Mientras Irán intensifica sus contraataques contra Estados Unidos e Israel con misiles y drones, entrando en su quinta semana de guerra, sus guerreros cibernéticos están empezando a hacer lo mismo.
Un destacado grupo de hackers consiguió un momento de alto perfil el viernes, irrumpiendo en la antigua dirección de correo electrónico personal del director del FBI, Kash Patel, y publicando gran parte de su contenido en línea, incluidos viejos currículums y fotografías de él fumando un cigarrillo y posando frente a un espejo con una botella de ron.
Mientras Irán intensifica sus contraataques contra Estados Unidos e Israel con misiles y drones, entrando en su quinta semana de guerra, sus guerreros cibernéticos están empezando a hacer lo mismo.
Un destacado grupo de hackers consiguió un momento de alto perfil el viernes, irrumpiendo en la antigua dirección de correo electrónico personal del director del FBI, Kash Patel, y publicando gran parte de su contenido en línea, incluidos viejos currículums y fotografías de él fumando un cigarrillo y posando frente a un espejo con una botella de ron.
Un portavoz del FBI reconoció que los correos electrónicos de Patel habían sido atacados. «La información en cuestión es de naturaleza histórica y no involucra información gubernamental», dijo el portavoz. Política exteriorañadiendo que la agencia había ofrecido una recompensa de hasta 10 millones de dólares por información sobre el grupo, conocido como Handala Hack Team, que está vinculado al Ministerio de Inteligencia y Seguridad de Irán.
La filtración del correo electrónico de Patel es el último revés en una acción de ojo por ojo de la semana pasada que llevó al Departamento de Justicia de Estados Unidos a confiscar cuatro sitios web propiedad de Handala el 19 de marzo, una semana después de que Handala se atribuyera el mérito de un ciberataque masivo contra el fabricante estadounidense de equipos médicos Stryker. La compañía todavía estaba trabajando para restaurar completamente el sistema hasta el martes.
«Estamos trabajando estrechamente con nuestras plantas de fabricación globales a medida que las operaciones continúan aumentando hacia su capacidad total», dijo un portavoz de Stryker en un comunicado enviado por correo electrónico. «Las capacidades de fabricación están mejorando rápidamente a medida que la mayoría de nuestras rutas y ubicaciones críticas se recuperan».
Handala, que también dijo recientemente que filtró información personal de varios ingenieros de Lockheed Martin con sede en Israel, es uno de varios grupos de hackers vinculados al régimen iraní que han atacado a funcionarios y empresas estadounidenses durante la semana pasada. Otro grupo, conocido como APT Irán, afirma haber robado 375 terabytes de datos de contratistas de defensa estadounidenses, según la firma de inteligencia sobre amenazas Flashpoint. El incumplimiento no ha sido confirmado oficialmente y la empresa lo ha notificado Política exterior que «no hay evidencia que sugiera un impacto en los sistemas, operaciones o datos de Lockheed Martin en este momento».
Pero para los grupos de hackers iraníes, la confusión suele estar en el centro del asunto, dijo Cynthia Kaiser, quien se desempeñó como subdirectora adjunta de la división cibernética del FBI hasta mayo de 2025.
«Se ve a Handala haciendo esto con frecuencia… es una mezcla de mentiras y ataques reales, por lo que es difícil descifrar lo que realmente está sucediendo», dijo Kaiser, quien ahora es vicepresidente senior de investigación de ransomware en la firma de ciberseguridad Halcyon. «Pero si el objetivo final es demostrar que se puede tomar represalias, ya sea contra una audiencia interna iraní o contra aquellos cuyas actividades se intenta impedir, ser público es importante», añadió, describiendo la operación como «una especie de campaña de relaciones públicas impulsada cibernéticamente».
Handala y otros grupos también han atacado repetidamente a Israel, y la Dirección Nacional Cibernética de Israel dijo que los piratas informáticos vinculados a Irán habían borrado datos de al menos 60 empresas israelíes mediante los llamados ataques de “limpieza”.
“Las líneas entre los Estados-nación y los ciberdelincuentes se están desdibujando con especial claridad en el caso de los actores iraníes”, dijo David Carmiel, director ejecutivo de la firma israelí de ciberseguridad Kela. Kela y Halcyon encontraron evidencia en la web oscura del grupo de ransomware Pay2Key vinculado a Irán que ofrece el 80 por ciento de las ganancias a piratas informáticos que apuntan a «enemigos» iraníes (un aumento con respecto al recorte anterior del 70 por ciento), descrito como «[s]condiciones muy favorables para los amigos de Irán”.
Carmiel dijo que, a diferencia de los grupos de ransomware típicamente vinculados a Rusia, cuyas intrusiones se centran en gran medida en ganar dinero tomando acceso a los sistemas y luego restaurándolos a cambio de pagos multimillonarios, los grupos de ransomware iraníes se centran en el daño. «No se trata de ayudarlo a recuperarse, sino de obtener ganancias financieras y causar daños que perjudiquen su infraestructura».
Las represalias cibernéticas de Irán fueron relativamente silenciosas en los primeros días del conflicto, cuando las fuerzas estadounidenses e israelíes utilizaron operaciones cibernéticas ofensivas y ataques aéreos cinéticos para asesinar a altos líderes del régimen iraní y destruir centros de comando cibernéticos.
«Pero cualquiera que tenga una computadora portátil puede encontrar una manera de volver a conectarse; esto no significa que haya nada mágico en este edificio», dijo Mieke Eoyang, quien se desempeñó como subsecretaria adjunta de defensa de Estados Unidos para política cibernética hasta abril de 2025 y ahora es profesora visitante en el Instituto de Estrategia y Tecnología de la Universidad Carnegie Mellon. «La mayor parte de la infraestructura que manejan los malos actores es virtual, por lo que espero que veamos ese tipo de operaciones con el tiempo», agregó. «No necesitan tener una estructura estricta de mando y control para producir una perturbación significativa».
Hasta ahora, nada de lo que los expertos cibernéticos han visto por parte de los grupos iraníes es realmente fuera de lo común: Irán tiene una larga historia de perseguir a Washington y sus aliados en el ciberespacio, incluido poner en peligro infraestructura estadounidense crítica como las plantas de tratamiento de agua.
Ataques de este tipo aún podrían ocurrir cuando Irán comience a hundirse en la guerra y encuentre su punto de apoyo cibernético. «Este es el manual de Irán», dijo Kaiser. «Ven el ciberataque como un medio de represalia: es menos escalable que un ataque físico o cinético, pero les permite decir que han tomado represalias».
Esto también significa que, si bien no se puede negociar el fin de la guerra, la amenaza cibernética de Irán no necesariamente desaparecerá.
«Incluso si hay algún tipo de alto el fuego, lo cibernético continuará porque en muchos casos pasa desapercibido», dijo Carmiel. «Los objetivos de los grupos iraníes son cada vez mayores».
Esta publicación es parte de la cobertura continua de FP.. Lea más aquí.
