Las empresas de ciberseguridad están advirtiendo sobre una marcada escalada en las operaciones cibernéticas iraníes dirigidas contra Estados Unidos, Israel y los estados del Golfo, mientras Teherán moviliza su arsenal digital en respuesta al asalto militar coordinado entre EE. UU. e Israel que comenzó el 28 de febrero y que mató al Líder Supremo, el Ayatolá Ali Jamenei.
CrowdStrike reportó que «ya está observando actividad consistente con actores de amenazas alineados con Irán y grupos hacktivistas realizando reconocimiento y lanzando ataques DDoS», según Adam Meyers, vicepresidente de operaciones contra adversarios de la compañía, en comentarios compartidos con Reuters. La empresa de ciberseguridad Anomali informó a Reuters que grupos de hackeo iraníes patrocinados por el Estado habían comenzado a ejecutar ataques de tipo «wiper» diseñados para borrar datos en objetivos israelíes incluso antes de que se produjeran las ofensivas.
Una respuesta digital en múltiples frentes
La escalada cibernética se está desarrollando paralelamente a un conflicto cinético en curso. Las fuerzas estadounidenses e israelíes han llevado a cabo oleadas de ataques aéreos contra Teherán y objetivos militares en todo Irán desde el 28 de febrero, mientras que Irán ha respondido con misiles y drones dirigidos contra Israel e instalaciones militares estadounidenses en todo el Golfo.
Rafe Pilling, director de inteligencia de amenazas en Sophos, advirtió que «a medida que Irán evalúa sus opciones, aumentan las posibilidades de que grupos proxy y hacktivistas lancen acciones, incluidos ciberataques, contra objetivos militares, comerciales o civiles asociados con Israel y Estados Unidos». Señaló que esas acciones podrían ir desde el reciclaje de antiguas filtraciones de datos presentándolas como nuevas amenazas, hasta ofensivas cibernéticas directas contra sistemas industriales expuestos a internet.
Check Point Research publicó una evaluación detallada el 28 de febrero identificando varios grupos de amenazas iraníes que se espera desempeñen un papel en la represalia digital. Cotton Sandstorm, un grupo afiliado al CGRI conocido por combinar ataques disruptivos con operaciones de influencia, ya ha reactivado su inactiva identidad «Altoufan Team» para reclamar nuevos objetivos en Baréin, según el informe. La firma también señaló la identidad hacktivista «Handala» de Void Manticore, que ha comenzado a difundir mensajes amenazantes dirigidos a países del Golfo y Medio Oriente.
Infraestructura crítica en la mira
El panorama de amenazas abarca múltiples grupos respaldados por el estado iraní con especializaciones distintas. APT33, también conocido como Peach Sandstorm, ha estado atacando durante mucho tiempo los sectores aeroespacial, de defensa y energético mediante campañas persistentes de pulverización de contraseñas. APT35, identificado como Charming Kitten, se centra en el robo de credenciales de investigadores y formuladores de políticas con conocimientos sobre sanciones y estrategia militar. MuddyWater, vinculado al Ministerio de Inteligencia de Irán, tiene un historial de intrusiones de espionaje contra objetivos gubernamentales, de telecomunicaciones y energéticos en todo Medio Oriente.
Un ejecutivo de Palo Alto Networks advirtió el 2 de marzo que el conflicto probablemente desencadenaría una ola creciente de ciberataques geopolíticos en los próximos días. Las agencias gubernamentales de EE. UU. ya habían instado a los operadores de infraestructura crítica a desconectar la tecnología operacional de internet y aplicar protecciones de cuenta más sólidas, con especial preocupación por las empresas de la base industrial de defensa con vínculos a firmas israelíes.
Las primeras horas del conflicto ofrecieron un adelanto: los hackers comprometieron sitios web de noticias iraníes y BadeSaba, una aplicación de calendario religioso con más de cinco millones de descargas, para mostrar mensajes instando al personal armado a deponer sus armas. El acceso a internet en Irán cayó drásticamente durante los ataques iniciales, según el análisis de Kentik. Israel también lanzó ciberataques dirigidos a medios iraníes y aplicaciones telefónicas con mensajes que llamaban a los iraníes a levantarse contra su gobierno, informó The Wall Street Journal.
