La confrontación en terreno —identificada por Washington y Tel Aviv como las operaciones Epic Fury y Roaring Lion— ha abierto también una segunda línea de fuego en el mundo digital. Los investigadores en ciberseguridad han detectado un aumento notable de actividad hacktivista y de actores vinculados a Estados o grupos simpatizantes que responden por vías informáticas a la escalada militar. Lo que antes eran pulsos aislados ahora se percibe como una campaña coordinada a varios frentes, desde ataques de denegación de servicio hasta campañas de suplantación móvil y filtraciones de datos.
Un informe reciente de Radware documenta que unos pocos colectivos están moviendo la mayoría del tráfico disruptivo: nombres como Keymous+ y DieNet concentraron la mayor parte de las reclamaciones de DDoS en los primeros días del conflicto. Puedes leer el análisis completo en el informe técnico de Radware publicado por la compañía, que además detalla la cronología de las campañas y los vectores más usados.
El primer gran ataque distribuido registrado alrededor del 28 de febrero fue atribuido a Hider Nex (también conocido como Tunisian Maskers Cyber Force). Según lo compartido por Orange Cyberdefense, este grupo combina interrupciones mediante DDoS con fugas de datos para ampliar su impacto político, una técnica con la que buscan amplificar narrativas y presionar a objetivos concretos: el laboratorio de inteligencia de Orange ofrece más contexto sobre su modus operandi.
Las cifras hablan por sí solas: cientos de reclamaciones de ataques distribuidos, decenas de organizaciones afectadas en más de una docena de países y una concentración geográfica clara en Oriente Medio. Radware y otros proveedores coinciden en que casi la mitad de los objetivos eran entidades gubernamentales, seguidas por instituciones financieras y operadores de telecomunicaciones. Eso convierte a infraestructuras públicas y servicios críticos en blanco prioritario, con consecuencias potenciales que van más allá del simple “apagón” temporal.
La geografía de las reclamaciones muestra un patrón interesante: Kuwait, Israel y Jordania concentraron una parte desproporcionada del volumen de ataques en la región, según los datos analizados por Radware. Al mismo tiempo, actores pro-rusos y otras collectivas han reivindicado operaciones que, si bien a veces resultan difíciles de verificar de inmediato, añaden complejidad al panorama porque mezclan motivaciones ideológicas, geopolíticas y, en algunos casos, intereses criminales.
La escalada no se limita a DDoS. Investigadores de Palo Alto Networks (Unit 42) han documentado reclamaciones de grupos prorrusos que apuntaron a redes militares y sistemas sensibles, mientras empresas como CloudSEK alertaron sobre campañas de phishing por SMS que distribuían una versión maliciosa de la app de alerta civil israelí RedAlert para desplegar malware móvil que roba datos —una estrategia diseñada para explotar la ansiedad de la población en situaciones de crisis. Puedes revisar el reporte técnico de CloudSEK sobre esa campaña aquí: CloudSEK: campaña RedAlert falsa.
Paralelamente, firmas de inteligencia como Flashpoint han señalado operaciones atribuidas a entidades estatales iraníes orientadas a infraestructura energética y centros de datos regionales —con objetivos claros sobre impacto económico— mientras que analistas de Check Point han identificado la reaparición de actores con alias previos que buscan aprovechar el clima de tensión para expandir su actividad en la región. Para ahondar en la evolución de la capacidad ofensiva iraní, el blog de Check Point ofrece una lectura detallada: Check Point: capacidades cibernéticas iraníes.
Nozomi Networks, especializada en entornos industriales, ha puesto atención en grupos de mayor sofisticación que han cuidado sus operaciones en sectores como defensa, aeroespacial y telecomunicaciones, mostrando que el conflicto puede traducirse en amenazas contra sistemas OT/ICS. Su informe sobre tendencias en OT e IoT describe estos movimientos y recomendaciones para operadores de infraestructuras críticas: Nozomi Networks: tendencias OT/IoT.
En el plano económico, los mercados de criptomonedas iraníes han permanecido operativos, pero con restricciones operativas y medidas de precaución. TRM Labs ha seguido de cerca cómo los exchanges locales han ajustado sus políticas de retiro y funcionamiento para gestionar riesgo y conectividad limitada: TRM Labs: respuesta del mercado cripto iraní. Expertos señalan que, durante crisis, las infraestructuras financieras alternativas se someten a una “prueba de estrés” que revela dependencias y puntos frágiles.
Empresas de ciberseguridad como Sophos y SentinelOne han observado un repunte en acciones de hacktivistas y actores pro-estado, aunque difieren en la evaluación del riesgo inmediato: mientras algunos ven un aumento en la actividad de baja complejidad y alto ruido, otros alertan sobre la posibilidad de que las capacidades se vuelvan más destructivas o se mezclen con tácticas criminales como el ransomware. Sophos publicó un aviso sobre la situación y cómo monitorizar la exposición: Sophos: aviso de riesgo cibernético.
Las autoridades también han reaccionado. El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha instado a las organizaciones a reforzar defensas frente a DDoS, phishing y amenazas a sistemas industriales, y ha difundido guías para mitigar el impacto mientras persiste la tensión regional: recomendaciones del NCSC. En Estados Unidos, la agencia CISA mantiene alertas sobre ataques a entornos ICS y otras infraestructuras críticas: CISA: avisos sobre ICS.
¿Qué significa esto para empresas y administraciones? A corto plazo, la prioridad es simple en su formulación pero compleja en la ejecución: reforzar la detección continua, disminuir la superficie expuesta a Internet, validar la segmentación entre TI y OT, y endurecer controles de identidad y acceso. Las organizaciones con activos industriales deben prestar especial atención a la visibilidad y a la capacidad de respuesta en tiempo real, tal como recomienda Nozomi Networks en sus guías para operadores críticos: recomendaciones de Nozomi.
En el plano estratégico, analistas como Cynthia Kaiser y equipos de inteligencia de compañías privadas subrayan que Irán y otros estados han aprendido a usar una mezcla de actores: grupos oficiales, proxies y criminales con agendas híbridas. Esa diversidad permite a los estados denegar responsabilidad o multiplicar el impacto sin firmar cada acción, una dinámica que complica tanto la atribución como la disuasión. La reflexión de especialistas y exfuncionarios puede consultarse en sus publicaciones y redes profesionales, por ejemplo en el comentario de Kaiser en LinkedIn: post de Cynthia Kaiser.
Por último, este episodio recuerda que la seguridad digital es ya una extensión inevitable de la política exterior y la seguridad nacional. La “guerra híbrida” moderna mezcla misiles y malware, discursos y fugas de datos, y exige una respuesta que combine inteligencia técnica, cooperación internacional y preparación operativa en todos los sectores críticos. Para quien gestione riesgos, la conclusión es clara: no se trata solo de reaccionar a un incidente, sino de anticiparlo y diseñar resiliencia en capas que amortigüe tanto el ruido como el impacto real.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...