Check Point Research ha descubierto cómo varios grupos de ciberdelincuentes utilizan Telegram, Signal y la web oscura para ayudar a los manifestantes antigubernamentales en Irán a eludir las restricciones del régimen. Las principales actividades son la filtración y venta de datos, incluidos los números de teléfono y los correos electrónicos de los funcionarios, y los mapas de lugares importantes. El equipo de Check Point Research ha visto cómo se comparten servidores VPN abiertos para eludir la censura y los informes sobre la situación de Internet en Irán, así como el pirateo de conversaciones y guías.

Los grupos de atacantes están permitiendo que la gente en Irán se comunique entre sí, comparta noticias y comente lo que está sucediendo en diferentes lugares, que es lo que el gobierno está tratando de evitar, con el fin de rebajar las protestas.

Como en cualquier otro caso, hay algunos grupos de cibercriminales que intentan sacar provecho de la situación y vender información de Irán y del Régimen.

En Telegram, el grupo Atlas cuenta con unos 900 miembros aproximadamente y se dedica a la filtración y venta de datos. Su actividad actual más relevante es la filtración de datos que pueden ayudar contra el régimen de Irán, incluyendo números de teléfono y correos electrónicos de funcionarios, y mapas de lugares sensibles. Por supuesto, también intentan vender información militar «secreta».

Arvin se encuentra también en Telegram, está compuesto por unos 5.000 miembros y también se dedica a la filtración y venta de datos. Se concentran en las noticias de las protestas en Irán, reportajes y vídeos de las calles donde se producen las protestas, e información sobre la situación de Internet en Irán.

RedBlueTM cuenta con más de 4.000 miembros y se centra en conversaciones y guías de hacking, parte del sitio web de hacking hide01.ir, que es operado por iraníes, sobre ordenadores y el software de hacking. Además, también se dedica ahora a intentar eludir la censura y ayudar a las personas a acceder a redes sociales.

Tor Project es el grupo más grande de los que se encuentran dentro de Telegram, ya que cuenta con 12.000 participantes. También se encuentra en la web de Tor Page, ayudando a los iraníes en las protestas, pero desde la perspectiva de Tor.

Signal es una aplicación de mensajería desarrollada por la fundación sin ánimo de lucro que lleva este nombre. Los usuarios pueden enviar mensajes uno a uno y en grupo y pueden incluir archivos, notas de voz, imágenes y vídeos, así como llamadas de voz y vídeo. Signal decidió unirse también a los esfuerzos y apoyar las protestas en Irán, ayudando a otras personas a configurar servidores proxy que puedan utilizarse para eludir la censura en Irán.

En la darkweb también ha habido acciones para ayudar a los iraníes en las protestas. Por ejemplo, hay un anuncio en el que se venden 45 GB de información personal de agentes del Servicio Secreto Iraní: nombre, número de teléfono, dirección de su casa, detalles de su misión o cometido, fotos y mucho más.

«Lo que vemos son grupos de la web de Telegram, de la web oscura y también de la web ‘normal’ que ayudan a los manifestantes a saltarse las restricciones y la censura que actualmente aplica el régimen iraní, como forma de hacer frente a las protestas. Empezamos a ver cómo surgen estos grupos aproximadamente un día después del inicio de las protestas. Estos grupos permiten a la gente de Irán comunicarse entre sí, compartir noticias y lo que está sucediendo en diferentes lugares. Seguiremos vigilando la situación», explica Liad Mizrachi, investigador de seguridad en Check Point Software.