El panorama geopolítico y de ciberseguridad mundial ha cambiado drásticamente tras el lanzamiento el 28 de febrero de 2026 de la Operación "Furia Épica" por parte de Estados Unidos y la campaña paralela israelí Operación "León Rugiente" contra Irán. Los ataques militares coordinados eliminaron con éxito a los principales dirigentes iraníes, incluido el líder supremo, el ayatolá Alí Jamenei, y degradaron considerablemente la infraestructura militar y nuclear convencional de Irán.

Visión general

Junto con los ataques cinéticos, las fuerzas estadounidenses e israelíes ejecutaron ciberataques contra Irán, creando una "niebla digital" que redujo la conectividad iraní a Internet al 4% del tráfico normal. Esta ofensiva cibernética paralizó la arquitectura de mando y control del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y secuestró las redes de los medios de comunicación estatales. El objetivo era interrumpir su capacidad de coordinar contraataques, concretamente el lanzamiento de drones y misiles balísticos.

Con sus opciones militares convencionales gravemente limitadas, Irán depende ahora en gran medida de las operaciones cibernéticas como principal instrumento de represalia asimétrica. Los ataques cinéticos de represalia ya se han dirigido contra bases y aliados estadounidenses en todo Oriente Próximo, mientras que el transporte comercial a través del Estrecho de Ormuz se ha detenido prácticamente, amenazando con una crisis energética mundial y una escalada de los precios del petróleo.

Simultáneamente, el Departamento de Defensa de Estados Unidos ha alterado agresivamente su cadena de suministro tecnológico, designando a la empresa de IA Anthropic como un "riesgo para la cadena de suministro" y prohibiendo su uso después de que la empresa se negara a permitir que sus modelos se utilizaran para la vigilancia masiva y las armas autónomas. Su rival OpenAI ha conseguido desde entonces un contrato de 200 millones de dólares para desplegar sus modelos de IA en las redes clasificadas del Pentágono.

Elevada actividad de ciberamenazas

Las empresas de inteligencia de amenazas confirman que los actores patrocinados por el Estado iraní y los hacktivistas proxies están reequipando activamente e intensificando las operaciones contra objetivos occidentales. La ventana de riesgo es inmediata, con los siguientes grupos y acciones identificados:

• Grupo Handala: Ataca activamente los sistemas de control industrial israelíes y pretende perturbar las infraestructuras de combustible jordanas y las redes sanitarias israelíes.

• Equipo electrónico Fatimiyoun: Intenta desplegar programas maliciosos destructivos contra instituciones financieras y empresas energéticas occidentales.

• Ciberresistencia Islámica: Lanzamiento de ataques distribuidos de denegación de servicio (DDoS) y de destrucción de datos contra proveedores de logística militar estadounidenses e israelíes.

• APT33 (Peach Sandstorm) / MuddyWater / APT42: Estos grupos de espionaje altamente competentes se han activado y se sabe que aprovechan la pulverización de contraseñas, el spear-phishing y las puertas traseras personalizadas contra los sectores aeroespacial, de defensa, energético y de telecomunicaciones.

• Explotación de dispositivos periféricos: Los actores de amenazas están explotando activamente vulnerabilidades críticas, como CVE-2026-20127 y CVE-2022-20775 en despliegues Cisco SD-WAN, que pueden conceder a los atacantes acceso administrativo completo y un punto de apoyo para el movimiento lateral. Más información al respecto en este aviso: https://insights.integrity360.com/threat-advisories/security-advisory-cve-2026-20127-cisco-catalyst-sd-wan-authentication-bypass

TTPs y IOCs

Se conocen varias Tácticas, Técnicas y Procedimientos (TTP) asociados con los actores de amenazas alineados con Irán, pero aún no se han confirmado Indicadores de Compromiso (IOC) específicos vinculados a los acontecimientos actuales.

Basándose en la actividad histórica, se han identificado las siguientes técnicas ATT&CK de MITRE:

• Acceso inicial:
• Phishing y spearphishing (T1566)
• Explotación de aplicaciones de cara al público (T1190)
• Explotación de servicios remotos externos como VPNs (T1133)
• Acceso a credenciales:
• Fuerza bruta y pulverización de contraseñas (T1110)
• Volcado de credenciales del SO (T1003)
• Extracción de credenciales de almacenes de contraseñas (T1555)
• Persistencia y Evasión de Defensa:
• Manipulación de cuentas (T1098)
• Inyección de procesos (T1055)
• Deterioro de defensas (T1562)
• Eliminación de indicadores en el host (T1070)
• Ofuscación de archivos (T1027)
• Mando y Control:
• Protocolos de capa de aplicación (T1071)
• Transferencia de herramientas de entrada (T1105)
• Canales cifrados (T1573)
• Impacto:
• Destrucción de datos o actividad wiper (T1485)
• Ransomware (T1486)
• Inhibición de la recuperación del sistema (T1490)
• Desfiguración de sitios web (T1491)

¿Son eficaces las listas negras inmediatas? No, confiar únicamente en las listas negras no es una estrategia primaria efectiva en este escenario por algunas razones clave:

• Ausencia de IOC actuales: Los investigadores de seguridad observan que aún no se ha confirmado ninguna campaña específica, lo que significa que faltan indicadores estáticos frescos (como direcciones IP maliciosas o hashes de archivos) para incluirlos inmediatamente en la lista negra.

• Centrarse en los comportamientos en lugar de en los indicadores estáticos: Las amenazas suelen combinar el acceso basado en credenciales, el movimiento lateral y las cargas destructivas. Los expertos recomiendan explícitamente que los equipos de seguridad ajusten sus capacidades de detección y detección y respuesta ampliadas (EDR/XDR) para identificar comportamientos maliciosos asociados a estas técnicas, en lugar de confiar únicamente en listas negras estáticas.

• Abuso de infraestructuras legítimas: Los atacantes están utilizando ataques basados en credenciales, como el rociado de contraseñas y el phishing, para iniciar sesión a través de puntos de acceso externos legítimos. Además, campañas recientes han abusado de sitios legítimos comprometidos para distribuir troyanos de acceso remoto, lo que dificulta la creación de listas negras de dominios sin bloquear servicios benignos.

Mitigación y acciones recomendadas

Dado que la geografía no ofrece protección contra los adversarios cibernéticos, las organizaciones de los sectores gubernamental, de infraestructuras críticas, de defensa, financiero y sanitario deben adoptar inmediatamente una postura defensiva reforzada.

• Proteger los sistemas de control industrial (ICS ) Las empresas que operan en los sectores de la energía, el agua y la fabricación deben aislar inmediatamente los sistemas ICS y SCADA de la Internet pública para mitigar las interrupciones al estilo Handala.

• Revisar y parchearinmediatamente los sistemas orientados a Internet contra las vulnerabilidades conocidas. Las agencias federales y los socios privados deben abordar urgentemente CVE-2026-20127 en los sistemas Cisco SD-WAN, y deben considerar la reconstrucción completa de los controladores comprometidos, ya que los parches por sí solos pueden no remediar intrusiones anteriores.

• Validar las copias de seguridad y la capacidad de recuperación Garantizar la integridad de las copias de seguridad, manteniendo copias fuera de línea o inmutables para recuperarse rápidamente de un posible despliegue de wiper malware o ransomware.

• Mejore los controles de identidad y acceso Aplique la autenticación multifactor (MFA) en todos los accesos remotos y cuentas privilegiadas. Aumente la sensibilidad del triaje de alertas para el rociado de contraseñas, los intentos de fuerza bruta y el abuso de credenciales.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngase en contactoparaaveriguar cómo puede proteger su organización.