La batalla invisible: Irán e Israel-EEUU libran una ciberguerra plagada de espionaje, pirateo y bots
Una de las empresas más punteras en tecnología médica del mundo, la estadounidense Stryker, sufrió el pasado 12 de marzo un borrado de datos de cientos de miles de servidores y móviles de los trabajadores, paralizando su producción y provocando una caída en la Bolsa. Poco después, se supo que el colapso tecnológico de la empresa se originó a miles de kilómetros de Estados Unidos y que se trataba de un objetivo más en la guerra desatada en Oriente Próximo contra Irán. Un grupo llamado Handala reivindicó el hackeo, asegurando que se trataba de una "represalia por el brutal ataque a la escuela Minab", el bombardeo estadounidense contra un centro escolar en el sur de Irán, que causó la muerte de 165 personas, en su mayoría estudiantes. "Es una respuesta a los continuos ciberataques contra la infraestructura del Eje de Resistencia", señaló el grupo en una nota, en referencia al entramado de alianzas entre Teherán y grupos militantes de la región. "Esto es solo el comienzo de una nueva era de guerra cibernética", sentenció el grupo. Handala atribuyó a la empresa Stryker "vínculos sionistas" y contratos militares por valor de 450 millones de dólares.
Surgido en 2023 tras el inicio de la ofensiva israelí en la Franja de Gaza, Handala toma el nombre de una caricatura reivindicativa de un artista palestino, pero es en realidad un grupo de piratas informáticos iraníes, que han incrementado sus ataques desde el inicio de la guerra desatada hace un mes en la región. Handala asegura haberse infiltrado en los teléfonos de altos cargos israelíes y ha revelado supuestos complots de asesinatos de funcionarios iraníes. "El frente cibernético es, sin duda, uno de los frentes principales en este conflicto. No diría que es el más importante, pero definitivamente es uno de los principales", asegura a ElMundo Gil Messing, jefe de gabinete de la empresa de ciberseguridad israelí Check Point.
El Departamento de Justicia estadounidense ha incautado una decena de dominios de webs que pertenecían al grupo de piratas informáticos, aunque la banda sigue difundiendo mensajes a través de Telegram y Twitter. El régimen bloqueó parcialmente el acceso a internet el primer día de guerra, pero Handala ha conseguido sortear las restricciones emitiendo su propaganda a través de terminales de Starlink, el servicio de acceso a internet vía satélite desarrollado por Elon Musk. Se cree que habría unas 30.000 terminales de Starlink en Irán, pese a las restricciones del régimen, algunas de las cuales han sido usadas por grupos de hackers desde enero, cuando el Gobierno bloqueó internet en medio de las protestas por la carestía económica que derivaron en movilizaciones contra la República Islámica, reprimidas con violencia con más de 7.000 muertos y 50.000 detenidos.
Algunos estudios apuntan que Handala forma parte de una organización paraguas de piratas cibernéticos llamada Void Manticore, que actúa bajo órdenes del Gobierno iraní. "Mientras no cesen las balas y el derramamiento de sangre en mi tierra, la herida sigue abierta, nos mantendremos firmes", advierte el grupo en un comunicado en una de sus webs.
"Handala es simplemente el nombre de uno de varios grupos que utilizan varios apodos, que operan bajo el amparo del Ministerio de Inteligencia de seguridad iraní, que constituye una rama militar de las fuerzas de seguridad", asegura Messing. "Llevamos años siguiéndoles la pista. A veces intentan ocultarse e imitar a otras personas, pero durante todo este tiempo hemos sabido que eran ellos", añade.
Borrado de datos en ordenadores israelíes
Otra banda llamada Fatrimiyon intentó recientemente infectar ordenadores israelíes con un programa de borrado de datos. Israel ha utilizado técnicas similares, infiltrándose en la aplicación iraní de carácter religioso BadeSaba, utilizada por cinco millones de usuarios, para emitir mensajes contra la República Islámica. Cuando Estados Unidos e Israel lanzaron los primeros bombardeos contra Irán, los usuarios de la aplicación recibieron el mensaje de "ha llegado la ayuda", según una investigación de Reuters. Tel Aviv asegura haber golpeado también instalaciones militares en Teherán que supuestamente albergaban los centros de ciberguerra de la Guardia Revolucionaria. El jefe del Estado Mayor Conjunto del Pentágono, Dan Caine, describió los operativos cibernéticos estadounidenses como "los primeros en actuar" para "cegar la capacidad de Irán de ver, comunicarse y poder responder". Washington y Tel Aviv usan estratégicas de ciberguerra contra Irán desde hace años, aunque no todos los ataques contra el régimen han sido reivindicados. En el año 2022, Israel fue acusado de provocar la destrucción de cientos de centrifugadoras de enriquecimiento de uranio mediante un virus cibernético infiltrado en una instalación iraní, y habría interferido en los sistemas de trabajo de decenas de científicos nucleares. Estados Unidos por su parte, podría estar detrás de un ciberataque contra instalaciones vinculadas al programa nuclear iraní en el año 2010. .
"Lo que observamos en general es la continua hibridación del conflicto ciberfísico. Los ciberataques se utilizan siempre que ofrecen una ventaja para alcanzar los objetivos estratégicos y tácticos generales", explica a este periódico Justin Moore, líder de Inteligencia cibernética de la Unidad 42 en la empresa de seguridad Palo Alto Networks.
El conflicto en el plano cibernético continuó incluso después del alto el fuego en la guerra entre Israel e Irán de junio de 2026, pero los expertos advierten que se ha extendido a nivel global. "Lo que vemos hoy ya lo vimos en junio, pero ahora es de una magnitud mucho mayor", explica Messing. "En junio (Irán) se centraba en Israel. Ahora vemos lo mismo en el Golfo Pérsico. También hemos empezado a verlo en Europa. Se puede observar en Chipre o Albania, incluso objetivos estadounidenses. Utilizan las mismas estrategias y sistemas pero a mayor escala", señala.
"Lo que me parece sumamente interesante de Irán, y creo que es algo singular, es que utilizan su infraestructura cibernética no solo para llevar a cabo ciberataques tradicionales que causan daños a sus víctimas, sino también para difundir mucha desinformación o lo que otros llamarían propaganda o guerra psicológica contra sus objetivos. Así que, si atacan a alguien mediante un ciberataque, también llevan a cabo algún tipo de campaña de desinformación", explica Messing.
La infiltración en sistemas de cámaras de seguridad para cruzar millones de datos para elaborar objetivos militares ha jugado un gran papel en esta guerra. Israel lo habría usado para seguir los patrones de movimientos de altos cargos iraníes para crear planes de ataques, incluido el del ayatolá Ali Jamenei, el Líder Supremo muerto en un bombardeo el primer día de guerra.
La infiltración en cámaras de seguridad en el espacio público y privado, se ha convertido en una herramienta de propaganda también para Irán. "Cada conjunto de cámaras que se hackean es un par de ojos más, se utilizan antes de realizar ataques para observar el terreno y comprender el área", señala Messing. "Pero también para evaluar el éxito o fracaso de un ataque", añade.
Algunos de los vídeos de ataques publicados sobre la oleada de represalias iraníes en la región están generados por inteligencia artificial, una tendencia creciente que los expertos aseguran que se trata de parte de la estrategia de ciberguerra del régimen. Medios progobierno han publicado vídeos de ataques contra el portaviones estadounidense Abraham Lincoln y otros objetivos que resultaron ser falsos. "Gran parte del contenido falso viene de influencers de internet que intentan ganar dinero de una u otra forma. Pero sabemos que otros contenidos vienen de Irán y de sus aliados", explica a este diario Darren Linvill, investigador de desinformación de la Universidad de Clemson, que publicó recientemente un informe sobre los bots iraníes, las cuentas de redes sociales controladas por el régimen.
Linvill señala que han detectado cientos de cuentas de redes sociales que pretendían ser ciudadanos de Reino Unido e Irlanda y hablaban habitualmente de políticas nacionales del país, intentando fomentar discursos para polarizar a la sociedad. "Pero cuando estalló la guerra, todas estas cuentas que habían estado hablando de política británica, cambiaron por completo su enfoque para hablar de la guerra contra Irán y difundir propaganda iraní", asegura. "Teherán intenta encontrar comunidades que considera receptivas y aprovecha el actual sentimiento antiestadounidense, antiTrump y antiisraelí", añade. Varios informes apuntan que, además de difundir propaganda, estas cuentas falsas también intentan reclutar gente para ampliar el alcance de su mensaje. "Las organizaciones deben estar preparadas para defenderse de las tácticas que vemos que se utilizan en el conflicto actual y asumir que cualquiera puede ser un objetivo", advierte Moore.
Linvill por su parte, señala que, pese a que tanto Estados Unidos, como Israel e Irán participan en el frente cibernético, Teherán va un paso por delante. "Lo ven como una parte importante de su guerra asimétrica contra países occidentales. Es una guerra de información al fin y al cabo, y yo diría que ahora mismo la están ganando".
