El 28 de febrero de 2026, Estados Unidos e Israel lanzaron una ofensiva conjunta significativa denominada Operation Epic Fury (EE.UU.) y Operation Roaring Lion (Israel). En las horas posteriores a los ataques iniciales, Irán inició una campaña de represalias de múltiples vectores que ha evolucionado hacia un conflicto transregional de mayor escala.
Unit 42 ha observado un aumento de los perpetrados por activistas fuera del país. Sin embargo, se estima que la actividad de grupos alineados con el Estado en Irán podría verse mitigada a corto plazo debido a la limitada conectividad a internet en el país.
Desde la mañana del 28 de febrero, la conectividad disponible en Irán cayó a un rango entre el 1 % y el 4 %. Se evalúa que esta pérdida de conectividad, junto con la degradación significativa de las estructuras de liderazgo y comando iraníes, probablemente obstaculice la capacidad de los actores estatales para coordinar y ejecutar ciberataques sofisticados a corto plazo.
Las unidades cibernéticas alineadas con el Estado podrían estar operando de forma aislada, lo que podría provocar desviaciones respecto de los patrones previamente observados. Asimismo, la degradación de los sistemas de mando y control podría otorgar mayor autonomía táctica a las células fuera de Irán. No obstante, la capacidad de mantener operaciones cibernéticas complejas probablemente se vea reducida por estas disrupciones operativas.
En el caso de actores alineados con Irán fuera de la región, se estima que grupos hacktivistas podrían atacar organizaciones percibidas como adversarias, aunque con un impacto de bajo a mediano nivel. Otros actores alineados con Estados Unidos podrían intentar aprovechar la coyuntura para activar operaciones que favorezcan sus intereses estratégicos.
Operadores geográficamente dispersos y proxies cibernéticos afiliados también podrían apuntar a gobiernos de regiones que albergan bases militares estadounidenses, con el objetivo de interrumpir la logística. En el corto plazo, estas actividades se anticipan como disrupciones de baja a mediana sofisticación, tales como ataques de denegación de servicio distribuido (DDoS) y campañas de “hack and leak”.
Para más detalles sobre observaciones previas de Unit 42 relacionadas con actividad cibernética vinculada a grupos respaldados por Irán y a hacktivistas, se recomienda revisar el informe “Threat Brief: Escalation of Cyber Risk Related to Iran (Actualizado al 30 de junio)”, que documenta el uso de técnicas como el defacement de sitios web, los ataques DDoS, la exfiltración de datos y los ataques wiper. Los objetivos principales de actores estatales alineados con Irán suelen incluir espionaje y disrupción, mediante campañas de spear-phishing dirigidas con apoyo de IA, la explotación de vulnerabilidades conocidas y la infraestructura encubierta para el espionaje.
Los clientes de Palo Alto Networks pueden contar con protección y mitigación frente a estas amenazas a través de:
- Next-Generation Firewalls con Advanced Threat Prevention
- Advanced URL Filtering y Advanced DNS Security para identificar URLs y dominios maliciosos asociados
- Cortex XDR, XSIAM y Cortex Cloud
- El equipo de Respuesta a Incidentes de Unit 42, disponible para apoyo reactivo o evaluaciones proactivas de riesgo
