En medio de la intensificación del conflicto en Oriente Medio, una campaña de ciberataques dirigida contra entornos de Microsoft 365 ha puesto en jaque a organizaciones en la región. Según el análisis publicado por la firma de seguridad Check Point, un actor con vínculos a Irán habría ejecutado tres oleadas de intentos de acceso por fuerza bruta selectiva los días 3, 13 y 23 de marzo de 2026, concentrando su actividad sobre todo en Israel y los Emiratos Árabes Unidos y afectando a cientos de entidades locales.
La técnica empleada —conocida como password spraying— consiste en probar una misma contraseña común contra muchos usuarios distintos en una aplicación determinada, una táctica que reduce la probabilidad de activar mecanismos de bloqueo por intentos fallidos y permite descubrir credenciales débiles a escala. Check Point relaciona este enfoque con patrones que en el pasado han sido atribuidos a grupos iraníes como Peach Sandstorm y Gray Sandstorm (también identificado en otras nomenclaturas por la industria), y señala que el ataque se desarrolló en fases: barridos agresivos desde nodos de salida de Tor, intentos de autenticación y, en los casos en que lograron acceso, extracción de información sensible como el contenido de buzones de correo.
El reportaje técnico de la empresa israelí describe además el uso de herramientas de tipo "red-team" y la utilización de infraestructura comercial de anonimización y VPN —incluyendo nodos asociados al AS35758— para ocultar el origen de las conexiones. Aunque el foco fue Israel y los EAU, Check Point detectó actividad relacionada con el mismo actor contra objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudí, y apunta a que las víctimas abarcan desde organismos gubernamentales y municipios hasta sectores como tecnología, transporte y energía.
Este tipo de campañas pone de manifiesto dos realidades críticas: por un lado, la persistencia y la capacidad de sofisticación de actores que operan desde o con vínculos a Estados; por otro, la vulnerabilidad inherente de muchos entornos cloud cuando no se aplican controles básicos de defensa en profundidad.
Las recomendaciones para defenderse de intentos de password spraying son conocidas y, sin embargo, siguen sin aplicarse de manera homogénea. Monitorizar los registros de inicio de sesión para detectar patrones anómalos, imponer controles de acceso condicional que limiten la autenticación a ubicaciones permitidas, exigir la autenticación multifactor (MFA) para todas las cuentas y activar el registro de auditoría para permitir investigaciones posteriores son medidas básicas pero efectivas. Microsoft mantiene guías prácticas sobre cómo configurar acceso condicional y MFA en entornos de Azure/Microsoft 365 que son útiles para cualquier administrador: Guía de acceso condicional de Microsoft y documentación sobre MFA.
El contexto regional amplifica el riesgo: no se trata de incidentes aislados, sino de una dinámica donde el ciberespacio se ha convertido en un ámbito más de la confrontación geopolítica. En paralelo a las campañas de acceso y exfiltración, se ha observado un incremento de operaciones de ransomware y otras actividades de sabotaje que mezclan motivaciones políticas y lucro, difuminando la frontera entre delincuencia organizada y operaciones con respaldo o tolerancia estatal.
Un ejemplo reciente y relevante es el ataque contra una organización sanitaria en Estados Unidos a finales de febrero de 2026 atribuido al grupo Pay2Key, una operación de ransomware que, según investigaciones independientes y aseguradoras, muestra vínculos con operadores iraníes. En ese incidente, los atacantes habrían utilizado una vía de acceso no determinada públicamente, aprovechando herramientas de acceso remoto legítimas para establecer presencia, recolectar credenciales, desactivar defensas y desplegar el cifrador. Informes de firmas como Halcyon y Beazley aportan detalles sobre cómo estos actores han evolucionado sus técnicas: desde el falseo del estado de soluciones antivirus hasta la limpieza de registros al final de la ejecución para borrar huellas de sus propias acciones. Más información general sobre la aparición y tácticas de grupos de ransomware puede encontrarse en las publicaciones de Halcyon y en análisis de la industria: Halcyon - análisis de amenazas y Beazley - recursos sobre ciberincidentes.
Además, se han observado variantes de ransomware adaptadas a entornos Linux que complican aún más la respuesta, diseñadas para ejecutarse con privilegios root, recorrer amplios rangos de sistema de archivos y utilizar cifrados modernos como ChaCha20, además de desactivar mecanismos de seguridad y garantizar persistencia tras reinicios. Investigaciones técnicas recientes sobre muestras y comportamiento de estas variantes han sido publicadas por empresas de seguridad como Morphisec, que documentan técnicas de debilitamiento de defensas y persistencia: Morphisec - blog técnico.
En el ecosistema del ransomware también se han reportado movimientos entre operadores y afiliados: administradores de familias de ransomware han alentado a ciertos grupos a adoptar otros cifradores o a reaprovechar familias con motivaciones político-ideológicas, lo que impulsa una circulación de herramientas y tácticas en el submundo del cibercrimen que acaba repercutiendo sobre objetivos civiles y empresariales. Este fenómeno refuerza la tesis de que muchas campañas contemporáneas combinan objetivos geopolíticos con modelos de negocio criminales, y que los objetivos en la región —desde infraestructuras críticas hasta proveedores de servicios— son especialmente apetecibles.
¿Qué puede hacer una organización hoy? Más allá de aplicar MFA y controles de acceso condicional, es clave mantener una higiene de cuentas: restringir cuentas con privilegios, rotar y descartar contraseñas por defecto, implantar detección en puntos finales y entornos de correo, y practicar planes de respuesta y recuperación que incluyan copias de seguridad resistentes y procedimientos de restauración probados. La visibilidad es crítica: el registro y el análisis de telemetría de autenticaciones y actividades en la nube permiten detectar patrones de barrido y movimientos laterales antes de que la intrusión derive en exfiltración o cifrado masivo.
Por último, conviene recordar que la ciberdefensa no es solo una cuestión técnica sino también organizativa y política. La colaboración entre sectores, el intercambio de inteligencia entre empresas y con agencias nacionales, y la adopción continua de buenas prácticas por parte de proveedores y clientes son elementos necesarios para reducir el impacto de estas campañas. Para quienes gestionan entornos Microsoft 365, las guías y herramientas publicadas por el propio proveedor y por la comunidad de respuesta a incidentes son un buen punto de partida: Monitorización e informes de identidades en Azure AD.
El panorama de amenazas cambia con rapidez y, a menudo, sin grandes anuncios públicos: ataques que comienzan con un simple intento de contraseña pueden convertirse en brechas con consecuencias económicas y operativas severas. La mejor defensa es anticiparse con controles básicos bien configurados, visibilidad continua y procedimientos de respuesta afinados. Para mantenerse al día sobre estas amenazas y las recomendaciones técnicas, conviene seguir las publicaciones de las firmas especializadas y los centros de respuesta a incidentes que documentan y analizan estos eventos en tiempo real.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...