En la mañana del 28 de febrero de 2026, aeronaves estadounidenses e israelíes iniciaron los ataques que anunciarían el inicio formal del conflicto que ahora aqueja a Oriente Medio. Al caer la noche, NetBlocks informaba que la conectividad a Internet de Irán se encontraba en un cuatro por ciento de su nivel básico. Para el 7 de marzo, tras nueve días consecutivos de un apagón casi total, la cifra se situaba en un uno por ciento. Ciento veinte horas de inactividad total, como describió una conocida publicación, medidas en fracciones de un país. 

Y sin embargo, en los siete días posteriores, actores de amenazas alineados con Irán atacaron un banco estadounidense, una empresa de software del sector de defensa con operaciones en Israel, un aeropuerto de EE. UU., dos corporaciones energéticas del Golfo e instalaron puertas traseras en varias redes de Canadá. También filtraron supuestamente 1.3 terabytes de datos de una compañía petrolera. Su huella era visible en todo el ciberespacio. De hecho, el grupo APT 34 estaba atacando redes en India, Brasil, Baréin y Canadá.  

De ahí surge la duda. ¿Cómo es que una nación con apenas un uno por ciento de conectividad a Internet puede montar semejante ofensiva? ¿Se trata de algún tipo de engaño? La respuesta, como descubrieron esta semana agencias nacionales de seguridad cibernética, equipos de inteligencia de amenazas gubernamentales, investigadores de Shieldworkz y observadores forenses de fuentes abiertas, apunta a una constelación de satélites estacionados a 550 kilómetros de la Tierra que Irán ha prohibido, criminalizado, interferido y, al mismo tiempo, explotado sigilosamente a través de sus agentes de inteligencia.

Antes de continuar, no olvide consultar nuestra publicación anterior sobre cómo “As global conflicts escalate, APT playbooks are quietly changing” (A medida que escalan los conflictos globales, las tácticas de APT están cambiando sigilosamente), aquí. 

Y bien, esto es lo que sucedió.

Uno por ciento de conectividad y aun así conectados

El apagón actual de Internet en Irán es, de hecho, el segundo cierre casi total en menos de 60 días. El primero comenzó el 8 de enero de 2026, provocado por protestas masivas, y redujo la conectividad a un tres por ciento aproximadamente. En febrero se produjo un restablecimiento parcial, y el tráfico se recuperó hasta cerca del cincuenta por ciento de lo normal a mediados de mes antes de colapsar nuevamente el 28 de febrero tras la Operación Epic Fury, la campaña de ataques conjuntos de EE. UU. e Israel. Desde entonces, NetBlocks ha reportado una conectividad de manera constante en o por debajo del cuatro por ciento, y la medición publicada más reciente del 7 de marzo muestra una conectividad de apenas el uno por ciento. 

La Red Nacional de Información, que es la intranet doméstica de Irán, se mantiene parcialmente funcional pero para instituciones incluidas en listas blancas. Los medios estatales, ministerios gubernamentales y canales de comunicación alineados con el CGRI se encontraron entre los primeros servicios restablecidos bajo el sistema de lista blanca (con un orden de prioridad específico). Eso significa que los operadores leales al régimen, incluidos los contratistas de inteligencia y las unidades cibernéticas sancionadas, tienen acceso a una conectividad nacional controlada, incluso cuando el Internet civil está cortado. Sin embargo, su acceso al Internet global requiere algo más, y eso descendió del cielo.

Se dice que se introdujeron 7,000 terminales Starlink en Irán durante el apagón de enero, de acuerdo con un informe de The Wall Street Journal confirmado esta semana por múltiples medios secundarios. Además, un estimado de 50,000 terminales contrabandeadas que ya se encontraban en Irán crearon el sustrato físico para una capa de comunicación paralela utilizada por los sectores que protestaban contra el gobierno iraní. 

La respuesta de interferencia por parte de Irán ha sido persistente y documentada. Los datos de interferencia de GPS analizados por Shieldworkz de gpsjam.org han mostrado una contaminación persistente de la banda GPS L1 de 1575.42 MHz en toda la región de Teherán desde el 28 de febrero, lo cual es congruente con las operaciones de interferencia móvil que comenzaron en enero. El efecto es la degradación del enlace con Starlink en lugar de un apagón total. Los usuarios con acceso a cielo despejado lejos del radio de los bloqueadores móviles siguen logrando un rendimiento útil. Ese margen residual, estrecho en las ciudades y más amplio en zonas rurales y periurbanas, es lo que han venido utilizando los actores de amenazas. Es posible que las agencias de inteligencia iraníes también hayan confiscado algunas de las terminales y las hayan utilizado para apoyar las operaciones de los actores de amenazas. 

cronología de la conectividad a Internet de Irán: del 28 de febrero al 10 de marzo de 2026

Fuentes: NetBlocks vía Mastodon; CNBC 7 de marzo de 2026; gpsjam.org; The National 

Operaciones satelitales y escalada

Las actividades de Handala Hack en los últimos siete días representan un cambio cualitativo respecto a su patrón de funcionamiento anterior. El grupo, que según coinciden con un alto nivel de confianza múltiples agencias gubernamentales de Occidente no es más que un alter ego manejado por el Ministerio de Inteligencia y Seguridad de Irán, ha pasado de operaciones de ciberataque y filtración (hack-and-leak) en Israel a realizar operaciones multivectoriales que abarcan todo el Golfo, los Estados Unidos e incluso la diáspora iraní en Norteamérica.

El empleo de Starlink como capa de conectividad es la base operativa que permite que todo esto suceda. Las campañas de Handala ya se ejecutaban desde rangos de IP de Starlink, bajo los cuales el grupo sondeaba aplicaciones que apuntaban hacia el exterior en busca de configuraciones incorrectas y contraseñas débiles. Ese patrón continuó durante marzo. 

La operación más importante de Handala de los últimos siete días fue la presunta brecha de seguridad a una compañía petrolera en los EAU. Handala publicó la atribución el 3 de marzo (cuando la conectividad era de menos del 4 por ciento), afirmando haber extraído 1.3 terabytes de datos que incluían estados financieros, contratos petroleros y documentos internos. La publicación del grupo en su sitio de filtraciones de la dark web afirmaba, y cito formalmente: 'Desmantelamos infraestructura crítica (sic) y extrajimos 1.3TB de datos confidenciales'. El lenguaje es congruente con el estilo de comunicación original de la agrupación, planeado para generar el mayor impacto psicológico posible en los gobiernos del Golfo a los que consideran facilitadores del ejército estadounidense. La compañía petrolera afectada no ha confirmado ni desmentido la intromisión en público. El análisis de la muestra del material filtrado (en los casos en que los investigadores han logrado examinarlo) aún no determina formalmente si los datos son recién recopilados o preexistentes, aunque el volumen reportado es considerablemente mayor que los datos reciclados de otra adjudicación durante la misma semana, los cuales los investigadores clasificaron como probablemente falsificados o densamente complementados con archivos que ya circulaban anteriormente. Esto es un claro reflejo de desesperación.

Por otra parte, Handala también incluyó a una petrolera israelí como víctima de ransomware, figurando la misma cantidad reclamada de 1.3 terabytes de exfiltración en ambas listas. La coincidencia de cifras entre dos organizaciones distintas es una alerta roja de datos inflados, por lo que el total acumulado de las reclamaciones debe tratarse con el debido escepticismo. Lo que no está en duda es el patrón de selección de objetivos: la infraestructura energética del Golfo y el sector energético israelí, las dos categorías con mayor potencial para desatar pánico estratégico y lograr amplificación en los medios.

Seedworm en redes estadounidenses

La revelación más importante de los últimos siete días no provino de Handala, sino de Seedworm, el consolidado grupo APT iraní que agencias del gobierno estadounidense (incluidas CISA y el FBI) así como el NCSC del Reino Unido han vinculado al Ministerio de Inteligencia y Seguridad de Irán. Seedworm ha estado infiltrado dentro de las redes de múltiples organizaciones de EE. UU. desde al menos principios de febrero, semanas antes del primer ataque aéreo. Es posible que Seedworm también se haya abierto camino hacia redes vinculadas a otros países.

La lista de víctimas confirmada incluye a un banco estadounidense, un aeropuerto de EE. UU., una compañía de software con sede en EE. UU. que abastece a las industrias de defensa y aeroespacial y que cuenta con operaciones en Israel, así como organizaciones no gubernamentales tanto de Estados Unidos como de Canadá. Los analistas ignoran todavía de qué forma Seedworm obtuvo su acceso inicial, pero a estas alturas no es descartable que se haya tratado de una infiltración interna. El grupo es conocido por recurrir a tácticas de phishing y al aprovechamiento de vulnerabilidades en aplicaciones de cara al público, pero el vector de acceso específico para esta campaña no ha sido determinado.

Lo que también hallaron los investigadores fue un nuevo paquete de herramientas en manos del actor de amenazas. La principal puerta trasera, nombrada Dindoor, aprovecha Deno (el entorno de ejecución seguro para JavaScript y TypeScript desarrollado como alternativa moderna a Node.js) para ejecutar comandos en equipos comprometidos. Destaca la elección de Deno. Se trata de un entorno de ejecución relativamente nuevo con menos investigación de seguridad en su haber que su antecesor inmediato, y sus comunicaciones de red tienen la capacidad de mezclarse con el tráfico de desarrollo legítimo en redes que utilicen Deno. Dindoor estaba firmado digitalmente con un certificado emitido a nombre de una persona llamada Amy Cherne. Ese nombre se vincula de forma directa con actividades previas de Seedworm, aunque el certificado en sí fue expedido exclusivamente para esta campaña y difiere de la infraestructura heredada de firmas de Seedworm.

Una segunda puerta trasera encontrada en las redes del aeropuerto de EE. UU. y de la ONG canadiense, llamada Fakeset, estaba programada en Python y firmada tanto con el certificado de Amy Cherne como con un certificado expedido para Donald Gay, otro nombre vinculado anteriormente a familias de malware de Seedworm como Stagecomp y Darkcomp. La cadena de certificados constituye el error de seguridad operativa que hace posible la atribución. ¿Fue este error cometido a propósito con el fin de asegurar la atribución de autoría? Esa es una gran posibilidad.

En por lo menos uno de los incidentes que tomó como objetivo a la empresa de software aeroespacial de defensa, Seedworm intentó exfiltrar información por medio de Rclone, una conocida herramienta de código abierto muy accesible para sincronizar datos con servicios de almacenamiento en la nube, apuntando a un bucket de almacenamiento en la nube de Wasabi Technologies. Sigue sin confirmarse si la transferencia tuvo éxito. El código malware de Fakeset estuvo alojado en Backblaze, otro proveedor comercial de almacenamiento en la nube, manteniendo el patrón de recurrir a infraestructuras legítimas para esquivar la detección.

El dilema estratégico fundamental que plantea este hallazgo reside en esclarecer si Seedworm se estaba posicionando previamente para efectuar recolección de inteligencia, para realizar acciones de desestabilización o para ambas cosas. Cualquier acceso de red puede ser utilizado para lanzar ataques que escalen de forma paulatina, comenzando por la exfiltración de información y culminando con un incidente técnico de alto impacto.  

Esto resulta aún más inquietante dadas las circunstancias de lo sucedido con la operación de videovigilancia (CCTV) de Irán en 2025. En mayo de 2025, MuddyWater comprometió un servidor que contenía transmisiones en vivo de CCTV en Jerusalén. El 23 de junio de 2025, Irán bombardeó Jerusalén. Las autoridades israelíes informaron ese mismo día de que las fuerzas de Irán habían empleado cámaras de seguridad comprometidas para recopilar inteligencia de objetivos en tiempo real. La trayectoria desde la obtención del acceso pasivo hasta la fijación de objetivos activos fue de cinco semanas. La presencia de Seedworm en redes estadounidenses se sembró a principios de febrero. Ahora nos encontramos a mediados de marzo.

¿Qué nos espera en el horizonte?

Los últimos siete días se han distinguido por una relación alta de reclamaciones frente a impactos plenamente verificados. La mayoría de los alegatos de hacktivistas respecto a haber comprometido con éxito sistemas ICS, destruido sectores energéticos e interrumpido infraestructura crítica siguen sin confirmarse. El organismo Foundation for Defense of Democracies publicó esta semana un análisis afirmando categóricamente que la mayoría de los reclamos de ciberataques exitosos son probablemente falsos o sobredimensionados. Por su parte, el Centro Nacional de Ciberseguridad de Jordania confirmó que frustró, en lugar de sufrir daños, el ataque dirigido a su sistema de gestión de silos de trigo. 

No obstante, el silencioso plano profesional cuenta una historia muy distinta. La presencia documentada de Seedworm dentro de un banco de EE. UU., un aeropuerto, operaciones de un proveedor de defensa en Israel y múltiples ONG no es una simple afirmación. Constituye actividad de red plenamente registrada, atribuida forensemente por medio de cadenas de certificados y firmas de malware, y las organizaciones damnificadas ya han sido notificadas. La brecha está consumada. La gran incógnita para las siguientes dos a cuatro semanas es descifrar si permanecerá como una infraestructura dedicada al espionaje o si se convertirá en la base operativa para concretar atentados de interrupción o destrucción.

Para las organizaciones que pertenecen a los sectores afectados por los eventos confirmados de esta semana, la señal de advertencia es muy clara: la puerta por la que se infiltró el equipo de Seedworm en febrero todavía permanece abierta en muchos entornos empresariales que aún ignoran que fueron elegidos como blanco. La puerta trasera de Dindoor se programó para pasar desapercibida. A continuación planteamos los escenarios posibles de cómo podrían desarrollarse los acontecimientos:

· Los actores de amenazas iraníes activan más redes previamente comprometidas para dirigirse a empresas del Golfo y más allá. Es posible que utilicen estas redes para camuflar tráfico de red sospechoso.

· A medida que aumente el ancho de banda, la capacidad de reconocimiento (recon) de estos grupos irá en aumento.

· Los actores iraníes también podrían conseguir acceso a granjas de bots operadas por grupos de APT rusos y chinos con el fin de atacar entidades de infraestructura crítica específicas.

· Mientras tanto, los grupos iraníes seguirán adjudicándose la responsabilidad de muchas más intrusiones cibernéticas para seguir presentes en las noticias.

· Aún no hemos presenciado el punto máximo en las ofensivas cibernéticas de los actores iraníes.   

Adicionalmente, estos patrones pueden extrapolarse para comprender cuáles podrían ser los siguientes objetivos posibles de ataque:

 Reciba un informe personalizado sobre inteligencia de amenazas, aquí.  

 Descargar recursos adicionales

Lista de verificación para la evaluación de riesgos basada en IEC 62443 orientada a operaciones aeroportuarias e infraestructura crítica
Lista de verificación para respuesta ante incidentes en Tecnología Operativa (OT)
Lista de verificación de campo para evaluación de riesgos de ciberseguridad industrial (OT) bajo IEC 62443 para instalaciones de petróleo y gas (Oil & Gas)
Guía de postura de seguridad defensiva para corporaciones e instituciones de Oriente Medio