Investigadores vincularon el ciberataque al metro de Los Ángeles con hackers iraníes

Una empresa israelí de ciberseguridad presentó el martes evidencia forense que atribuye al Ministerio de Inteligencia y Seguridad del Estado de Irán (MOIS, por sus siglas en inglés) el ataque que en marzo obligó al sistema de transporte del condado de Los Ángeles a desconectar partes de su red.

Los intrusos sustrajeron al menos 700 gigabytes de correos electrónicos, copias de seguridad y otros archivos de la Autoridad Metropolitana de Transporte del Condado de Los Ángeles (LACMTA), según Gambit Security, firma con sede en Tel Aviv fundada en parte por veteranos de la Unidad 8200, el equivalente israelí de la Agencia de Seguridad Nacional estadounidense (NSA).

La intrusión fue detectada el 16 de marzo. Unas dos semanas después, un colectivo que se autodenomina Ababil de Minab reivindicó el ataque y publicó un video en el que aseguraba haber destruido una gran cantidad de datos tras irrumpir en los sistemas de la autoridad.

Aunque la LACMTA sostuvo que la brecha no interrumpió la circulación de trenes ni autobuses, medios locales informaron de que inhabilitó pantallas de información en tiempo real e impidió a los usuarios recargar sus tarjetas de transporte.

El nombre del grupo remite al origen del conflicto: Ababil de Minab toma su nombre de un ataque aéreo del 28 de febrero contra una escuela de niñas en esa ciudad iraní, en el que funcionarios iraníes cifran más de 175 muertos entre menores y docentes. Su retórica y modo de operar coinciden con el patrón de colectivos hacktivistas que, según investigadores de ambos países, actúan como pantallas del espionaje iraní.

Eyal Sela, director de inteligencia de amenazas de Gambit, señaló a Reuters que el vínculo con Teherán era hasta ahora “una hipótesis de trabajo”, y que su investigación aporta “la evidencia forense que la respalda”.

Gambit llegó a esa conclusión tras hallar los datos sustraídos expuestos en un servidor de acceso público y conectarlos con una operación de piratería previamente atribuida a Irán por funcionarios e investigadores israelíes. La empresa alertó a las autoridades competentes, aunque ni el FBI ni la Agencia de Ciberseguridad e Infraestructura (CISA) formularon comentarios.

El FBI se limitó a confirmar que estaba al tanto del incidente y coordinaba la respuesta con sus socios. La LACMTA tampoco se pronunció sobre los hallazgos; en un comunicado previo, sus responsables señalaron que “la atribución forma parte de la investigación” y declinaron especular.

Más allá de Los Ángeles, Gambit identificó otras víctimas no reveladas: una organización mediática y una institución educativa en Israel, y una correduría de seguros en Turquía. El colectivo también reivindicó ataques contra el sistema de cercanías Tri-Rail de Florida y la empresa de rastreo vehicular Vyncs.

Tri-Rail confirmó el hackeo, aunque aclaró que los datos comprometidos no eran críticos; Vyncs detectó su brecha el 2 de abril. Ambas compañías confirmaron la participación del FBI.

El episodio se inscribe en una cadena de operaciones digitales que investigadores atribuyen a hackers iraníes desde el inicio del conflicto a finales de febrero, entre ellas un ataque a la empresa de equipos médicos Stryker, la filtración de correos del director del FBI, Kash Patel, y la manipulación remota de medidores de combustible en gasolineras de Estados Unidos, según CNN.

El patrón predominante es el de acciones con alta visibilidad y daño físico contenido: la brecha en la LACMTA alcanzó una pantalla de control de patio de maniobras en tiempo real, pero no hay evidencia pública de que los atacantes la manipularan. Esa distancia entre el espionaje digital y el sabotaje puede acortarse en función tanto de la seguridad técnica de los objetivos como del cálculo estratégico de Teherán.