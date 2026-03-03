Desde el espionaje hasta el «pseudo ransomware», los grupos alineados con Teherán intensifican sus operaciones contra objetivos en Medio Oriente y Estados Unidos, combinando ataques destructivos con tácticas de desinformación.

En el actual escenario de tensión en Medio Oriente, la guerra no solo se libra en el terreno físico. La ciberactividad iraní se ha consolidado como un pilar estratégico, operando en paralelo a la presión política y militar. Según informes recientes de Check Point Research, este ecosistema está compuesto por múltiples clústeres vinculados al Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y al Ministerio de Inteligencia y Seguridad (MOIS).

Estos actores no solo buscan el espionaje tradicional, sino que han evolucionado hacia la disrupción destructiva: ataques DDoS, borrado de datos y operaciones de información diseñadas para amplificar el impacto psicológico en sus oponentes.

Los principales protagonistas del mapa de amenazas

1. Cotton Sandstorm: Los especialistas en «reacción rápida»

Afiliado al CGRI, este grupo destaca por su capacidad de respuesta ante eventos regionales. Su táctica maestra es el «hackeo y filtración»: roban datos y los difunden mediante identidades falsas para moldear narrativas.

Acciones recientes: Secuestro de servicios de streaming en EE. UU. para difundir mensajes sobre la guerra en Gaza y ataques a infraestructuras en Bahréin.

Secuestro de servicios de streaming en EE. UU. para difundir mensajes sobre la guerra en Gaza y ataques a infraestructuras en Bahréin. Herramientas: Utilizan el malware WezRat y el ransomware WhiteLock.

2. Educated Manticore: El ataque al círculo de confianza

Este clúster (vinculado a APT35/APT42) se especializa en la ingeniería social de alta precisión. Su objetivo no es solo vulnerar sistemas, sino personas clave: periodistas, académicos y responsables de la toma de decisiones.

Táctica: Suplantan aplicaciones como WhatsApp, Microsoft Teams y Google Meet para robar credenciales y tokens de sesión, permitiendo un acceso discreto a correos y documentos confidenciales.

3. MuddyWater: La persistencia del espionaje estatal

Vinculado al MOIS, este grupo es conocido por su enfoque en sectores gubernamentales y energéticos. A diferencia de otros, MuddyWater prefiere mantener un acceso prolongado para la recolección de inteligencia.

Método: Abuso de herramientas legítimas de administración remota (RMM) y uso extensivo de PowerShell. Curiosamente, se han detectado indicios de que parte de su código reciente podría haber sido desarrollado con asistencia de Inteligencia Artificial.

4. Handala: La fachada del hacktivismo

Surgido a finales de 2023, Handala se presenta como un grupo activista pro-palestino, aunque los analistas lo vinculan directamente con el MOIS. Su objetivo principal es la disrupción psicológica.

Enfoque: Ataques a proveedores de servicios de TI (cadena de suministro) para alcanzar múltiples víctimas, seguidos de publicaciones de datos robados para intimidar y dañar la reputación de sus objetivos.

Señales de alerta y mitigación

Para los defensores de redes y especialistas en ciberseguridad, Check Point Research advierte sobre ciertas señales críticas:

Phishing selectivo: Correos que simulan actualizaciones urgentes de software o invitaciones a plataformas de reuniones virtuales.

Correos que simulan actualizaciones urgentes de software o invitaciones a plataformas de reuniones virtuales. Movimiento lateral: El uso de cuentas de correo internas ya comprometidas para lanzar ataques hacia otros departamentos de la misma organización.

El uso de cuentas de correo internas ya comprometidas para lanzar ataques hacia otros departamentos de la misma organización. Herramientas legítimas mal utilizadas: Vigilancia extrema sobre el uso de herramientas de monitoreo remoto (RMM) no autorizadas.

La previsión es clara: se espera que esta actividad no solo se mantenga, sino que se extienda más allá de las fronteras de Medio Oriente, alcanzando a cualquier país que Irán considere un oponente en el conflicto actual.

