Acciones entre EE.UU., Israel e Irán aumentan el riesgo de ciberataques

La reciente escalada militar entre Estados Unidos, Israel e Irán ha intensificado la tensión geopolítica en Medio Oriente, pero también ha elevado el riesgo de actividad cibernética disruptiva a nivel internacional.

El 28 de febrero de 2026 se registraron ataques militares coordinados de Estados Unidos e Israel contra objetivos en territorio iraní que llevó a la muerte del líder supremo iraní, Ali Khamenei, durante los bombardeos, según informaron diversos medios internacionales. Como respuesta, Irán lanzó acciones de represalia, incluidos ataques con misiles en la región.

En este escenario, la empresa de ciberseguridad Sophos explicó que este tipo de episodios de confrontación directa históricamente han estado acompañados por un aumento en la actividad de actores cibernéticos alineados con intereses iraníes, particularmente a través de grupos proxy o identidades hacktivistas.

De acuerdo con la evaluación de la unidad de inteligencia Sophos X-Ops Counter Threat Unit (CTU) la amenaza tiene un nivel “elevado”, y una ventana de riesgo inmediata a corto plazo, de días a semanas. Los analistas señalaron que los sectores que podrían verse más expuestos incluyen entidades gubernamentales, infraestructura crítica, servicios financieros y empresas vinculadas al sector defensa.

Rafe Pilling, director de inteligencia de amenazas de Sophos X-Ops CTU, dijo que Irán ha perfeccionado durante más de una década el uso estratégico de identidades hacktivistas como extensiones indirectas del Estado. “Irán ha pasado más de una década perfeccionando el uso de identidades hacktivistas como proxies cibernéticos, lo que permite al Estado enviar señales de intención, amplificar la disrupción y mantener una negación plausible”, comentó.

Aunque gran parte de la actividad hacktivista genera más impacto mediático que operativo, el especialista subrayó que el riesgo real proviene de aquellas identidades que mantienen vínculos discretos con estructuras estatales. “La mayoría de la actividad hacktivista proiraní genera más ruido que impacto; el riesgo real proviene de identidades que están silenciosamente vinculadas al estado iraní”, aseguró Pilling.

Los antecedentes históricos de esta situación incluyen la Operación Ababil, que ejecutó ataques de denegación de servicio contra instituciones financieras en Estados Unidos entre 2011 y 2013, y que posteriormente fue vinculada a actores que operaban en nombre del Islamic Revolutionary Guard Corps (IRGC). Más recientemente, identidades como Homeland Justice han sido relacionadas con campañas de tipo “hack-and-leak” y ataques destructivos contra entidades gubernamentales europeas.

El 28 de febrero de 2026, la persona Handala Hack, vinculada al Ministerio de Inteligencia y Seguridad de Irán (MOIS), se adjudicó ataques en Jordania y lanzó amenazas contra otros países de la región. Aunque estos grupos suelen exagerar públicamente el alcance de sus operaciones, indicaron desde Sophos, cuentan con capacidades reales documentadas que incluyen robo de información, despliegue de ransomware, malware destructivo tipo “wiper” y campañas de alteración de sitios web.

Los especialistas de Sophos consideran probable que se intensifiquen las operaciones oportunistas o disruptivas, que podrían incluir ataques de denegación de servicio, campañas de phishing dirigidas al robo de credenciales, explotación de sistemas expuestos a internet y filtraciones públicas de información con fines de presión reputacional.

Y si bien el foco primario de estos actores es Israel y objetivos estadounidenses, Sophos advierte que las operaciones pueden extenderse a otros países, especialmente si se trata de organizaciones con vínculos comerciales, tecnológicos o financieros con Estados Unidos o aliados estratégicos. “Aunque Israel sigue siendo el objetivo principal, los frentes hacktivistas alineados con Irán se han extendido repetidamente hacia países del Golfo y más allá, particularmente en respuesta a temas políticamente sensibles para Irán”, advirtió Pilling.

Para las organizaciones en México, Sophos recomendó:

• reforzar controles de identidad y acceso,
• mantener actualizados los sistemas expuestos a internet,
• fortalecer la detección de intentos de phishing,
• validar la integridad de los respaldos críticos, y
• revisar los planes de respuesta a incidentes y continuidad de negocio ante escenarios de ransomware o malware destructivo.