La guerra en Irán se siente no solo en los bombardeos, sino también en el ciberespacio. Según un reciente reporte de Unit 42, de Palo Alto Networks, se ha monitoreado un aumento en el riesgo cibernético y un número creciente de grupos de hacktivistas relacionados con el citado conflicto.
Informaron que se ha observado un creciente número de amenazas, incluyendo campañas de phishing e ingeniería social. Estimaron que hay más de 60 grupos proiraníes y prorrusos que están reaccionando ante los ataques militares contra Irán con campañas de DDoS, hack-and-leak y amenazas digitales.
Algunos de estos actores mantienen vínculos directos o indirectos con el Cuerpo de la Guardia Revolucionaria Islámica (CGRI), vinculada al ejercito iraní. Las campañas atribuidas a estas organizaciones abarcan desde espionaje digital hasta intrusiones en infraestructuras críticas y operaciones destinadas a obtener beneficios económicos.
Unit 42 estima que las graves interrupciones de Internet y los golpes a la administración del gobierno de Irán impiden que los grupos patrocinados por el Estado lancen ciberataques complejos o altamente coordinados por el momento. Sin embargo, los grupos hackivistas, que se encuentran aislados de su comando central, están actuando de forma independiente y utilizan tácticas impredecibles.
Fuera de Irán, añadieron, es probable que grupos activistas más pequeños ataquen a sus adversarios, pero se espera que estos ataques tengan un impacto relativamente limitado en las organizaciones. Desde el interior del país se estima que surgirán las campañas de hacktivismo geopolítico que intentarán interrumpir la logística de los gobiernos cercanos a las bases militares estadounidenses con campañas de DDoS o de hackeo y filtración.
Unit 42 aseguró que están monitoreando esta situación en tiempo real desde el 28 de febrero, cuando Estados Unidos e Israel iniciaron su ataque contra Irán. En cuestión de horas, los actores cibernéticos alineados con Teherán activaron campañas que combinaron sabotaje informático, propaganda y presión psicológica. En la prensa internacional se citó que Ashen Lepus, afiliado a Hamás, atacó a entidades diplomáticas de Oriente Medio con su nuevo paquete de malware AshTag.
Sergio Delgado Martorell, escribió en bitlifemedia que las investigaciones de diferentes agencias de ciberseguridad han identificado tres grupos particularmente relevantes dentro de este ecosistema de ciberataques: Charming Kitten (APT35, Phosphorous), dedicado al espionaje digital contra occidente con phishing selectivo; APT33 (Elfin), vinculado con operaciones más agresivas de intrusión contra infraestructuras críticas (energético o la industria petroquímica) y MuddyWater (APT37, Seedworm), orientado a campañas de intrusión en organizaciones gubernamentales y empresas de múltiples sectores.
El análisis de Unit 42 describe un escenario con implicaciones que trascienden Oriente Medio. La investigación identifica la activación simultánea de más de 60 grupos proiraníes y prorrusos, algunos ya conocidos por operaciones anteriores, que han intensificado ataques disruptivos contra infraestructuras digitales, organismos públicos y plataformas de comunicación occidentales. Sus operaciones se han detectado en regiones muy diversas, incluyendo Oriente Medio, Europa, Asia, África y Norteamérica.
Pierluigi Paganini informó en Securityaffairs que APT MuddyWater, vinculada a Irán, implementó el malware Dindoor contra organizaciones estadounidenses y se infiltró en redes de sectores como telecomunicaciones, bancos, aeropuertos y organizaciones sin fines de lucro en EE. UU. y Canadá
Entre los colectivos más activos identificados por Unit 42 figuran organizaciones que en los últimos años han desarrollado campañas de intrusión, sabotaje o filtración de datos vinculadas a intereses iraníes. Uno de los nombres recurrentes es Handala Hack, asociado al Ministerio de Inteligencia y Seguridad iraní (MOIS). Su actividad incluye campañas de presión pública, incluyendo filtraciones selectivas de datos y amenazas dirigidas a individuos concretos. También aparece APT Iran, conocido por operaciones de «hack-and-leak» en las que se accede a sistemas corporativos o institucionales para posteriormente divulgar información sustraída con fines políticos o reputacionales.
Pierluigi Paganini informó en Securityaffairs que APT MuddyWater (también conocido como SeedWorm, TEMP.Zagros, Mango Sandstorm, TA450 o Static Kitten), vinculada a Irán, implementó el malware Dindoor contra organizaciones estadounidenses y se infiltró en redes de sectores como telecomunicaciones, bancos, aeropuertos y organizaciones sin fines de lucro en EE. UU. y Canadá. Los investigadores también observaron un intento de exfiltrar datos de una empresa de software específica mediante Rclone a un depósito de almacenamiento en la nube de Wasabi Technologies, aunque no está claro si la transferencia tuvo éxito. El equipo Symantec Threat Hunter de Broadcom descubrió una campaña del grupo que comenzó en febrero de 2026 y ha continuado en los últimos días en países europeos y norteamericanos, según el informe publicado.
En el mapa de actores, la prensa especializada en segurida incluye a Dark Storm Team, que ha centrado su actividad en ataques de denegación de servicio distribuido y ransomware; FAD Team o Fatimiyoun Cyber Team, que se ha especializado en el uso de malware de tipo wiper destinado a eliminar datos de los sistemas comprometidos; colectivos orientados a la detección de vulnerabilidades o la obtención de credenciales, como Evil Markhors, y grupos que desempeñan funciones de amplificación narrativa o reclutamiento, entre ellos Sylhet Gang.
Los perfiles heterogeneos sugieren una combinación de capacidades: desde ataques rudimentarios para impacto mediático hasta intrusiones más sofisticadas con objetivos industriales. Los colectivos prorrusos han intervenido en apoyo de los ataques contra objetivos israelíes. Entre ellos aparecen Cardinal, NoName057(16) y Russian Legion, grupos que en los últimos años han protagonizado campañas de presión digital contra gobiernos occidentales y entidades públicas europeas. Russian Legion llegó a afirmar haber accedido al sistema de defensa antimisiles Iron Dome y a servidores internos del ejército israelí. La convergencia temporal de colectivos iraníes y prorruso facilita campañas paralelas que amplifican el impacto informativo de cada ataque. Muchos de sus mensajes forma parte de una estrategia de intimidación digital en la opinión pública.
Ingeniería social y malware móvil
En la otra acera están quienes no tienen intereses específicos en los temas geopolíticos, pero por curiosidad terminan siendo presa de ataques de malware. Dichos ataques se valen del interés que genera el citado conflicto en la opinión pública para infectar dispositivos. La investigación de Unit 42 ha identificado varias campañas activas de ingeniería social vinculadas al tema.
En Emiratos Árabes Unidos, por ejemplo, se han detectado además campañas de vishing, llamadas telefónicas fraudulentas en las que los atacantes se hacen pasar por funcionarios del Ministerio del Interior para solicitar credenciales y documentos de identidad. Este tipo de técnicas, menos sofisticadas desde el punto de vista técnico, suelen aprovechar la urgencia o la incertidumbre generada por situaciones de conflicto para robar datos.
Otra campaña identificada es la réplica maliciosa de la aplicación israelí Home Front Command RedAlert, diseñada para alertar a la población civil de ataques con misiles. Los atacantes distribuyen enlaces a un archivo APK mediante mensajes SMS que aparentan proceder de fuentes oficiales. El archivo descargado imita la interfaz de la aplicación legítima, pero incorpora código malicioso orientado a la vigilancia del dispositivo y la exfiltración de datos personales.
Y el grupo Handala Hack habría enviado correos electrónicos con amenazas directas a influencers iraníes-estadounidenses e iraníes-canadienses, incluyendo afirmaciones sobre la filtración de sus direcciones físicas. Este tipo de tácticas amplía el campo de la confrontación digital a los espacios sociales y mediáticos. La evolución de esta escalada dependerá de la capacidad de los distintos actores para sostener operaciones en un entorno digital cada vez más vigilado.
