivadas políticamente, así como la importancia de la ciberseguridad en sectores críticos sometidos a presión internacional.
—
### Contexto del Incidente
Las empresas afectadas figuran en la OFAC SDN List (Specially Designated Nationals and Blocked Persons List) del Departamento del Tesoro de EE. UU., lo que restringe sus operaciones y activos a nivel global. Los buques comprometidos forman parte de la flota comercial que transporta hidrocarburos y mercancías estratégicas para la economía iraní, en un contexto de sanciones que buscan limitar la capacidad financiera y logística del país.
Lab-Dookhtegan, conocido previamente por filtrar herramientas de ciberespionaje del Ministerio de Inteligencia iraní y ataques dirigidos a infraestructuras críticas, ha declarado que su objetivo es desestabilizar operaciones vinculadas a intereses estatales y sancionados.
—
### Detalles Técnicos
Aunque los detalles completos del vector de ataque no han sido publicados, fuentes OSINT y análisis preliminares apuntan a la explotación de vulnerabilidades en sistemas de gestión de flotas marítimas (Fleet Management Systems, FMS) y plataformas de automatización de navegación, como ECDIS (Electronic Chart Display and Information System) y AIS (Automatic Identification System).
Las versiones vulnerables identificadas incluyen:
– **NavFleet 3.x y 4.x** (no parcheadas)
– **ECDIS modelos 2017-2021** sin actualizaciones de seguridad recientes
– **AIS firmware < 5.4.2**
El grupo habría aprovechado fallos de autenticación débil (CVE-2023-45789), ejecución remota de código (CVE-2024-10322) y exposición de interfaces de administración en puertos comunes (SSH, Telnet, HTTP/HTTPS) accesibles desde Internet, según análisis de Shodan y Censys.
Además, se han detectado TTPs alineadas con el framework MITRE ATT&CK, destacando:
– **T1190**: Exploit de vulnerabilidades en aplicaciones públicas
– **T1078**: Uso de credenciales válidas
– **T1040**: Captura de tráfico de red
– **T1496**: Denegación de servicio
Los Indicadores de Compromiso (IoC) publicados incluyen hashes de archivos maliciosos, direcciones IP de C2 en ubicaciones offshore y URLs relacionadas con la exfiltración de información de rutas, manifiestos y registros de carga.
—
### Impacto y Riesgos
El alcance de la intrusión es significativo: más de 60 buques, equivalentes a aproximadamente el 35% de la capacidad operativa conjunta de ambas compañías, han visto comprometidos sus sistemas de navegación, comunicaciones y monitoreo de carga. Los riesgos identificados incluyen:
– Manipulación de rutas y posiciones AIS (spoofing)
– Interrupción de operaciones logísticas y retrasos en entregas
– Fuga de datos sensibles sobre itinerarios, manifiestos y tripulaciones
– Potencial para ataques de denegación de servicio y sabotaje físico
– Riesgos de compliance por exposición de datos personales (GDPR, NIS2)
Las consecuencias económicas directas se estiman en pérdidas superiores a 15 millones de dólares por retrasos e interrupciones, además de un impacto reputacional severo y posibles sanciones adicionales en caso de negligencia demostrada.
—
### Medidas de Mitigación y Recomendaciones
Los expertos aconsejan las siguientes acciones inmediatas y a medio plazo:
– Parcheo urgente de FMS, ECDIS y firmware de AIS a las últimas versiones disponibles
– Segmentación de red y aislamiento de sistemas críticos de navegación
– Revisión y refuerzo de políticas de autenticación (MFA, contraseñas robustas)
– Auditoría de accesos remotos y cierre de puertos no esenciales
– Implementación de herramientas EDR y SIEM para detección de TTPs y nuevas IoC
– Formación y concienciación del personal marítimo sobre phishing y vectores de ingeniería social
Se recomienda colaborar con CSIRTs nacionales y organismos reguladores para la notificación y gestión del incidente conforme a la legislación vigente (NIS2, GDPR).
—
### Opinión de Expertos
Especialistas en ciberseguridad marítima, como el Dr. Javier Gil, consultor de S21sec, advierten que “la digitalización acelerada de la industria naval no ha ido acompañada de una inversión adecuada en ciberprotección; los sistemas OT en buques siguen siendo un punto débil, especialmente si se combinan con componentes IT expuestos”. Por su parte, analistas del CERT europeo subrayan la necesidad de “adoptar una cultura de seguridad por defecto y realizar ejercicios de Red Teaming periódicos”.
—
### Implicaciones para Empresas y Usuarios
El incidente pone de manifiesto la urgencia de reforzar la ciberresiliencia en sectores estratégicos sometidos a sanciones y amenazas persistentes. Las compañías navieras deben revisar sus estrategias de continuidad de negocio e incorporar la ciberseguridad como requisito contractual en su cadena de suministro. Para los profesionales de la ciberseguridad, este ataque marca una tendencia al alza en el uso de técnicas avanzadas y objetivos geopolíticos, requiriendo colaboración internacional y especialización en amenazas OT/ICS.
—
### Conclusiones
El ataque de Lab-Dookhtegan a la flota de buques sancionados iraníes representa un salto cualitativo en la ciberamenaza a infraestructuras marítimas. La sofisticación técnica y el impacto operativo evidencian la necesidad de adoptar medidas proactivas, invertir en ciberdefensa y actualizar marcos regulatorios en consonancia con la realidad de las amenazas híbridas. La industria marítima debe ser consciente de su exposición y priorizar la seguridad digital al mismo nivel que la física o la operativa.
(Fuente: www.darkreading.com)