Unit 42 alerta de una escalada del riesgo cibernético global tras la ofensiva de EE. UU. e Israel contra Irán 

• Según el último informe de Unit 42, más de 60 grupos activos proiraníes y prorrusos han intensificado su actividad tras la ofensiva del 28 de febrero, con operaciones vinculadas a una estructura denominada «Electronic Operations Room».
• Se ha producido una caída de la conectividad en Irán al 1-4%, lo que podría limitar temporalmente la coordinación de actores estatales basados en el país.
• Unit 42 ha registrado reivindicaciones de acceso a infraestructuras sensibles, incluidos sistemas industriales SCADA/PLC y servicios vinculados a energía, pagos o banca, junto a campañas activas de DDoS, hack-and-leak y malware móvil.
• El informe apunta a una escalada en la intimidación digital, con amenazas directas atribuidas a Handala Hack contra influencers iraníes-estadounidenses e iraníes-canadienses.

La ofensiva militar conjunta lanzada el 28 de febrero por Estados Unidos e Israel ha desencadenado una rápida activación del ecosistema cibernético alineado con Irán, dando paso a un escenario de confrontación digital que trasciende la región y combina hacktivismo coordinado, campañas de mensajería política y presión sobre infraestructuras críticas.

El último análisis de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, identifica una movilización simultánea de más de 60 colectivos proiraníes y prorrusos, así como la aparición de una estructura denominada «Electronic Operations Room», que estaría facilitando la coordinación operativa y narrativa de ataques disruptivos en múltiples países. Entre los colectivos más activos identificados por Unit 42 se encuentran:

• Handala Hack, vinculado al Ministerio de Inteligencia y Seguridad iraní (MOIS), que combina exfiltración de datos con operaciones de presión psicológica.
• APT Iran, conocido por campañas de hack-and-leak
• Cyber Islamic Resistance, colectivo paraguas que coordina equipos como RipperSec y Cyb3rDrag0nzz en ataques DDoS y operaciones destructivas.
• Dark Storm Team, especializado en DDoS y ransomware.
• FAD Team (Fatimiyoun Cyber Team), centrado en malware wiper y destrucción permanente de datos.
• Evil Markhors, orientado a la recolección de credenciales y detección de sistemas críticos sin parchear.
• Sylhet Gang, que actúa como amplificador narrativo y motor de reclutamiento.
• 313 Team (Islamic Cyber Resistance in Iraq).
• DieNet, activo en ataques DDoS en Oriente Medio.

En paralelo, colectivos prorrusos como Cardinal, NoName057(16) y Russian Legion han reivindicado ataques contra entidades israelíes, incluyendo sistemas municipales, políticos, de telecomunicaciones y defensa. En el caso de Russian Legion, el grupo afirmó haber accedido al sistema de defensa antimisiles Iron Dome y a servidores cerrados del IDF, afirmaciones que forman parte de sus propias comunicaciones públicas.

Unit 42 destaca que, desde la mañana del 28 de febrero, la conectividad a internet disponible en Irán descendió a niveles estimados de entre el 1% y el 4%. La pérdida de conectividad, junto con la degradación de estructuras de liderazgo y mando, probablemente dificultará que actores alineados con el Estado coordinen y ejecuten ciberataques sofisticados a corto plazo.

Ataques, campañas activas y posible evolución de la amenaza

Entre las actividades identificadas por Unit 42 destacan reivindicaciones de acceso no autorizado a entornos sensibles, incluidos sistemas industriales SCADA/PLC, así como infraestructuras y servicios asociados a sectores como energía, pagos y entidades financieras, además de organismos públicos y objetivos vinculados a transporte y administración.

La investigación también documenta una campaña activa de phishing que utiliza una réplica maliciosa de la aplicación israelí Home Front Command RedAlert, distribuida mediante mensajes SMS con enlaces a la descarga de un APK. Según Unit 42, el archivo aparenta legitimidad y se emplea para desplegar malware móvil orientado a vigilancia y exfiltración de datos. El informe recoge igualmente casos de vishing en Emiratos Árabes Unidos, donde los atacantes suplantan al Ministerio del Interior para obtener credenciales y datos de identificación.

Asimismo, Unit 42 señala una escalada en el tono de la intimidación digital. En particular, indica que Handala Hack habría enviado correos electrónicos con amenazas directas a influencers iraníes-estadounidenses e iraníes-canadienses, incluyendo la afirmación de haber filtrado sus direcciones físicas.

Recomendaciones ante un entorno de riesgo elevado

Ante un escenario de amenaza en rápida evolución, Palo Alto Networks recomienda adoptar un enfoque de defensa multicapa basado en tecnología avanzada y ciberhigiene reforzada:

• Mantener al menos una copia de seguridad crítica desconectada (air-gapped).
• Implementar verificación fuera de banda para solicitudes sensibles.
• Reforzar la monitorización de activos expuestos a internet, incluidos sitios web, VPN y entornos cloud.
• Aplicar parches de seguridad y buenas prácticas de endurecimiento en infraestructuras críticas.
• Formar a los empleados frente a técnicas de phishing e ingeniería social.
• Evaluar el bloqueo geográfico de direcciones IP en regiones donde no exista actividad legítima.
• Actualizar los planes de continuidad de negocio y los protocolos de gestión de crisis.
• Establecer procedimientos para validar y responder con rapidez a posibles reclamaciones de brechas o filtraciones.
• Mantener vigilancia continua ante campañas de presión reputacional y narrativas amplificadas por actores de amenazas.

La compañía subraya además la importancia de apoyarse en soluciones de seguridad consolidadas, capacidades avanzadas de detección y respuesta, y equipos especializados en inteligencia de amenazas e investigación de incidentes para reducir el impacto potencial de este tipo de campañas.

El análisis completo puede consultarse en el informe «Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran«.