La ofensiva militar lanzada el 28 de febrero por Estados Unidos e Israel contra Irán ha tenido una réplica inmediata en el plano digital. En cuestión de horas, el ecosistema de actores cibernéticos alineados con Teherán comenzó a movilizarse, activando campañas coordinadas que combinan sabotaje informático, propaganda y presión psicológica sobre objetivos civiles y políticos.
El último análisis de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, describe un escenario de escalada cibernética con implicaciones que trascienden Oriente Medio. La investigación identifica la activación simultánea de más de 60 grupos proiraníes y prorrusos, algunos ya conocidos por operaciones anteriores y otros emergentes, que han intensificado ataques disruptivos contra infraestructuras digitales, organismos públicos y plataformas de comunicación.
En paralelo, los analistas detectan señales de coordinación inéditas en anteriores episodios de hacktivismo regional. Varias campañas parecen articularse alrededor de una estructura denominada «Electronic Operations Room», un espacio digital que serviría para sincronizar narrativas, seleccionar objetivos y amplificar reivindicaciones públicas de ataques.
La aparición de este nodo organizativo sugiere un grado de orquestación mayor del habitual en operaciones de hacktivismo, tradicionalmente fragmentadas y oportunistas.
Un ecosistema de grupos movilizado
Entre los colectivos más activos identificados por Unit 42 figuran organizaciones que en los últimos años han desarrollado campañas de intrusión, sabotaje o filtración de datos vinculadas a intereses iraníes.
Uno de los nombres recurrentes es Handala Hack, un grupo que distintos análisis de inteligencia han asociado al Ministerio de Inteligencia y Seguridad iraní (MOIS). Su actividad combina intrusiones informáticas con campañas de presión pública, incluyendo filtraciones selectivas de datos y amenazas dirigidas a individuos concretos.
También aparece APT Iran, conocido por operaciones de «hack-and-leak» en las que se accede a sistemas corporativos o institucionales para posteriormente divulgar información sustraída con fines políticos o reputacionales.
Otros grupos operan con perfiles más técnicos o destructivos. Dark Storm Team ha centrado su actividad en ataques de denegación de servicio distribuido y ransomware, mientras que FAD Team, también denominado Fatimiyoun Cyber Team, se ha especializado en el uso de malware de tipo wiper destinado a eliminar permanentemente datos de los sistemas comprometidos.
El mapa de actores incluye además colectivos orientados a la detección de vulnerabilidades o la obtención de credenciales, como Evil Markhors, junto a grupos que desempeñan funciones de amplificación narrativa o reclutamiento, entre ellos Sylhet Gang.
La lista se amplía con organizaciones como Cyber Islamic Resistance, que actúa como paraguas coordinador de varios equipos técnicos, incluidos RipperSec y Cyb3rDrag0nzz, además de 313 Team (Islamic Cyber Resistance in Iraq) y DieNet, activo en campañas de DDoS dirigidas a infraestructuras regionales.
La heterogeneidad de perfiles sugiere una combinación de capacidades: desde ataques rudimentarios orientados al impacto mediático hasta intrusiones más sofisticadas en redes corporativas o industriales.
La participación de actores prorrusos
El informe también documenta la implicación de colectivos prorrusos que, sin formar parte del ecosistema iraní, han intervenido en apoyo de los ataques contra objetivos israelíes.
Entre ellos aparecen Cardinal, NoName057(16) y Russian Legion, grupos que en los últimos años han protagonizado campañas de presión digital contra gobiernos occidentales y entidades públicas europeas.
En varios casos, estos colectivos han reivindicado ataques contra sistemas municipales, plataformas políticas, infraestructuras de telecomunicaciones y servicios vinculados al ámbito de la defensa en Israel.
Russian Legion llegó a afirmar haber accedido al sistema de defensa antimisiles Iron Dome y a servidores internos del ejército israelí. Se trata de afirmaciones procedentes de las propias comunicaciones del grupo, cuya verificación independiente resulta compleja, aunque su difusión forma parte habitual de la estrategia de amplificación mediática de este tipo de actores.
La convergencia temporal de colectivos iraníes y prorrusos introduce un elemento adicional de incertidumbre. Aunque la cooperación formal entre ambos ecosistemas no siempre es evidente, la coincidencia de objetivos y narrativas facilita campañas paralelas que amplifican el impacto informativo de cada ataque.
Infraestructuras críticas y campañas de intrusión
Más allá de la actividad propagandística, Unit 42 señala reivindicaciones de acceso a entornos tecnológicos especialmente sensibles.
Algunos grupos han afirmado haber comprometido sistemas industriales SCADA y PLC, tecnologías utilizadas para controlar procesos en infraestructuras críticas como redes eléctricas, plantas industriales o sistemas de transporte.
También se han reportado intentos de intrusión en servicios vinculados a sectores como energía, pagos, banca, transporte y administración pública.
Este tipo de reivindicaciones son frecuentes en campañas de hacktivismo geopolítico y no siempre implican un acceso real a sistemas industriales. Sin embargo, la reiteración de estos mensajes forma parte de una estrategia de intimidación digital dirigida tanto a operadores de infraestructuras como a la opinión pública.
En paralelo, las campañas de denegación de servicio distribuido continúan siendo una de las herramientas más utilizadas. Los ataques DDoS permiten saturar sitios web institucionales o servicios digitales con relativa facilidad, generando interrupciones temporales que, aunque no comprometen datos ni sistemas internos, pueden producir un impacto reputacional inmediato.
Ingeniería social y malware móvil
La investigación de Unit 42 también describe varias campañas activas de ingeniería social vinculadas al conflicto.
Una de ellas utiliza una réplica maliciosa de la aplicación israelí Home Front Command RedAlert, diseñada para alertar a la población civil de ataques con misiles. Los atacantes distribuyen enlaces a un archivo APK mediante mensajes SMS que aparentan proceder de fuentes oficiales.
El archivo descargado imita la interfaz de la aplicación legítima, pero incorpora código malicioso orientado a la vigilancia del dispositivo y la exfiltración de datos personales.
En Emiratos Árabes Unidos se han detectado además campañas de vishing, llamadas telefónicas fraudulentas en las que los atacantes se hacen pasar por funcionarios del Ministerio del Interior para solicitar credenciales y documentos de identidad.
Este tipo de técnicas, menos sofisticadas desde el punto de vista técnico, suelen aprovechar la urgencia o la incertidumbre generada por situaciones de conflicto.
Conectividad limitada en Irán
Uno de los factores que podría alterar la evolución inmediata de esta escalada digital es la caída abrupta de la conectividad en Irán.
Según los datos recogidos por Unit 42, desde la mañana del 28 de febrero el acceso a internet en el país descendió a niveles estimados de entre el 1% y el 4% de la conectividad habitual.
La pérdida de acceso a la red, junto con la posible degradación de estructuras de mando o coordinación, podría dificultar temporalmente la ejecución de ciberataques sofisticados por parte de actores estatales o semiestatales radicados en territorio iraní.
Sin embargo, muchos de los grupos identificados operan desde infraestructuras distribuidas o cuentan con colaboradores fuera del país, lo que reduce el impacto inmediato de este tipo de interrupciones.
Un entorno de riesgo creciente
Ante este contexto, los analistas de Palo Alto Networks advierten de un aumento del riesgo cibernético global asociado al conflicto.
Las campañas detectadas combinan objetivos técnicos con estrategias de presión psicológica y propaganda digital. En algunos casos, la intimidación se dirige directamente a individuos.
Unit 42 señala que el grupo Handala Hack habría enviado correos electrónicos con amenazas directas a influencers iraníes-estadounidenses e iraníes-canadienses, incluyendo afirmaciones sobre la filtración de sus direcciones físicas.
Este tipo de tácticas amplía el campo de la confrontación digital, trasladándolo desde infraestructuras técnicas hacia espacios sociales y mediáticos.
En paralelo, la firma recomienda reforzar la defensa mediante estrategias de seguridad multicapa que incluyan copias de seguridad desconectadas, verificación fuera de banda para operaciones sensibles y una monitorización más estricta de activos expuestos a internet, como sitios web corporativos, servicios VPN o infraestructuras cloud.
Las organizaciones también deberían reforzar la aplicación de parches de seguridad, formar a los empleados frente a técnicas de phishing e ingeniería social y revisar sus planes de continuidad de negocio.
El informe sugiere, además, evaluar el bloqueo geográfico de direcciones IP en regiones donde no exista actividad legítima y establecer procedimientos claros para verificar posibles reclamaciones de filtraciones o brechas de seguridad.
En un contexto donde los conflictos geopolíticos se trasladan cada vez con mayor rapidez al ciberespacio, la frontera entre operaciones militares, campañas de influencia y sabotaje digital resulta cada vez más difusa. La evolución de esta escalada dependerá tanto de la dinámica del conflicto en el terreno como de la capacidad de los distintos actores para sostener operaciones en un entorno digital cada vez más vigilado.
