Alerta Sophos

• Empresas y organismos deben reforzar su resiliencia digital ante un entorno geopolítico que incrementa la exposición a riesgos cibernéticos.

La reciente escalada militar entre Estados Unidos, Israel e Irán no solo ha intensificado la tensión geopolítica en Medio Oriente, sino que también ha elevado el riesgo de actividad cibernética disruptiva a nivel internacional.

El 28 de febrero de 2026 se registraron ataques militares coordinados de Estados Unidos e Israel contra objetivos en territorio iraní. Diversos medios internacionales confirmaron la muerte del líder supremo iraní, Ali Khamenei, durante los bombardeos. En respuesta, Irán lanzó acciones de represalia, incluidos ataques con misiles en la región.

De acuerdo con el más reciente análisis de Sophos, este tipo de episodios de confrontación directa históricamente han estado acompañados por un aumento en la actividad de actores cibernéticos alineados con intereses iraníes, particularmente a través de grupos proxy o identidades hacktivistas.

La unidad de inteligencia Sophos X-Ops Counter Threat Unit (CTU) evaluó el nivel de amenaza como “elevado”, con una ventana de riesgo inmediata a corto plazo, de días a semanas. Los sectores que podrían verse más expuestos incluyen entidades gubernamentales, infraestructura crítica, servicios financieros y empresas vinculadas al sector defensa.

De acuerdo con Rafe Pilling, director de inteligencia de amenazas de Sophos X-Ops CTU, Irán ha perfeccionado durante más de una década el uso estratégico de identidades hacktivistas como extensiones indirectas del Estado.

• “Irán ha pasado más de una década perfeccionando el uso de identidades hacktivistas como proxies cibernéticos, lo que permite al Estado enviar señales de intención, amplificar la disrupción y mantener una negación plausible.”

Si bien gran parte de la actividad hacktivista genera más impacto mediático que operativo, el especialista subraya que el riesgo real proviene de aquellas identidades que mantienen vínculos discretos con estructuras estatales.

• “La mayoría de la actividad hacktivista proiraní genera más ruido que impacto; el riesgo real proviene de identidades que están silenciosamente vinculadas al Estado iraní.”, asegura Pilling.
• Entre los antecedentes históricos destaca la operación Operation Ababil, que entre 2011 y 2013 ejecutó ataques de denegación de servicio contra instituciones financieras en Estados Unidos y que posteriormente fue vinculada a actores que operaban en nombre del Islamic Revolutionary Guard Corps (IRGC).

Más recientemente, identidades como Homeland Justice han sido relacionadas con campañas de tipo “hack-and-leak” y ataques destructivos contra entidades gubernamentales europeas. El 28 de febrero de 2026, la persona Handala Hack, vinculada al Ministerio de Inteligencia y Seguridad de Irán (MOIS), se adjudicó ataques en Jordania y lanzó amenazas contra otros países de la región.

Aunque estos grupos suelen exagerar públicamente el alcance de sus operaciones, investigaciones previas han documentado capacidades reales que incluyen robo de información, despliegue de ransomware, malware destructivo tipo “wiper” y campañas de alteración de sitios web.

En el contexto actual, los especialistas en ciberseguridad de Sophos consideran probable la intensificación de operaciones oportunistas o disruptivas, que podrían incluir ataques de denegación de servicio, campañas de phishing dirigidas al robo de credenciales, explotación de sistemas expuestos a internet y filtraciones públicas de información con fines de presión reputacional.

A pesar de que el foco primario de estos actores ha sido Israel y objetivos estadounidenses, Sophos advierte que las operaciones pueden extenderse a terceros países, especialmente cuando se trata de organizaciones con vínculos comerciales, tecnológicos o financieros con Estados Unidos o aliados estratégicos.

• “Aunque Israel sigue siendo el objetivo principal, los frentes hacktivistas alineados con Irán se han extendido repetidamente hacia países del Golfo y más allá, particularmente en respuesta a temas políticamente sensibles para Irán.” advierte, Pilling.

Para las organizaciones en México, se recomienda reforzar controles de identidad y acceso, mantener actualizados los sistemas expuestos a internet, fortalecer la detección de intentos de phishing y validar la integridad de los respaldos críticos. Asimismo, se sugiere revisar los planes de respuesta a incidentes y continuidad de negocio ante escenarios de ransomware o malware destructivo.

La unidad Sophos X-Ops CTU continuará monitoreando la evolución de la situación a través de telemetría técnica y fuentes abiertas, y actualizará sus reportes conforme se registren cambios relevantes en el panorama de amenazas.