✨︎ Resumen (TL;DR):
- Hacktivistas vinculados a Irán lanzaron una ola de ciberataques tras la ofensiva militar de Estados Unidos e Israel.
- Unit 42 identificó 7,381 URLs de phishing y documentó 149 ataques DDoS en las primeras 72 horas del conflicto.
- Handala Hack vulneró a la empresa médica Stryker, robando 50 TB de datos y borrando más de 200,000 dispositivos.
Tras el inicio de la ofensiva militar conjunta de Estados Unidos e Israel —operaciones Furia Épica y León Rugiente— contra Irán el 28 de febrero, investigadores de ciberseguridad detectaron una escalada masiva de ataques digitales. Unit 42, la unidad de inteligencia de Palo Alto Networks, reporta operaciones de phishing, fraude financiero y el uso de wiper —un malware destructivo que elimina información corporativa de forma irreversible— dirigidas por más de 60 grupos hacktivistas contra Medio Oriente y otras regiones.
La firma de seguridad identificó 7,381 URLs de phishing distribuidas en 1,881 dominios únicos. Los atacantes suplantan la identidad de empresas de telecomunicaciones, aerolíneas y agencias gubernamentales, creando portales corporativos falsos para engañar a las víctimas.
La velocidad de esta ofensiva digital rompe esquemas operativos. Un análisis de CloudSEK documentó que una coalición de 12 grupos ejecutó 149 ataques DDoS contra 110 organizaciones en 16 países durante las primeras 72 horas. Colectivos como Handala Hack y agrupaciones prorrusas formaron una “Sala de Operaciones Electrónicas” el mismo 28 de febrero para coordinar los ataques.
Paradójicamente, las intrusiones provienen de servidores ubicados fuera de territorio iraní. Irán sufre un apagón casi total de internet, con niveles de conectividad del 1% al 4%. Esta restricción obligó a descentralizar las operaciones usando proxys globales y hackers distribuidos.
El golpe a Stryker y amenazas de alto nivel
La Dirección Nacional Cibernética de Israel emitió una alerta el 6 de marzo sobre ataques inminentes, pero el incidente más grave cruzó fronteras rápidamente.
- Ataque destructivo: Handala Hack, un frente del Ministerio de Inteligencia de Irán, ejecutó el golpe más severo.
- Daño masivo: El 11 de marzo, el grupo vulneró a la compañía médica estadounidense Stryker, extrayendo 50 terabytes de información.
- Borrado remoto: Los atacantes utilizaron Microsoft Intune para borrar 200,000 dispositivos en 79 países.
Las campañas de espionaje también utilizan ingeniería social agresiva. Proofpoint detectó correos electrónicos que usan el conflicto como cebo, mencionando la supuesta muerte del líder supremo iraní o planes de ataque a la infraestructura petrolera del Golfo.
Theresa Payton, exdirectora de Información de la Casa Blanca, advirtió el 25 de marzo a The Jerusalem Post sobre el riesgo inminente en la infraestructura civil y satelital. Según Payton, el régimen busca “flexionar sus músculos digitales” a medida que aumenta su desesperación militar.
“Estoy muy preocupada por su capacidad para usar la ingeniería social y penetrar en agencias gubernamentales y empresas del sector privado”, declaró Payton, alertando que Irán recluta talento cibernético de China, Rusia y Corea del Norte. La experta advirtió sobre el uso de deepfakes para generar caos social, creando una amenaza que “se vuelve generacional, y resulta muy difícil de revertir”.
El peligro no terminará con un acuerdo geopolítico. Los analistas de Unit 42 advierten que estos actores estatales ya establecieron accesos persistentes en múltiples redes corporativas, listos para ejecutar nuevos ataques en cuanto Irán recupere su conectividad a internet.
