La guerra secreta de Irán: los hackers que operan en la sombra y su plan para desestabilizar al mundo
Mientras el mundo mira los cielos, una guerra invisible se libra en servidores y redes. Un informe exclusivo desmenuza la poderosa red de hackers que Teherán despliega para espiar, sabotear y manipular. Estos son los nombres en clave y las tácticas de los grupos que actúan como el brazo cibernético del régimen.
Mientras los misiles cruzan el cielo de Medio Oriente, una batalla paralela y silenciosa se libra en el ciberespacio. Un informe revela la compleja red de grupos de hackers que responden directamente al régimen iraní, diseñada para espiar, destruir y desinformar en medio de la escalada bélica. Esta maquinaria digital, vinculada a los cuerpos de inteligencia más poderosos de Teherán, ya está activa y se espera que intensifique sus ataques a nivel global.
Lejos de ser acciones aisladas, la ciberactividad se ha convertido en un componente central del conflicto actual, operando a la par de la Operación Furia Épica. Según el análisis de Check Point Research (CPR), Irán ha desplegado un ecosistema de guerra digital sofisticado y estructurado.
Este entramado está conformado por múltiples clústeres o grupos de ataques organizados, que responden a entidades estatales como el temible Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y el Ministerio de Inteligencia y Seguridad (MOIS). A ellos se suman operadores encubiertos y grupos hacktivistas que actúan como una extensión de los brazos de inteligencia, creando una nebulosa que les permite atacar con un amplio margen de cobertura y negación.
El triple objetivo de una máquina de guerra digital
La estrategia de esta maquinaria tiene tres pilares fundamentales. El primero es el espionaje, destinado a obtener inteligencia valiosa y consolidar una presencia persistente en los sistemas del enemigo. El segundo es la disrupción, mediante ataques DDoS, pseudo-ransomware y borrado masivo de datos para imponer costos operativos y psicológicos al adversario.
El tercer pilar, y quizás el más insidioso, son las operaciones de información. En estas campañas, los grupos combinan actividad destructiva con fugas de datos cuidadosamente orquestadas, que luego son amplificadas en redes sociales y medios para moldear narrativas, sembrar confusión y desestabilizar desde dentro.
Los analistas prevén que esta actividad no solo se intensificará, sino que se extenderá por todo Oriente Medio, Estados Unidos y otros países considerados oponentes por Irán en el marco de la guerra actual.
Los nombres en la sombra: quiénes son los hackers de Teherán
Para dimensionar la amenaza, Check Point Research identificó a los principales grupos de avanzada que operan en este conflicto. Cada uno tiene una especialidad, blancos preferidos y un modus operandi distintivo.
Cotton Sandstorm, también conocido como Emennet Pasargad, es un grupo afiliado al CGRI especializado en campañas de reacción rápida. Combina desfiguración de sitios web, ataques DDoS y robo de datos con una potente maquinaria de operaciones de información, usando identidades falsas para amplificar sus golpes. Recientemente reactivaron la identidad “Altoufan Team” para atacar objetivos en Bahréin.
Educated Manticore es el arma de precisión del espionaje iraní. Alineado con la Organización de Inteligencia del CGRI, se enfoca en individuos de alto valor como periodistas, académicos y activistas de la diáspora. Su técnica es la suplantación de identidad de alta confianza, usando ingeniería social multicanal y kits de phishing que imitan servicios como WhatsApp o Microsoft Teams para robar credenciales y acceder a información sensible.
Posiblemente el grupo más activo en la crisis actual es MuddyWater (o Mango Sandstorm), vinculado al Ministerio de Inteligencia iraní. Tiene un largo historial de espionaje contra gobiernos y sectores críticos como telecomunicaciones y energía en Oriente Medio. Su alcance es masivo y se sospecha que algunas de sus herramientas podrían haber sido desarrolladas con asistencia de inteligencia artificial.
Bajo el nombre de Handala (o Handala Hack Team) opera una de las caras más visibles del hacktivismo pro-Irán, mantenida por el actor Void Manticore, afiliado al MOIS. Se especializan en irrumpir en sistemas, robar datos y programar publicaciones para maximizar el impacto mediático, operando incluso desde direcciones IP de Starlink.
Finalmente, Agrius (Pink Sandstorm) es el brazo ejecutor de operaciones destructivas. Vinculado al MOIS, prioriza el impacto sobre el sigilo, especializándose en ataques de borrado de datos (*wipers*) y falso ransomware. Se los ha detectado buscando cámaras de seguridad vulnerables en Israel, en una inquietante fusión del espionaje digital con el monitoreo del campo de batalla físico.
¿Cómo defenderse del terrorismo digital?
Frente a esta amenaza multifacética y en evolución, los expertos de CPR recomiendan a organizaciones e instituciones reforzar sus defensas con medidas concretas. La velocidad que la IA otorga a los atacantes exige una respuesta igual de ágil y automatizada.
Una medida fundamental es fortalecer la higiene de seguridad: mantener todos los sistemas, especialmente VPNs y firewalls, actualizados, e implementar autenticación multifactor (MFA) en todas las cuentas posibles para frustrar el robo de credenciales.
Es crucial proteger los datos críticos, asegurando al menos una copia de la información más importante almacenada fuera de línea (*offline*) para hacer frente a ataques de ransomware o *wipers* que buscan borrar todo.
Además, las organizaciones deben prepararse para la desinformación, teniendo un plan de comunicación robusto para responder con rapidez y veracidad a filtraciones o afirmaciones de ataques, controlando así la narrativa y evitando el pánico innecesario.
También puede interesarle