Sectores como las infraestructuras críticas, energía, transporte y telecomunicaciones figuran entre los más expuestos de riesgo cibernético global tras la ofensiva militar. Imagen generada por IA
Unit 42 alerta de una escalada del riesgo cibernético global tras la ofensiva de EEUU e Israel contra Irán
Irán “desapareció” casi por completo del mapa de internet global durante más de 48 horas, sin una fecha clara para el restablecimiento pleno del servicio.
Más información: Israel y EEUU localizaron a Jamenei y su cúpula tras hackear las cámaras de tráfico de Teherán durante años
La ofensiva militar conjunta lanzada el 28 de febrero por Estados Unidos e Israel ha activado con rapidez el ecosistema cibernético alineado con Teherán, abriendo un nuevo frente de confrontación digital que desborda a Oriente Próximo y combina hacktivismo coordinado, campañas de propaganda y presión sobre infraestructuras críticas.
Así lo alerta el último informe de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, que detalla cómo más de 60 grupos proiraníes y prorrusos han intensificado su actividad bajo una “Electronic Operations Room” desde la que se orquestan ataques disruptivos.
Los expertos subrayan que, históricamente, tras episodios de escalada militar, se ha observado un repunte en ataques de denegación de servicio (DDoS), campañas de phishing dirigidas y despliegue de malware destructivo.
En este escenario, sectores como las infraestructuras críticas, la energía, el transporte, las telecomunicaciones y los servicios financieros figuran entre los más expuestos.
En la práctica, Irán “desapareció” casi por completo del mapa de internet global durante más de 48 horas, sin una fecha clara para el restablecimiento pleno del servicio.
Entre los actores más activos, el análisis sitúa a Handala Hack —vinculado al Ministerio de Inteligencia y Seguridad iraní (MOIS)—, APT Iran, Cyber Islamic Resistance —que agrupa células como RipperSec y Cyb3rDrag0nzz—, Dark Storm Team, FAD Team (Equipo Cibernético Fatimiyoun), Evil Markhors, Sylhet Gang, 313 Team (Resistencia Cibernética Islámica en Irak) y DieNet.
En paralelo, grupos prorrusos como Cardinal, NoName057(16) y Russian Legion han reivindicado ataques contra entidades israelíes, desde sistemas municipales y objetivos políticos hasta redes de telecomunicaciones y activos de defensa.
Russian Legion, por ejemplo, afirma haber vulnerado el sistema antimisiles de la Cúpula de Hierro y accedido a servidores internos y redes clasificadas de las Fuerzas de Defensa de Israel, unas aseveraciones que forman parte de su propia narrativa y que no han podido ser verificadas de manera independiente.
El objetivo de fondo de estas campañas suele combinar espionaje e interrupción de servicios, apoyándose en técnicas como spear phishing dirigido apoyado en IA, explotación sistemática de vulnerabilidades conocidas y el uso de infraestructuras encubiertas para operaciones de inteligencia.
Más allá de los Estados directamente implicados, la firma destaca que multinacionales con presencia en la región o vínculos comerciales con Estados Unidos, Israel o Irán podrían verse afectadas de forma colateral.
El riesgo incluye filtraciones de datos, interrupciones operativas y ataques a la cadena de suministro digital.
Caída de la conectividad en Irán
Unit 42 destaca que, "desde la mañana del 28 de febrero, la conectividad a internet en Irán descendió a niveles estimados de entre el 1% y el 4%", un corte que afecta tanto al acceso internacional como, en buena medida, a servicios internos, dejando a decenas de millones de iraníes prácticamente incomunicados del exterior.
Las autoridades iraníes no han dado explicaciones detalladas, pero el patrón encaja con otros apagones previos usados para controlar el flujo de información en contextos de protestas y crisis de seguridad.
Algunos analistas apuntan también a posibles ciberataques coordinados contra infraestructuras iraníes coincidiendo con los bombardeos, aunque el factor clave sigue siendo el “interruptor” interno del propio régimen
El informe de la unidad de inteligencia de amenazas señala que “la pérdida de conectividad, junto con la degradación de estructuras de liderazgo y mando, probablemente dificultará que actores alineados con el Estado coordinen y ejecuten ciberataques sofisticados a corto plazo”.
Infraestructuras críticas y campañas activas
Entre las actividades detectadas figuran supuestos accesos no autorizados a entornos sensibles, desde sistemas industriales SCADA/PLC hasta infraestructuras de energía, pagos, banca, administraciones públicas y servicios de transporte.
La investigación también identifica una campaña de phishing basada en una copia maliciosa de la app israelí Home Front Command RedAlert, distribuida por SMS mediante enlaces a la descarga de un archivo APK, que Unit 42 atribuye al despliegue de malware móvil para vigilancia y robo de datos.
El documento recoge además casos de vishing en Emiratos Árabes Unidos, con llamadas en las que los atacantes se hacen pasar por el Ministerio del Interior para captar credenciales e información personal.
Palo Alto Networks también advierte de una escalada en la intimidación digital: según su inteligencia, el colectivo Handala Hack habría enviado correos con amenazas directas a influencers irano‑estadounidenses e irano‑canadienses, asegurando incluso haber filtrado sus direcciones físicas.
Ante este escenario, los analistas recomiendan conservar al menos una copia de seguridad crítica desconectada (air‑gapped), implantar verificaciones fuera de banda para solicitudes sensibles, reforzar la vigilancia sobre activos expuestos a internet —como webs, VPN y entornos en la nube— y mantener al día los parches de seguridad en la infraestructura crítica.
