El conflicto entre Estados Unidos, Israel e Irán ha escalado rápidamente a un nivel híbrido, combinando ataques militares con una intensa actividad cibernética. El 28 de febrero de 2026, se inició la Operación Furia Épica por parte de Estados Unidos y la Operación León Rugiente por Israel, una ofensiva conjunta de gran escala contra objetivos iraníes.
De ahí surgen estas preguntas: ¿aumenta el riesgo cibernético relacionado con Irán? ¿Hay ataques militares con una intensa actividad cibernética?
En respuesta a los ataques, Irán lanzó una campaña de represalias multidireccional que ha transformado el enfrentamiento en un conflicto transregional de alta intensidad.
Desde las primeras horas posteriores a los ataques iniciales, se ha registrado un notable incremento en ciberataques perpetrados por activistas extranjeros alineados con Irán. No obstante, la Unidad 42 evalúa que la capacidad de los grupos patrocinados directamente por el Estado iraní se verá limitada a corto plazo.
De acuerdo con un informe elaborado por Palo Alto Networks, una empresa multinacional estadounidense líder mundial en ciberseguridad —cuyo enfoque principal es ofrecer una plataforma unificada y automatizada impulsada por inteligencia artificial (IA) para proteger redes, nubes y dispositivos contra amenazas cibernéticas modernas—, el motivo principal es que la conectividad a internet en Irán colapsó drásticamente.
Interrupción masiva en conectividad
La conectividad cayó a niveles de entre 1% y 4% de lo habitual a partir de la mañana del 28 de febrero. Esta interrupción masiva, junto con el grave deterioro de las estructuras de mando y control iraníes, dificulta severamente la coordinación y ejecución de operaciones cibernéticas avanzadas por parte de actores estatales.
Las unidades cibernéticas alineadas con el gobierno podrían operar de manera aislada, lo que generaría desviaciones respecto a patrones previos.
Además, la degradación del control central podría otorgar mayor autonomía táctica a células fuera del territorio iraní, aunque su capacidad para mantener operaciones sofisticadas y sostenidas se ve fuertemente reducida por las interrupciones logísticas y de comunicaciones.
En cuanto a los actores alineados con Irán pero ubicados fuera del país, se espera que los grupos hacktivistas intensifiquen ataques contra entidades percibidas como hostiles. Sin embargo, su impacto probablemente se mantenga en un rango de bajo a medio.
Otros actores vinculados a estados-nación podrían aprovechar el caos para lanzar ciberoperaciones
De acuerdo con los expertos, otros actores vinculados a estados-nación podrían aprovechar el caos para lanzar ciberoperaciones que sirvan a sus propios intereses estratégicos.
Operadores dispersos geográficamente y sus proxies cibernéticos también podrían dirigirse a gobiernos en regiones que albergan bases militares estadounidenses, con el objetivo de interrumpir cadenas logísticas.
A corto plazo, estas acciones se centrarían en interrupciones de baja a media complejidad, como ataques de denegación de servicio distribuido (DDoS), campañas de defacement o desfiguración de sitios web y filtraciones selectivas de datos.
Los grupos y hacktivistas respaldados por Irán han expandido sus operaciones a nivel global mediante técnicas como desfiguraciones web, DDoS masivos, exfiltración de datos y ataques de borrado.
Sus objetivos principales incluyen espionaje y disrupción, empleando métodos avanzados. Destaca el uso de phishing selectivo asistido por IA, explotación de vulnerabilidades conocidas e infraestructura encubierta.
¿Hay posibilidad de protección?
Palo Alto Networks indicó que sus clientes cuentan con protecciones específicas contra estas amenazas a través de firewalls de próxima generación con prevención avanzada de amenazas. También disponen de filtrado de URL avanzado y seguridad DNS avanzada, que bloquean dominios y URL maliciosos asociados a estos actores, así como soluciones como Cortex XDR, XSIAM y Cortex Cloud para detección y respuesta extendida.
Precisó que, además, el equipo de Respuesta a Incidentes de la Unidad 42 está disponible para asistir en casos de compromiso activo o realizar evaluaciones proactivas de riesgo.
Alcance actual de la actividad cibernética
«La Unidad 42 ha detectado una campaña activa de phishing que imita la aplicación oficial RedAlert del Mando del Frente Interno israelí. Se distribuye mediante un APK malicioso para Android que instala malware de vigilancia móvil y exfiltración de datos. Se observa también un fuerte repunte de actividad hacktivista, con estimaciones de hasta 60 grupos operando de forma simultánea, incluidos algunos prorrusos al 2 de marzo de 2026″.
Colectivos alineados con Irán han reivindicado acciones disruptivas
Varios colectivos alineados con Irán han reivindicado acciones disruptivas, muchas coordinadas desde la recién creada «Sala de Operaciones Electrónicas» establecida el 28 de febrero. Entre los actores más destacados se encuentra Handala Hack, vinculado al Ministerio de Inteligencia iraní (MOIS) y considerado el más prominente.
Este grupo combina exfiltración de datos con ataques al aparato político y de defensa israelí. Ha reivindicado compromisos en una empresa israelí de exploración energética, sistemas de combustible en Jordania y ataques a la sanidad civil israelí para generar presión interna.
- APT Irán: Colectivo proiraní conocido por hackeos y filtraciones. Reivindicó sabotaje a infraestructuras críticas jordanas.
- La Resistencia Islámica Cibernética: Coordina grupos como RipperSec y Cyb3rDrag0nzz para DDoS sincronizados, borrado de datos y defacements contra objetivos israelíes y occidentales. Reivindicó compromisos en sistemas de defensa antiaérea y pagos israelíes.
- Dark Storm Team (DarkStorm / MRHELL112): Especializado en DDoS masivos y ransomware. Afirmó ataques DDoS contra bancos y sitios israelíes.
- Equipo FAD (Fatimiyoun): Enfocado en malware destructivo. Reivindicó accesos no autorizados a sistemas SCADA/PLC en Israel y otros países, incluyendo más de 24 dispositivos de una empresa de seguridad israelí, y un ataque a un medio turco.
- Evil Markhors: Especializado en robo de credenciales y explotación de sistemas sin parchear. Reivindicó un ataque a un sitio web bancario israelí.
- Sylhet Gang: Amplificador de mensajes y reclutador proiraní. Reivindicó ataques a sistemas del Ministerio del Interior saudí.
- Equipo 313 (Resistencia Cibernética Islámica en Irak): Activo en ataques web contra las Fuerzas Armadas, Ministerio de Defensa y Gobierno de Kuwait.
- DieNet: DDoS contra organizaciones de Oriente Medio. Reivindicó ataques a aeropuertos en Bahréin, Sharjah (EAU), Banco Riad y Banco de Jordania.
Grupos prorrusos
Los expertos indicaron que Handala Hack escaló además al enviar amenazas de muerte directas por email a un influencer iraní-estadounidense y a un iraní-canadiense, afirmando haber filtrado sus domicilios a agentes físicos.
Destaca la inclusión por parte del grupo de ransomware Tarnished Scorpius (INC Ransomware) de una empresa israelí de maquinaria industrial en su sitio de filtraciones, reemplazando su logo por una esvástica.
Grupos hacktivistas prorrusos también se sumaron. Cardinal afirmó una infiltración en redes de las FDI y publicó supuestos documentos confidenciales; NoName057(16) reivindicó múltiples objetivos israelíes; y la «Legión Rusa» alegó control sobre el sistema Cúpula de Hierro.
Actores patrocinados por el Estado iraní (bajo la constelación Serpens) podrían intensificar su actividad en las próximas semanas, enfocándose en la proyección de mensajes políticos mediante tácticas destructivas, objetivos regionales y de alto valor, cadenas de suministro e infraestructura crítica.
La mejor defensa es multicapa
En un escenario tan volátil, la mejor defensa es multicapa. De acuerdo con los especialistas, ninguna solución única basta. Se debe priorizar la higiene de seguridad básica, que ofrece protección robusta contra la mayoría de tácticas observadas.
Las recomendaciones tácticas clave resaltan mantener al menos una copia offline (air-gapped) de los datos críticos:
- Verificar solicitudes sensibles fuera de banda por canales independientes.
- Aumentar el monitoreo en activos expuestos (web, VPN, nube).
- Aplicar parches y hardening en toda la infraestructura conectada.
- Capacitar al personal contra phishing e ingeniería social.
- Considerar el bloqueo geográfico de IP de regiones de alto riesgo sin operaciones legítimas.
- Preparar un plan de comunicaciones para desmentir rápidamente exageraciones de hacktivistas.
- Monitorear fuentes oficiales, como NCSC (Reino Unido), CISA (EE. UU.) y avisos sobre Irán.
Recomendaciones estratégicas
- Actualizar planes de continuidad del negocio ante interrupciones digitales o físicas.
- Prepararse para validar y responder a reclamaciones de brechas (muchas serán falsas o infladas para generar pánico o narrativas políticas).
La situación evoluciona rápidamente y los actores oportunistas seguirán buscando blancos inesperados. Mantente alerta y actualizado.
