El 28 de febrero de 2026, el mundo ingresó en una nueva era del conflicto armado. Por primera vez en la historia, una operación militar de gran escala fue precedida, acompañada y amplificada por ciberataques sincronizados que colapsaron las comunicaciones de un Estado, aislaron a su liderazgo y habilitaron bombardeos de precisión quirúrgica. Lo que múltiples analistas ya califican como 'el mayor ciberataque de la historia' no fue un incidente aislado: fue la culminación de 16 años de ciberguerra silenciosa entre Israel e Irán. Este informe analiza ese conflicto en profundidad y extrae las lecciones estratégicas que toda organización en Chile y América Latina debe trasladar a sus decisiones de seguridad hoy.
CIFRAS CLAVE DEL CONFLICTO CIBER-FÍSICO (28 FEB – 10 MAR 2026) |
60+ grupos hacktivistas activos simultáneamente (Semana 1) 368 incidentes cibernéticos documentados en la primera semana ~96% caída de conectividad a internet en Irán (28 feb, 07:06 GMT) 77 incidentes cibernéticos en el día más complejo(2 de marzo) 12+ países afectados directa o indirectamente por ataques ~50% de los ejecutivos latinoamericanos desconfían de la capacidad de su país para responder |
1. De Stuxnet a la Operación Epic Fury: 16 años de ciberguerra silenciosa
Lo que ocurrió el 28 de febrero de 2026 no fue una sorpresa para quienes seguían de cerca la rivalidad tecnológica entre Israel e Irán. Fue la fase más visible de una guerra que se libra en el ciberespacio desde 2010 y que escaló de forma sostenida hasta convertirse en el mayor conflicto híbrido de la historia.
Para comprenderlo y extraer las lecciones correctas es imprescindible conocer esta historia.
El nacimiento de la ciberguerra: Stuxnet (2010)
En junio de 2010, inspectores de la AIEA detectaron que las centrifugadoras de la planta nuclear de Natanz fallaban sin explicación aparente. La causa era Stuxnet: un virus desarrollado conjuntamente por la Unidad 8200 de inteligencia de señales de Israel y la NSA estadounidense como parte del programa encubierto 'Operation Olympic Games'. El Mossad convenció a un agente infiltrado para conectar un USB infectado en los sistemas de la planta, permitiendo tomar el control de 1.000 centrifugadoras y ordenarles autodestruirse mientras los monitores mostraban datos normales a los técnicos iraníes.
Stuxnet destruyó entre 900 y 1.000 centrifugadoras (aproximadamente el 10% de la capacidad operativa de Natanz) y fue descrito por Eugene Kaspersky como 'el primer ciberarma de la historia'. Su importancia estratégica fue doble: demostró que un ciberataque podía generar daño físico real sobre infraestructura crítica y estableció el precedente que guiaría 16 años de escalada entre ambas potencias.
La guerra se extiende al dominio físico (2010–2024)
La respuesta iraní a Stuxnet no fue solo cibernética. Entre 2010 y 2022, al menos 14 científicos nucleares iraníes fueron asesinados en ataques atribuidos al Mossad, combinando operaciones físicas con inteligencia digital. Israel desarrolló una doctrina de 'ciberataque preventivo' integrada con operaciones convencionales: la misma lógica que aplicó en 1981 cuando destruyó el reactor Osirak iraquí, ahora trasladada al quinto dominio.
En 2020, la guerra cruzó una nueva línea: hackers iraníes intentaron envenenar el suministro de agua potable de Israel alterando los niveles de cloro en plantas de tratamiento. El Director Nacional de Ciberseguridad israelí declaró que 'se cruzaron todas las líneas rojas'. En respuesta, Israel atacó el puerto de Shahid Rajaee, paralizando el tráfico marítimo iraní durante días. Era la primera vez que un ciberataque generaba represalia kinética directa.
La preparación del gran asalto (Enero–Febrero 2026)
Lo que el mundo conoció el 28 de febrero de 2026 fue, en realidad, el acto final de una operación de inteligencia que llevaba años en marcha. Según el Financial Times (confirmado por múltiples fuentes internacionales), el Mossad y la Unidad 8200 habían convertido Teherán en un 'parque virtual' de operaciones de contrainteligencia:
- La extensa red de cámaras de vigilancia del régimen instalada para monitorear y reprimir a la propia población iraní fue comprometida y reutilizada para proveer inteligencia visual en tiempo real al cuartel general del Mossad en Tel Aviv, con transmisiones de alta resolución de miles de intersecciones de Teherán.
- Los sistemas de telefonía móvil fueron intervenidos para rastrear los movimientos del liderazgo iraní. El análisis matemático de redes sociales permitió identificar nodos de decisión y potenciales blancos con una precisión sin precedentes.
- Desde enero de 2026, las transmisiones satelitales iraníes fueron intervenidas, transmitiendo a millones de hogares contenido que instaba al derrocamiento del régimen una operación de influencia psicológica que preparó el terreno para el conflicto.
- El plan militar original estaba programado para la noche del 27 de febrero, pero los sistemas de cibervigilancia indicaron que al día siguiente se reuniría un grupo más numeroso de líderes. Se retrasó 24 horas para maximizar el impacto.
2. 28 de febrero de 2026: anatomía del mayor ciberataque de la historia
A las 07:06 GMT del 28 de febrero de 2026, se registró la primera señal de lo que vendría: una caída abrupta de la conectividad a internet en Irán que en minutos redujo el acceso al 1-4% de sus niveles normales. Era la señal de que el componente cibernético de la Operación Epic Fury había comenzado, coordinado al segundo con los primeros bombardeos convencionales.
28 Feb 07:06 | Primera caída masiva de conectividad en Irán. Internet cae al 4%. La agencia estatal IRNA queda offline. El medio vinculado al CGRI, Tasnim, es hackeado y emite mensajes anti-Khamenei. |
28 Feb 11:47 | Segunda caída abrupta de conectividad. Los sistemas de comunicaciones militares del CGRI quedan sin funcionamiento, cortando la cadena de mando. Se neutraliza la capacidad de coordinar drones y misiles balísticos. |
28 Feb Tarde | EEUU e Israel confirman la muerte del Ayatollah Ali Khamenei, el Ministro de Defensa, el comandante del CGRI y el jefe del estado mayor. Israel también destruye la sede del comando de guerra cibernética del CGRI en el este de Teherán. |
1 Mar | Irán lanza represalias con misiles contra Israel y 27 bases militares de EEUU en la región. Hezbolá abre un segundo frente desde el Líbano. Se activan más de 60 grupos hacktivistas proiraníes con operaciones coordinadas. |
2 Mar | Drones iraníes alcanzan instalaciones de AWS en EAU y Baréin, causando daños físicos e interrupciones de servicios globales. Pico de 77 incidentes cibernéticos documentados en un solo día. Hackers prorrusos se unen formalmente al conflicto. |
3–6 Mar | 368 incidentes cibernéticos documentados en la primera semana. Grupos como Cyber Islamic Resistance publican capturas de sistemas SCADA/ICS comprometidos. Jordan confirma ataque thwarted a su sistema de gestión de silos de trigo. |
8–9 Mar | Mojtaba Khamenei, hijo del líder supremo asesinado, es elegido nuevo Líder Supremo con fuerte influencia del CGRI. Expertos anticipan escalada de operaciones cibernéticas estatales en las próximas semanas. |
El arsenal técnico utilizado
Las operaciones ofensivas no se limitaron a DDoS convencionales. El análisis de SOCRadar, Flashpoint, BeyondTrust y el advisory de Sophos X-Ops CTU documenta un arsenal sofisticado y multivector:
DISRUPCIÓN
| DESTRUCCIÓN
| ESPIONAJE
|
DATO CRÍTICO:MuddyWater, grupo patrocinado por el Ministerio de Inteligencia iraní, ya había plantado backdoors en un banco estadounidense, un aeropuerto, una empresa de software de defensa y varias ONGs de EEUU y Canadá ANTES del primer ataque del 28 de febrero. El posicionamiento previo es parte estándar de la doctrina iraní. |
3. El ecosistema de amenaza iraní: actores, capacidades y objetivos
Irán opera su capacidad cibernética ofensiva a través de dos estructuras principales, rodeadas por un ecosistema de grupos proxy y hacktivistas que proveen negación plausible al Estado:
IRGC-CEC (Comando Cibernético-Electrónico de la Guardia Revolucionaria) Especializado en operaciones de impacto físico sobre infraestructura crítica (ICS/OT). CyberAv3ngers —su grupo proxy más prominente— fue sancionado por el Tesoro de EEUU, que identificó a seis oficiales del IRGC-CEC controlando directamente sus operaciones. Ha comprometido sistemas de control industrial en Israel, incluyendo redes eléctricas, bombas de agua e instalaciones de manufactura. | MOIS (Ministerio de Inteligencia y Seguridad) Gestor de grupos de espionaje y operaciones de hack-and-leak. Sus principales proxies son Handala Hack y HomeLand Justice. Handala opera comprometiendo sistemas de baja seguridad via footholds en proveedores IT, exfiltrando datos y publicando en el momento de mayor impacto psicológico. HomeLand Justice ejecutó operaciones de wiper contra entidades gubernamentales albanesas desde 2022. |
ACTORES HACKTIVISTAS ACTIVOS — PRIMERA SEMANA DEL CONFLICTO |
DieNet — Lideró en volumen con 59 operaciones reclamadas. Provee tooling DDoS utilizado por grupos más pequeños. Objetivos: infraestructura de gobiernos del Golfo, aeropuertos y servicios públicos. Keymous Plus — 51 operaciones. Especializado en defacement de sitios institucionales y campañas de desinformación coordinadas. 313 Team — 42 operaciones. Combina DDoS con exfiltración de datos de organizaciones financieras y de defensa. Cyber Islamic Resistance — Publicó screenshots de múltiples sistemas SCADA/ICS comprometidos simultáneamente: paneles de gestión de edificios, esquemas de tuberías y dashboards de automatización de procesos industriales. Los denominaron 'primera oleada'. NoName057(16) — Prorrusos — Se unieron formalmente el 3 de marzo. Reclamaron acceso a un HMI de control de bombas de agua industrial israelí en hebreo, incluyendo control en tiempo real de bombas, válvulas y alarmas. Las capturas de pantalla son consistentes en múltiples días y grupos, sugiriendo sondeo sistemático coordinado de activos ICS israelíes. FSociety (10 marzo) — Emitió un ultimátum de 42 horas amenazando infraestructura crítica no especificada. La situación continúa escalando. |
Un patrón que no es nuevo, pero sí más peligroso
Lo que hace particularmente peligroso al ecosistema iraní en 2026 no es solo su escala, sino su sofisticación táctica acumulada. Irán lleva 16 años aprendiendo, adaptando y pre-posicionando activos en infraestructura crítica global. El backdoor en el banco estadounidense no fue instalado el 28 de febrero: llevaba semanas o meses ahí. Esta doctrina de 'posicionamiento silencioso' es quizás la amenaza más subestimada del conflicto para las organizaciones fuera de la región.
4. Por qué este conflicto afecta directamente a Chile y América Latina
La pregunta que todo directivo latinoamericano tiene derecho a hacerse es: ¿qué tiene que ver una guerra en Medio Oriente con nuestra empresa en Chile, Colombia o Perú? La respuesta tiene cuatro dimensiones que se refuerzan mutuamente.
4.1 La geografía ya no protege en el ciberespacio
Los grupos hacktivistas no operan por proximidad geográfica sino por afinidad ideológica, oportunismo y cadenas de suministro digitales. SOCRadar y Flashpoint advierten explícitamente: 'Cualquier país percibido como cómplice o que apoya la Operación Epic Fury debe considerarse un potencial objetivo cibernético.' Chile y Latinoamérica mantienen relaciones diplomáticas, comerciales y tecnológicas activas con EEUU e Israel. Muchas empresas locales operan sobre infraestructura, software y proveedores de origen estadounidense, convirtiéndolas en vectores indirectos.
4.2 La cadena de suministro digital no tiene fronteras
Cuando AWS reportó daños estructurales en sus instalaciones del Golfo, clientes en decenas de países (incluyendo Latinoamérica) experimentaron interrupciones de servicios. El modelo de 'ataque a la cadena de suministro' es hoy el vector de mayor crecimiento global: no necesitas ser el objetivo principal para ser afectado. El informe WEF–Accenture Global Cybersecurity Outlook 2026 señala que un 64% de las organizaciones a nivel mundial ya está considerando ajustes en su cadena de suministro por razones de geopolítica cibernética.
4.3 América Latina parte con una brecha de preparación severa
El mismo informe WEF–Accenture revela un dato alarmante: los ejecutivos de América Latina son, a nivel global, los que menos confianza tienen en la capacidad de sus países para proteger la infraestructura crítica ante un ciberataque de gran escala. Casi la mitad reconoce abiertamente esa debilidad. Según Kaspersky, en 2025 el 20.4% de los sistemas industriales en LATAM sufrió intentos de infección (en algunos países del 25%). Solo 7 de 32 países de la región tienen planes formales de protección de infraestructuras críticas.
4.4 El contexto regulatorio chileno exige acción, no solo preocupación
Chile atraviesa simultáneamente dos marcos regulatorios de alto impacto: la nueva Ley de Protección de Datos Personales y la Ley Marco de Ciberseguridad e Infraestructura Crítica. Ambas elevan significativamente las obligaciones de gobernanza, detección, respuesta y evidencia de controles. En este contexto, una brecha de seguridad vinculada a amenazas geopolíticas no solo genera daño operacional: genera exposición legal, regulatoria y reputacional directa para los directorios.
CONCLUSIÓN ESTRATÉGICA: La ciberguerra en Irán no es un evento geográficamente contenido. Es un conflicto con tentáculos globales que se expande a través de cadenas de suministro digitales, infraestructura de nube compartida y grupos hacktivistas que operan desde cualquier parte del mundo. La distancia física ya no es un factor de protección. |
5. Las capacidades que su organización necesita en este entorno
El advisory de Sophos X-Ops CTU, emitido el 1 de marzo de 2026 con nivel de amenaza ELEVADO, es explícito en sus recomendaciones. No plantea comprar más herramientas: plantea construir capacidades. Existe una diferencia fundamental entre tener software de seguridad y tener una postura de seguridad operativa. A continuación, las tres capacidades críticas que este entorno exige:
CAPACIDAD 1 — THREAT INTELLIGENCE: VER ANTES DE SER GOLPEADO |
La operación que culminó el 28 de febrero llevaba años preparándose en silencio. MuddyWater plantó backdoors en infraestructura estadounidense semanas antes del primer misil. La inteligencia de amenazas (Threat Intelligence) es la única capacidad que permite detectar esa actividad preparatoria antes de que se concrete. Un equipo de TI activo monitorea en tiempo real indicadores de compromiso (IoCs), TTPs de grupos relevantes y dominios maliciosos asociados a actores conocidos (como los del repositorio GitHub público de Sophos X-Ops CTU). La pregunta correcta no es '¿tenemos firewall?'. Es '¿sabemos, en este momento, si algún indicador de los grupos activos en el conflicto iraní está intentando contactar sistemas de nuestra red?'. Si la respuesta no es un sí inmediato, existe una brecha de visibilidad que debe cerrarse. Servicios CompuNet aplicables:
|
CAPACIDAD 2 — SOC + BLUE TEAM: DETECTAR Y CONTENER EN TIEMPO REAL |
Sophos X-Ops CTU es explícito: las organizaciones deben asegurarse de que sus soluciones EDR/XDR estén 'completamente operativas y monitoreadas', incrementar la sensibilidad de triage para campañas de phishing y abuso de credenciales, y revisar la cobertura de logging y telemetría en todos los entornos. Esto requiere un Centro de Operaciones de Seguridad (SOC) operativo las 24/7 (los actores de amenaza no respetan zonas horarias) y un Blue Team que ejecute Threat Hunting activo para detectar comportamientos de movimiento lateral, dumping de credenciales e inhibición de recuperación del sistema (T1098, T1003, T1490), las técnicas más documentadas en el conflicto actual. El advisory de Sophos también señala algo que las organizaciones frecuentemente omiten: proveer a los empleados un mecanismo claro para reportar solicitudes sospechosas por cualquier canal (email, teléfono, mensajería). El spear-phishing selectivo —potenciado con IA generativa— sigue siendo el vector de acceso inicial más efectivo para todos los grupos documentados en este conflicto. Servicios CompuNet aplicables:
|
CAPACIDAD 3 — VULNERABILITY ASSESSMENT Y REDUCCIÓN DE SUPERFICIE DE ATAQUE |
El advisory de Sophos X-Ops CTU establece tres medidas de reducción de exposición que son exactamente los vectores que los grupos iraníes usan como punto de entrada inicial: (1) parchear sistemas expuestos a internet contra vulnerabilidades conocidas; (2) realizar revisiones de superficie de ataque externa minimizando servicios expuestos; (3) validar configuraciones de VPN y acceso remoto. Los grupos como Handala operan comprometiendo 'sistemas de baja seguridad a través de footholds en proveedores IT'. No necesitan exploits de día cero cuando la mayoría de las organizaciones tiene vulnerabilidades conocidas sin parchear hace más de 90 días. Un programa de Vulnerability Assessment bajo el modelo CTEM (Continuous Threat Exposure Management) permite identificar y priorizar esas exposiciones antes de que sean aprovechadas. El Ethical Hacking complementa con simulación real del comportamiento de un atacante, validando que los controles en producción (el firewall, el EDR, el SOC) realmente funcionan cuando importa. Servicios CompuNet aplicables:
|
6. Las seis preguntas que su directorio debe poder responder hoy
Las amenazas geopolíticas activas requieren decisiones ejecutivas, no solo técnicas. Un CISO que no puede responder estas preguntas ante su directorio no está en posición de gestionar el riesgo actual:
01 ¿Sabemos, en este momento, si algún indicador de compromiso asociado a grupos activos en el conflicto iraní —Handala, MuddyWater, HomeLand Justice, CyberAv3ngers— está presente en nuestra red? 02 ¿Cuándo fue la última revisión exhaustiva de nuestra superficie de ataque externa? ¿Tenemos visibilidad de todos los servicios expuestos a internet, incluidos los de proveedores y filiales? 03 ¿Nuestros proveedores de tecnología crítica (nube, ERP, comunicaciones) han comunicado su postura ante el contexto de amenaza actual? ¿Hemos evaluado el riesgo de nuestra cadena de suministro digital de tercer nivel? 04 ¿Nuestro plan de continuidad de negocio contempla un escenario de wiper malware —donde los datos no son secuestrados sino destruidos irreversiblemente— incluyendo backups offline o inmutables validados? 05 ¿MFA está implementado en todos los accesos remotos y cuentas privilegiadas? ¿Monitoreamos activamente intentos de password spraying y autenticación anómala? 06 ¿Cumplimos con los requisitos de la Ley Marco de Ciberseguridad y la Ley de Protección de Datos? ¿Podemos demostrarlo ante un regulador ante un incidente vinculado a amenazas geopolíticas? |
Conclusión: el conflicto cibernético no termina cuando terminan los misiles
El mayor error estratégico que puede cometer una organización ante un conflicto geopolítico de esta magnitud es asumir que, cuando las noticias pasen, el riesgo también habrá pasado. SOCRadar lo advierte con precisión: 'El conflicto que comenzó el 28 de febrero de 2026 no tiene un punto final claro, y la campaña cibernética sobrevivirá a la kinética. Los grupos APT iraníes no se detienen cuando dejan de volar los misiles. Se reequipan y regresan.'
Los grupos hacktivistas ya están movilizados. Las campañas de recolección de credenciales corren en paralelo con cada ciclo de noticias. Las organizaciones que serán comprometidas en las próximas semanas serán en gran medida aquellas que esperaron actuar. La amenaza es estructurada, tiene dirección estatal y ya está en movimiento.
¿Su organización está preparada para este entorno?
Solicite una evaluación de postura de ciberseguridad sin costo inicial¿Listo para dar el salto? Contáctanos
Rodrigo González
Director Investigación y Desarrollo
CompunetGroup
7345 W Sand Lake RD