El conflicto en Medio Oriente ha desatado una ola de ataques digitales sin precedentes. Los actores de amenazas respaldados por el estado están infiltrando infraestructuras críticas, secuestrando cámaras de seguridad y desplegando malware destructivo.
La escalada militar en Medio Oriente está teniendo una réplica directa y devastadora en el ciberespacio. Hoy, 6 de marzo de 2026, una investigación conjunta ha revelado que un grupo de piratas informáticos iraníes se ha infiltrado profundamente en las redes de varias empresas clave de Estados Unidos y sus aliados.
Esta intensa actividad ofensiva se ha atribuido a MuddyWater (también conocido como Seedworm), un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado y afiliado directamente al Ministerio de Inteligencia y Seguridad de Irán (MOIS). La campaña, que comenzó a principios de febrero, ha intensificado su actividad en respuesta a los recientes ataques militares de Estados Unidos e Israel sobre Irán.
Los Objetivos y el Nuevo Arsenal (Dindoor y Fakeset)
Los atacantes no están buscando objetivos al azar, sino infraestructuras de alto valor. Entre las víctimas confirmadas se encuentran bancos estadounidenses, aeropuertos, organizaciones sin fines de lucro y la división israelí de una importante empresa de software que provee servicios a las industrias de defensa y aeroespacial.
Para lograr infiltrarse sin ser detectados, MuddyWater ha desarrollado y desplegado nuevas herramientas exclusivas:
- El Backdoor “Dindoor”: Utilizado en los ataques contra el banco de EE. UU., la organización canadiense y la empresa de software, este backdoor previamente desconocido es único porque aprovecha el entorno de ejecución Deno (JavaScript) para llevar a cabo sus operaciones maliciosas.
- El Backdoor “Fakeset”: Encontrado en las redes de un aeropuerto estadounidense y una ONG, este implante basado en Python se descarga desde servidores pertenecientes a la empresa de almacenamiento en la nube Backblaze. El certificado digital utilizado para firmar Fakeset es el mismo que se usó anteriormente para firmar otros programas maliciosos de MuddyWater, como Stagecomp y Darkcomp.
- Exfiltración en la nube: Los investigadores identificaron un intento de robo de datos desde la empresa de software utilizando la utilidad de línea de comandos Rclone para enviar los archivos hacia un contenedor de almacenamiento en la nube de Wasabi.
Cámaras de Tráfico y Tácticas Militares Digitales
La guerra cibernética se está entrelazando directamente con las operaciones cinéticas y el mundo físico.
Por un lado, adversarios vinculados a Irán como Agrius han estado escaneando vulnerabilidades (como CVE-2017-7921 y CVE-2023-6895) para secuestrar cámaras IP e intercomunicadores de video de marcas como Hikvision y Dahua en Israel y países del Golfo. La firma Check Point evalúa que Irán está utilizando estas cámaras comprometidas para realizar evaluaciones de daños de batalla (BDA) en tiempo real para sus operaciones con misiles, e incluso para inteligencia previa a los lanzamientos.
Por otro lado, la inteligencia israelí demostró una capacidad simétrica: lograron hackear la extensa red de cámaras de tráfico de Teherán durante años. Según los reportes, utilizaron este acceso para monitorear los movimientos de los guardaespaldas de altos funcionarios iraníes, incluyendo al líder supremo, el Ayatolá Alí Jamenei, como preámbulo a su asesinato la semana pasada.
Frente a este escenario de escalada rápida, las empresas occidentales deben mantener un estado de alerta máxima. Las organizaciones deben reforzar sus capacidades de monitoreo, deshabilitar accesos remotos a sistemas operativos, implementar segmentación de red y asegurar copias de seguridad sin conexión (offline) para sobrevivir a una eventual operación destructiva.
