En la mañana del 28 de febrero de 2026, aeronaves de EE.UU. e Israel comenzaron los ataques que anunciarían el inicio formal del conflicto que ahora envuelve al Medio Oriente. Al caer la noche, NetBlocks estaba informando que la conectividad a internet en Irán estaba al cuatro por ciento del nivel base. Para el 7 de marzo, tras nueve días consecutivos de casi apagón, la cifra se situaba en uno por ciento. Ciento veinte horas de línea plana, como lo describió una publicación conocida, medidas en fracciones de un país. 

Y sin embargo, en los siete días que siguieron, actores de amenaza alineados con Irán atacaron un banco estadounidense, una empresa de software del sector de defensa con operaciones en Israel, un aeropuerto estadounidense, dos corporaciones energéticas del Golfo, e instalaron puertas traseras en varias redes en Canadá. También exfiltraron supuestamente 1.3 terabytes de datos de una compañía petrolera. Su huella era visible en todo el ciberespacio. De hecho, APT 34 estaba atacando redes en India, Brasil, Bahréin y Canadá.  

Entonces surge la pregunta. ¿Cómo puede una nación con solo un uno por ciento de conectividad a internet montar ese tipo de ofensiva? ¿Es esto alguna forma de engaño? La respuesta, descubierta esta semana por agencias nacionales de ciberseguridad, equipos gubernamentales de inteligencia de amenazas, investigadores de Shieldworkz y observación forense de código abierto, apunta a una constelación de satélites estacionados a 550 kilómetros sobre la Tierra que Irán ha simultáneamente prohibido, criminalizado, interferido y, a través de sus operativos de inteligencia, explotado discretamente.

Antes de seguir adelante, no olvides consultar nuestra publicación anterior sobre "A medida que los conflictos globales escalan, los manuales de APT están cambiando silenciosamente", aquí. 

Entonces, esto es lo que sucedió.

Uno por ciento de conectividad y aún en línea

El actual apagón de internet de Irán es en realidad el segundo casi total cierre en menos de 60 días. El primero comenzó el 8 de enero de 2026, desencadenado por protestas masivas, y redujo la conectividad a aproximadamente tres por ciento. La restauración parcial ocurrió en febrero, con el tráfico recuperándose a aproximadamente el cincuenta por ciento de lo normal a mediados de mes antes de colapsar nuevamente el 28 de febrero tras la Operación Epic Fury, la campaña conjunta de ataques de EE.UU. e Israel. Desde entonces, NetBlocks ha informado que la conectividad se ha mantenido consistentemente en o por debajo del cuatro por ciento, con la medición más reciente publicada el 7 de marzo mostrando la conectividad apenas al uno por ciento. 

La Red Nacional de Información, que es la intranet doméstica de Irán, permanece parcialmente funcional pero para instituciones en lista blanca. Los medios estatales, los ministerios del gobierno y los canales de comunicación alineados con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) fueron de los primeros servicios restaurados bajo el sistema de lista blanca (en un orden específico de prioridad). Eso significa que los operadores leales al régimen, incluidos los contratistas de inteligencia y las unidades cibernéticas sancionadas, tienen acceso a la conectividad doméstica controlada incluso cuando el internet civil está cortado. Su acceso a internet global, sin embargo, requiere algo más, y eso bajó del cielo.

Se dice que se trajeron 7,000 terminales de Starlink a Irán durante el apagón de enero, según un informe del Wall Street Journal confirmado por múltiples medios de corriente descendente esta semana. Además, un estimado de 50,000 contrabandeados que ya estaban en Irán crearon el sustrato físico para una capa de comunicaciones paralela utilizada por segmentos que protestan contra el gobierno iraní. 

La respuesta de interferencia de Irán ha sido persistente y documentada. Los datos de interferencia de GPS analizados por Shieldworkz desde gpsjam.org han mostrado una contaminación persistente de la banda GPS L1 de 1575.42 MHz en toda la región de Teherán desde el 28 de febrero, consistente con las operaciones de interferencia móvil que comenzaron en enero. El efecto es una degradación de la conexión de Starlink más que un apagón total. Los usuarios con acceso claro al cielo fuera del radio de los interferidores móviles continúan logrando un rendimiento utilizable. Esa ventana residual, estrecha en las ciudades, más amplia en áreas rurales y periurbanas, es lo que los actores de amenaza han estado utilizando. Es posible que algunas de las terminales también hayan sido incautadas por agencias de inteligencia iraníes y utilizadas para apoyar las operaciones de los actores de amenaza. 

Cronología de la conectividad a internet en Irán: del 28 de febrero al 10 de marzo de 2026

Fuentes: NetBlocks vía Mastodon; CNBC 7 de marzo de 2026; gpsjam.org; The National 

Operaciones satelitales y escalada

Las actividades de Handala Hack en los últimos siete días representan un cambio cualitativo respecto a su patrón de operación anterior. El grupo, evaluado con alta confianza por múltiples agencias gubernamentales occidentales como una persona operada por el Ministerio de Inteligencia y Seguridad de Irán, ha pasado de hackear y filtrar en Israel a operaciones multivectoriales que abarcan todo el Golfo, los Estados Unidos e incluso la diáspora iraní en América del Norte.

El uso de Starlink como una capa de conectividad es el fundamento operativo que hace posible todo esto. Las campañas de Handala ya se estaban ejecutando desde rangos de IP de Starlink, con el grupo sondeando aplicaciones expuestas para detectar configuraciones erróneas y credenciales débiles. Ese patrón ha continuado en marzo. 

La operación más significativa de Handala en los últimos siete días fue la supuesta brecha de una empresa petrolera en EAU. Handala publicó la declaración el 3 de marzo (cuando la conectividad era inferior al 4 por ciento), afirmando la extracción de 1.3 terabytes de datos que incluyen estados financieros, contratos petroleros y documentos internos. La publicación del grupo en su sitio de filtraciones del dark web decía, y cito 'Desmantelamos infraestructuras críticas (SIC) y extraímos 1.3TB de datos sensibles'. El lenguaje es consistente con el estilo original de comunicación del grupo, diseñado para causar el máximo impacto psicológico en los gobiernos del Golfo que considera habilitadores militares de EE.UU. La empresa petrolera afectada no ha confirmado ni negado públicamente la intrusión. El análisis del material de muestra filtrado, donde los investigadores han podido examinarlo, aún no ha establecido definitivamente si los datos son nuevos o preexistentes, aunque el volumen reclamado es sustancialmente mayor que los datos reciclados de otra afirmación realizada durante la misma semana, que los investigadores clasificaron como probablemente fabricados o fuertemente incrementados con archivos previamente circulantes. Esto es un claro signo de desesperación.

Por separado, Handala también mencionó a una empresa petrolera israelí como víctima de ransomware, con la misma cifra de 1.3 terabytes de exfiltración apareciendo en ambas listas. La coincidencia de cifras entre dos organizaciones separadas es una señal de alerta de inflación, y la reclamación total combinada debe tratarse con el escepticismo adecuado. Lo que no cabe duda es el patrón de objetivo: infraestructura energética del Golfo y sector energético israelí, las dos categorías más propensas a generar pánico estratégico y amplificación mediática.

Seedworm en redes de EE.UU.

La revelación más significativa de los últimos siete días no provino de Handala sino de Seedworm, el grupo APT iraní de larga duración que agencias gubernamentales de EE.UU., incluida CISA, el FBI y el NCSC del Reino Unido, han atribuido al Ministerio de Inteligencia y Seguridad de Irán. Seedworm ha estado dentro de las redes de múltiples organizaciones estadounidenses desde al menos principios de febrero, semanas antes del primer ataque aéreo. Es posible que Seedworm también haya ingresado a redes conectadas con otros países.

La lista confirmada de víctimas incluye un banco de EE.UU., un aeropuerto estadounidense, una empresa de software con sede en EE.UU. que suministra a las industrias de defensa y aeroespacial y tiene operaciones en Israel, y organizaciones no gubernamentales en tanto en Estados Unidos como en Canadá. Los investigadores no saben cómo Seedworm obtuvo el acceso inicial, pero no se puede descartar un camino interno en este punto. El grupo es conocido por usar técnicas como el phishing y la explotación de vulnerabilidades en aplicaciones expuestas al público, pero el vector de entrada específico para esta campaña no ha sido determinado.

Los investigadores también encontraron un nuevo conjunto de herramientas utilizadas por el actor de amenaza. La puerta trasera principal, llamada Dindoor, explota Deno, el entorno de ejecución seguro para JavaScript y TypeScript desarrollado como una alternativa moderna a Node.js, para ejecutar comandos en máquinas infectadas. La elección de Deno es notable. Es un entorno de ejecución relativamente nuevo con una huella de investigación de seguridad menor que su predecesor inmediato, y sus comunicaciones de red pueden integrarse en el tráfico legítimo de desarrolladores en entornos donde se usa Deno. Dindoor fue firmado digitalmente con un certificado emitido a una persona llamada Amy Cherne. Ese nombre conecta directamente con actividades anteriores de Seedworm, aunque el certificado en sí fue emitido para esta campaña y es distinto de la infraestructura de firma de Seedworm heredada.

Una segunda puerta trasera encontrada en las redes del aeropuerto estadounidense y las ONG canadienses, llamada Fakeset, fue escrita en Python y firmada tanto con el certificado de Amy Cherne como con un certificado emitido a Donald Gay, otro nombre previamente vinculado a las familias de malware Seedworm Stagecomp y Darkcomp. La cadena de certificados es el error de seguridad operativa que hace posible la atribución. ¿Fue este un error cometido deliberadamente para garantizar la atribución? Eso es una posibilidad probable.

En al menos un incidente dirigido a la empresa de software de defensa-aeroespacial, Seedworm intentó exfiltrar datos usando Rclone, una herramienta de código abierto ampliamente disponible para sincronizar datos con servicios de almacenamiento en la nube, dirigida a un bucket de almacenamiento en la nube de Wasabi Technologies. Si la transferencia se completó con éxito, sigue sin confirmarse. El malware para Fakeset fue alojado en Backblaze, otro proveedor comercial de almacenamiento en la nube, continuando un patrón de uso de infraestructura legítima para evadir la detección.

La pregunta estratégica crítica planteada por este descubrimiento es si Seedworm se estaba preposicionando para la recolección de inteligencia o se preposicionaba para la interrupción o ambos. Cualquier acceso a la red puede ser utilizado para lanzar un ataque escalofriante comenzando con la exfiltración de datos y terminando con un incidente cinético. 

Esto se vuelve más inquietante por lo que le sucedió a la operación de vigilancia por CCTV de Irán en 2025. En mayo de 2025, MuddyWater comprometió un servidor que contenía transmisiones en vivo de CCTV de Jerusalén. El 23 de junio de 2025, Irán bombardeó Jerusalén. Las autoridades israelíes informaron el mismo día que las fuerzas iraníes habían utilizado cámaras de seguridad comprometidas para recopilar inteligencia de objetivos en tiempo real. La trayectoria desde el acceso pasivo hasta el objetivo activo fue de cinco semanas. El punto de apoyo de Seedworm en las redes estadounidenses se plantó a principios de febrero. Ahora es mitad de marzo.

¿Qué nos espera?

Los últimos siete días han estado caracterizados por una alta proporción de afirmaciones frente a impactos confirmados. La mayoría de las afirmaciones hacktivistas de compromiso exitoso de ICS, destrucción del sector energético y disrupción de infraestructura crítica permanecen sin verificar. La Fundación para la Defensa de las Democracias publicó un análisis esta semana afirmando rotundamente que la mayoría de las afirmaciones de hacks exitosos son probablemente falsas o exageradas. El Centro Nacional de Ciberseguridad de Jordania confirmó que frustró, y no sucumbió, al ataque a su sistema de gestión de silos de trigo. 

Pero la capa profesional silenciosa es una historia diferente. La presencia confirmada de Seedworm dentro de un banco estadounidense, un aeropuerto, las operaciones israelíes de un proveedor de defensa y múltiples ONG no es una afirmación. Es actividad de red documentada, atribuida forensemente a través de cadenas de certificados y código de malware, y las organizaciones afectadas han sido notificadas. El punto de apoyo existe. La pregunta para las próximas dos a cuatro semanas es si sigue siendo infraestructura de espionaje o se convierte en la base para una operación disruptiva o destructiva.

Para las organizaciones en los sectores tocados por la actividad confirmada de esta semana, la señal es clara: la puerta por la que pasó el equipo de Seedworm en febrero todavía está abierta en muchas organizaciones que aún no saben que fueron objetivo. La puerta trasera Dindoor fue construida para ser invisible. Así es como podrían desarrollarse las cosas:

· Los actores de amenaza iraníes activan más redes precomprometidas para apuntar a empresas en el Golfo y más allá. Pueden usar estas redes para enmascarar el tráfico sospechoso

· A medida que aumenta el ancho de banda, la capacidad de reconocimiento de estos grupos aumentará

· Los actores iraníes también podrían obtener acceso a los botfarms operados por grupos APT rusos y chinos para apuntar a entidades de infraestructura crítica específicas

· En el ínterin, los grupos iraníes afirmarán ser responsables de muchas más brechas para permanecer en las noticias

· Aún no hemos visto el pico de los esfuerzos de focalización de los actores iraníes   

Además, se pueden extrapolar estos patrones para entender cuáles podrían ser los próximos objetivos:

 Obtén un informe de inteligencia de amenazas personalizado, aquí.  

 Descarga recursos adicionales

Lista de verificación de evaluación de riesgos basada en IEC 62443 para operaciones aeroportuarias e infraestructura crítica
Lista de verificación de respuesta a incidentes de Tecnología Operacional (OT)
Lista de verificación de evaluación de riesgos de ciberseguridad de OT basada en IEC 62443 para sitios de petróleo y gas
Guía de postura defensiva para las empresas del Medio Oriente