Amenaza Cibernética Intensificada Tras Acciones Militares entre EE. UU., Israel e Irán [Informe Urgente]
Tabla de contenido
Este blog resume nuestro último informe flash que cubre el aumento de la actividad de ciberamenazas observado en los días posteriores a los ataques de Estados Unidos e Israel contra Irán. Para un seguimiento completo de incidentes, análisis de actores y orientación defensiva, póngase en contacto con nuestro equipo.
¿Qué pasó el 28 de febrero de 2026?
El 28 de febrero de 2026, Estados Unidos e Israel lanzaron ataques militares coordinados contra objetivos estratégicos en Irán, apuntando a infraestructura militar y relacionada con armas nucleares, y que, según se informa, resultaron en la muerte del Líder Supremo Ali Khamenei. Irán respondió lanzando oleadas de misiles balísticos y drones hacia Israel y posiciones militares estadounidenses en toda la región, con ataques reportados en los EAU, Bahréin, Kuwait, Qatar y Jordania. Múltiples países cerraron su espacio aéreo, incluido el Aeropuerto Internacional de Dubái, el centro internacional más transitado del mundo. El Estrecho de Ormuz, a través del cual pasa aproximadamente el 20% del petróleo mundial, se enfrentó a nuevas interrupciones cuando los principales grupos navieros suspendieron el tránsito.
Las ondas de choque geopolíticas fueron inmediatas. En paralelo, se abrió un segundo frente: el ciberespacio.
La dimensión cibernética: lo que observamos
Los períodos de escalada militar directa en Oriente Medio desencadenan constantemente un aumento de la actividad cibernética alineada con el estado y de hacktivistas. Este conflicto no fue una excepción, y la rapidez de la respuesta fue notable. A las pocas horas de los ataques, el equipo REACT de CybelAngel comenzó a rastrear un aumento significativo en las operaciones cibernéticas declaradas en múltiples canales de actores de amenazas, abarcando varios países de la región.
Entre el 28 de febrero y el 2 de marzo, actores de amenazas reclamaron actividad que afectó a los Emiratos Árabes Unidos, Israel, EE. UU., Arabia Saudita, Bahréin, Kuwait y Jordania. La actividad se dividió en tres categorías. Ataque de Denegación de Servicio Distribuido los ataques fueron los más prevalentes, dirigidos a servicios gubernamentales, entidades de defensa civil, aeropuertos, empresas de telecomunicaciones e instituciones financieras. Las campañas de defacement de sitios web se concentraron en dominios comerciales con sede en los Emiratos Árabes Unidos, y docenas de empresas de los sectores minorista, hotelero, inmobiliario y de servicios vieron sus sitios reemplazados por mensajes de motivación política. Las presuntas filtraciones de datos surgieron principalmente contra objetivos israelíes, y los actores afirmaron tener acceso a bases de datos de ciudadanos, registros de personal militar y conjuntos de datos vinculados a la defensa, varios de ellos programados para maximizar la visibilidad durante el período de atención geopolítica elevada, un patrón consistente con operaciones impulsadas por la reputación en lugar de operaciones puramente operativas.
Los EAU fueron la geografía más atacada, lo que concuerda con su papel como anfitrión de infraestructura militar estadounidense y como país directamente alcanzado por misiles iraníes.
¿Quiénes son los sectores más afectados?
Cuatro sectores destacan en la actividad observada. Las entidades gubernamentales y de seguridad pública sufrieron la mayor parte de las campañas de tipo "presión", con autoridades de defensa civil, municipios y portales gubernamentales nombrados repetidamente. La infraestructura crítica, incluidos aeropuertos y empresas de telecomunicaciones, apareció prominentemente en las reivindicaciones de los actores de amenazas. Los servicios financieros vieron ataques dirigidos en toda la región, con aplicaciones bancarias y bolsas de valores nombradas como objetivos de DDoS. Los sectores comercial y de pequeñas y medianas empresas (PYMES) en los EAU experimentaron un gran volumen de actividad de desfiguración, con sitios minoristas, restaurantes y pequeñas empresas atrapados en el fuego cruzado.
¿Qué significa esto para su organización?
El patrón actual está dominado por la disrupción en lugar de la intrusión sofisticada. Esto es coherente con lo que los investigadores de seguridad observan típicamente durante períodos de crisis: un aumento de operaciones de bajo acceso y alta visibilidad donde el mensaje y el impacto simbólico superan la sofisticación técnica. Dicho esto, este entorno crea cobertura para operaciones más específicas. En medio del ruido de la actividad masiva de DDoS y desfiguración, se ha observado que los intermediarios de acceso intentan monetizar supuestas bases de acceso en la red. Las organizaciones no deben asumir que, debido a que la mayoría de las reclamaciones son de baja sofisticación, toda la actividad lo es.
CybelAngel evalúa que la actividad que afecta a los países referenciados en nuestro informe completo continuará, con la posible incorporación de geografías adicionales a medida que evolucione el conflicto.
Accede al Informe Flash completo
El informe completo incluye seguimiento de incidentes con marca de tiempo en siete países, perfiles de actores, desgloses sector por sector y orientación defensiva específica para organizaciones que operan en geografías afectadas. El equipo REACT de CybelAngel rastrea actividad cibernética motivada geopolíticamente continuamente, para que recibas la señal sin el ruido.
Si usted es cliente de CybelAngel, su equipo REACT está monitoreando activamente esta situación. Si aún no es cliente, hable con un analista para solicitar el Informe Flash completo.
Sobre el autor
