Prayukth KV
6 de mayo de 2025
El intercambio de disparos a través de la LoC refleja el volumen de ciberataques entrantes en India; todos los indicios apuntan a una guerra híbrida respaldada por el estado
Dos semanas después del ataque en Pahalgam que aumentó las tensiones entre India y Pakistán, el ciberespacio y la infraestructura crítica de India están enfrentando un aumento en la actividad de ciberataques de proxies operando a través de IPs pakistaníes. Con un número creciente de actores APT afiliados a estados y proxies ingresando al ámbito, se espera que estos ataques escalen tanto en escala como en el rango de entidades objetivo.
Tipos de ataques
Los ataques a los activos digitales indios desde el otro lado de la frontera pueden clasificarse en tres categorías: ataques de reconocimiento, ataques a sitios web y ataques a la infraestructura de defensa e información crítica. Los datos de telemetría de seguridad recopilados de las redes conectadas a nuestra infraestructura de potes de miel en India revelan un aumento del 750 por ciento en los ataques entrantes de proxies cibernéticos pakistaníes. Aunque la mayoría de estos ataques pueden vincularse creíblemente a tales proxies, también hemos observado un aumento en los ataques provenientes de IPs vinculadas a infraestructura digital no segura en otros países.
Ciberataques directamente vinculados a escaramuzas a través de la LoC
Al analizar la carga de ciberataques en el ciberespacio indio, nuestros investigadores observaron un interesante punto de datos\correlación. En total, en las dos semanas posteriores al ataque, ha habido 11 días de escalada en términos de intercambio de fuego a través de la Línea de Control que cubren múltiples violaciones de cese al fuego. Pakistán intensificó el fuego de artillería pesada el 27 de abril, una fecha que también es significativa en términos del número observado de intentos de intrusión cibernética registrados en nuestros potes de miel.
Para resumir, podemos especular con un alto grado de confianza que el liderazgo que está detrás del creciente número de violaciones de cese al fuego en Pakistán es el mismo que está guiando o más bien dirigiendo a los proxies pakistaníes que están atacando la infraestructura india en el ciberespacio.
Pico inicial (24–29 abril 2025):
Los incidentes de disparos aumentaron de 3 a 13 entre el 24 de abril y el 29 de abril.
Los intentos de intrusión cibernética correspondientes aumentaron dramáticamente de 988 a 26,001.
Esto indica un aumento paralelo tanto en la agresión física como cibernética.
Pico el 29 de abril de 2025:
El mayor número de incidentes de disparos (13).
Las intrusiones cibernéticas también alcanzaron su pico en 26,001, sugiriendo un esfuerzo coordinado.
Descenso el 1 de mayo de 2025:
Los incidentes de disparos cayeron a 6, y las intrusiones cibernéticas disminuyeron significativamente a 4,382.
Indica una desescalada momentánea o una pausa táctica.
Actividad renovada (2–4 mayo 2025):
Los disparos aumentaron nuevamente a 11 el 3 de mayo.
Los intentos de intrusión cibernética aumentaron de forma constante de 11,519 a 17,103 el 3 de mayo, con una ligera caída a 16,662 el 4 de mayo.
La línea roja muestra incidentes de disparos, mientras que la línea azul muestra intentos de intrusión cibernética.
Observe cómo los picos y caídas en ambas métricas se alinean estrechamente, especialmente alrededor del 29 de abril, cuando ambas métricas alcanzan su máximo.
Esto refuerza aún más la fuerte correlación positiva (≈ 0.94) observada en los datos.
La mayor frecuencia de disparos transfronterizos coincide con grandes oleadas de ciberataques.
Este patrón sugiere tácticas de guerra híbrida coordinada, probablemente involucrando operaciones cinéticas y cibernéticas destinadas a abrumar los sistemas de defensa e inteligencia de India.
El coeficiente de correlación de Pearson entre incidentes de disparos e intentos de intrusión cibernética es aproximadamente 0.94.
Un coeficiente de correlación de 0.94 indica una relación lineal positiva muy fuerte entre dos variables. Esto significa que a medida que una variable aumenta, la otra tiende a aumentar también, y la relación es fuerte, sugiriendo un alto grado de asociación.
Veamos esto con un poco más de detalle:
Magnitud:
El valor absoluto del coeficiente de correlación (0.9 en este caso) indica la fuerza de la relación. Un valor más cercano a 1 (ya sea positivo o negativo) significa una relación más fuerte.
Dirección (Positiva o Negativa):
El signo del coeficiente de correlación (positivo en este caso) indica la dirección de la relación. Una correlación positiva significa que a medida que una variable aumenta, la otra tiende a aumentar, mientras que una correlación negativa significa que a medida que una variable aumenta, la otra tiende a disminuir.
Linealidad:
Los coeficientes de correlación miden específicamente las relaciones lineales. Un coeficiente de correlación de 0.9 sugiere una relación lineal fuerte, lo que significa que las variables tienden a moverse juntas en una línea recta.
Interpretación:
Esto indica una correlación positiva muy fuerte, lo que significa que a medida que aumentan los incidentes de disparos transfronterizos, los intentos de intrusión cibernética también tienden a aumentar significativamente. Esto es un claro indicio de una guerra híbrida en progreso.
Antecedentes sobre los proxies pakistaníes
Según nuestra investigación, los proxies pakistaníes están organizados en tres anillos.
El anillo más externo consiste en grupos como Insane PK, ArchNMe y algunos grupos oscuros que están detrás de la mayoría de los ataques de desfiguración de sitios web, principalmente de valor de molestia. A estos grupos se les asigna la tarea de crear una pantalla de humo para desviar la atención de los objetivos reales.
El anillo medio consiste en grupos como Pakdefn, Xploiter y otros que apuntan a la infraestructura crítica, excluyendo aquellos conectados a los sectores de defensa y aeroespacial.
El anillo interno: consiste en grupos como Transparent Tribe y sus afiliados. Este grupo informa a una división de las fuerzas armadas pakistaníes que tiene su base en Karachi. Transparent Tribe es conocido por utilizar herramientas basadas en Golang para desarrollar un kit de infección múltiple para exfiltrar datos. Estos kits se despliegan a través de plataformas de chat, campañas de phishing y sitios web espurios. Sorprendentemente, este grupo ha sido rastreado fácilmente en al menos 17 casos por nuestros investigadores en 2024. La dirección IP en múltiples ataques se rastrearon de vuelta a Karachi y al menos 7 kits aislados por nuestros investigadores apuntaron no solo a una zona horaria regional sino también a la impronta de este actor de amenazas. Además, este grupo también ha confiado en envenenar formatos de archivo comunes para proporcionar sus kits de ejecución a la víctima.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
