La operación militar conjunta iniciada el 28 de febrero por Estados Unidos e Israel ha provocado la inmediata reacción del ecosistema cibernético afín a Irán, abriendo un nuevo frente de confrontación digital que va más allá del ámbito regional. Este escenario combina acciones de hacktivismo coordinado, campañas de propaganda y presión sobre infraestructuras consideradas estratégicas.

Según el último informe de Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, se ha detectado la activación simultánea de más de 60 grupos proiraníes y prorrusos. El análisis también apunta a la irrupción de una plataforma denominada “Electronic Operations Room”, que estaría actuando como centro de coordinación tanto operativa como narrativa para ejecutar ataques disruptivos en distintos países. Entre los colectivos más activos señalados por Unit 42 se encuentran:

• Handala Hack, vinculado al Ministerio de Inteligencia y Seguridad iraní (MOIS), que combina exfiltración de datos con operaciones de presión psicológica.
• APT Iran, conocido por campañas de hack-and-leak
• Cyber Islamic Resistance, colectivo paraguas que coordina equipos como RipperSec y Cyb3rDrag0nzz en ataques DDoS y operaciones destructivas.
• Dark Storm Team, especializado en DDoS y ransomware.
• FAD Team (Fatimiyoun Cyber Team), centrado en malware wiper y destrucción permanente de datos.
• Evil Markhors, orientado a la recolección de credenciales y detección de sistemas críticos sin parchear.
• Sylhet Gang, que actúa como amplificador narrativo y motor de reclutamiento.
• 313 Team (Islamic Cyber Resistance in Iraq).
• DieNet, activo en ataques DDoS en Oriente Medio.

En paralelo, colectivos prorrusos como Cardinal, NoName057(16) y Russian Legion han reivindicado ataques contra entidades israelíes, incluyendo sistemas municipales, políticos, de telecomunicaciones y defensa. En el caso de Russian Legion, el grupo afirmó haber accedido al sistema de defensa antimisiles Iron Dome y a servidores cerrados del IDF, afirmaciones que forman parte de sus propias comunicaciones públicas.

Unit 42 destaca que, desde la mañana del 28 de febrero, la conectividad a internet disponible en Irán descendió a niveles estimados de entre el 1% y el 4%. La pérdida de conectividad, junto con la degradación de estructuras de liderazgo y mando, probablemente dificultará que actores alineados con el Estado coordinen y ejecuten ciberataques sofisticados a corto plazo.

Ataques, campañas activas y posible evolución de la amenaza

Entre las actividades identificadas por Unit 42 destacan reivindicaciones de acceso no autorizado a entornos sensibles, incluidos sistemas industriales SCADA/PLC, así como infraestructuras y servicios asociados a sectores como energía, pagos y entidades financieras, además de organismos públicos y objetivos vinculados a transporte y administración.

La investigación también documenta una campaña activa de phishing que utiliza una réplica maliciosa de la aplicación israelí Home Front Command RedAlert, distribuida mediante mensajes SMS con enlaces a la descarga de un APK. Según Unit 42, el archivo aparenta legitimidad y se emplea para desplegar malware móvil orientado a vigilancia y exfiltración de datos. El informe recoge igualmente casos de vishing en Emiratos Árabes Unidos, donde los atacantes suplantan al Ministerio del Interior para obtener credenciales y datos de identificación.

Asimismo, Unit 42 señala una escalada en el tono de la intimidación digital. En particular, indica que Handala Hack habría enviado correos electrónicos con amenazas directas a influencers iraníes-estadounidenses e iraníes-canadienses, incluyendo la afirmación de haber filtrado sus direcciones físicas.

Recomendaciones ante un entorno de riesgo elevado

Ante un escenario de amenaza en rápida evolución, Palo Alto Networks recomienda adoptar un enfoque de defensa multicapa basado en tecnología avanzada y ciberhigiene reforzada:

• Mantener al menos una copia de seguridad crítica desconectada (air-gapped).
• Implementar verificación fuera de banda para solicitudes sensibles.
• Reforzar la monitorización de activos expuestos a internet, incluidos sitios web, VPN y entornos cloud.
• Aplicar parches de seguridad y buenas prácticas de endurecimiento en infraestructuras críticas.
• Formar a los empleados frente a técnicas de phishing e ingeniería social.
• Evaluar el bloqueo geográfico de direcciones IP en regiones donde no exista actividad legítima.
• Actualizar los planes de continuidad de negocio y los protocolos de gestión de crisis.
• Establecer procedimientos para validar y responder con rapidez a posibles reclamaciones de brechas o filtraciones.
• Mantener vigilancia continua ante campañas de presión reputacional y narrativas amplificadas por actores de amenazas.

La compañía subraya además la importancia de apoyarse en soluciones de seguridad consolidadas, capacidades avanzadas de detección y respuesta, y equipos especializados en inteligencia de amenazas e investigación de incidentes para reducir el impacto potencial de este tipo de campañas.