Los investigadores de ciberseguridad han advertido de un aumento de las actividades hacktivistas en represalia tras la coordinación entre Estados Unidos e Israel campaña militar contra Irán , cuyo nombre en código es Epic Fury y Roaring Lion.

«La amenaza hacktivista en Oriente Medio es muy desigual, ya que dos grupos, Keymous+ y DieNet, impulsan casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», dijo Radware dijo en un informe del martes. El primer ataque de denegación de servicio distribuido (DDoS) fue lanzado por Hider Nex (también conocido como Tunisian Maskers Cyber Force) el 28 de febrero de 2026.

De acuerdo con detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya las causas propalestinas. Aprovecha una estrategia de hackeo y filtración que combina ataques DDoS con filtraciones de datos para filtrar datos confidenciales y promover su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 denuncias de ataques de DDoS por parte de hacktivistas dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymous+ , DieNet , y Sin nombre 057 (16) , que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Oriente Medio y se dirigieron de manera desproporcionada a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad mundial total durante ese período. Casi el 47,8% de todas las organizaciones objetivo del mundo pertenecían al sector gubernamental, seguido de los sectores financiero (11,9%) y de telecomunicaciones (6,7%).

adsense

«El frente digital se está expandiendo junto con el físico en la región, y los grupos hacktivistas atacan simultáneamente a más naciones de Oriente Medio que nunca antes», dijo Radware. «La distribución de los ataques en la región se concentró en gran medida en tres países específicos: Kuwait, Israel y Jordania. Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques».

Además de Keymous+, DieNet y NoName057 (16), algunos de los otros grupos que han participado en operaciones disruptivas son Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, PalachPro Unidad 42 y Radware.

El alcance actual de los ciberataques se detalla a continuación:

  • Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Iron Dome.
  • Se ha observado una activa campaña de suplantación de identidad por SMS que utiliza una réplica fraudulenta de la aplicación RedAlert del Comando del Frente Nacional de Israel para ofrecer programas maliciosos de vigilancia móvil y exfiltración de datos. «Al manipular a las víctimas para que descargaran este APK malintencionado con el pretexto de actualizarlo urgentemente en tiempos de guerra, los adversarios despliegan con éxito una interfaz de alerta totalmente funcional que oculta un motor de vigilancia invasivo diseñado para atacar a una población hipervigilante», CloudSEK dijo .
  • El Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán atacó los sectores de energía e infraestructura digital en Oriente Medio y atacó a Saudi Aramco y a un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo daño económico mundial como contrapresión a las pérdidas militares», dijo Flashpoint.
  • Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antigua ciberpersonalidad, Equipo Altoufan , alegando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas de los actores y la alta probabilidad de que sigan involucrándose en intrusiones en Oriente Medio en medio del conflicto», dijo Check Point.
  • Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobierno regional para promover las prioridades geopolíticas de la nación.
  • Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciados , ya sea suspendiendo o agrupando las retiradas por lotes y emitiendo una guía de riesgo en la que se insta a los usuarios a prepararse para una posible interrupción de la conectividad.
  • «Lo que estamos viendo en Irán no son pruebas claras de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en conectividad limitada e intervención regulatoria», dijo Ari Redbord, director global de políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado las criptomonedas para evadir las sanciones, incluso a través de una sofisticada infraestructura offshore. Lo que estamos viendo ahora —bajo la presión de la guerra, los cortes de conectividad y la volatilidad de los mercados— es una prueba de resistencia en tiempo real de esa infraestructura y de la capacidad del régimen para aprovecharla».
  • Sophos dijo «observó un aumento de la actividad hacktivista, pero no una escalada del riesgo», principalmente por parte de personas proiraníes, como el equipo Handala Hack y APT Iran, en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos relacionados con la infraestructura israelí.
  • El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) alertado las organizaciones corren un mayor riesgo de sufrir ciberataques iraníes, instándolas a reforzar su postura de ciberseguridad para responder mejor a Ataques DDoS , actividad de phishing , y Segmentación de ICS .

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta sénior del centro de investigación de ransomware de Halcyon y exsubdirectora de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «presuntos desaires políticos», y añadió que estas actividades incorporan cada vez más el ransomware.

«Durante mucho tiempo, Teherán ha preferido hacer la vista gorda, o al menos indiferente, ante las ciberoperaciones privadas contra objetivos en los Estados Unidos, Israel y otros países aliados», dijo Kaiser adicional . «Esto se debe a que tener acceso a los ciberdelincuentes brinda opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares estadounidenses e israelíes, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden tener un efecto de represalia significativo».

enlaces

La empresa de ciberseguridad SentinelOne también ha juzgado con gran confianza en que es probable que las organizaciones de Israel, EE. UU. y los países aliados se enfrenten a ataques directos o indirectos, particularmente en los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académico y de los medios de comunicación.

«Los actores de amenazas iraníes han demostrado históricamente su voluntad de combinar operaciones de espionaje, disrupción e impacto psicológico para promover objetivos estratégicos», dijo Nozomi Networks dijo . «En períodos de inestabilidad, estas operaciones suelen intensificarse y tienen como objetivo infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona de conflicto inmediata».

Para contrarrestar el riesgo que representa el conflicto cinético, se recomienda a las organizaciones que activen la supervisión continua para reflejar la escalada de la actividad de las amenazas, actualizar las firmas de inteligencia sobre amenazas, reducir la superficie de ataque externa, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los ciberactores de Teherán alinearon su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluidos la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de operaciones antiadversarias de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia las operaciones centradas en la nube y la identidad, lo que los posiciona para actuar con rapidez en entornos empresariales híbridos con mayor escala e impacto».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.