La guerra invisible de Medio Oriente: el frente cibernético que ya golpea hospitales, puertos y gobiernos

La señal más clara llegó en dos momentos: primero, tras el ataque de Hamás del 7 de octubre de 2023, cuando Irán aceleró operaciones digitales e informativas en apoyo del eje antiisraelí; y después, con la escalada del 28 de febrero de 2026, cuando los ataques de EE. UU. e Israel dentro de Irán abrieron una nueva fase de represalias, espionaje y guerra psicológica en línea.

El error más común es imaginar este frente como simples “hackeos” a páginas web. No es eso. Lo que está ocurriendo mezcla sabotaje, espionaje, manipulación de opinión pública, robo de datos, acoso transnacional y preparación de futuras operaciones sobre infraestructura crítica. El propio Centro Canadiense para la Ciberseguridad advirtió en marzo de 2026 que los actores iraníes suelen combinar ingeniería social, phishing dirigido, explotación de vulnerabilidades conocidas, ataques DDoS, ransomware, malware destructivo y operaciones de hack-and-leak. Unit 42, de Palo Alto Networks, añadió otro dato inquietante: para inicios de marzo observaba una explosión del ecosistema hacktivista, con estimaciones de unas 60 agrupaciones activas y varias de ellas asociadas a una estructura llamada “Electronic Operations Room”, formada el 28 de febrero.

Entre los actores más visibles sobresale Handala Hack, una marca que autoridades estadounidenses vinculan al Ministerio de Inteligencia iraní, el MOIS. El Departamento de Justicia de EE. UU. informó el 19 de marzo de 2026 la incautación de cuatro dominios usados en una campaña que combinaba ataques destructivos con “falso hacktivismo” y operaciones psicológicas. Según esa investigación, Handala se atribuyó un malware destructivo contra una firma multinacional de tecnología médica en Estados Unidos, publicó datos personales de alrededor de 190 personas asociadas a las Fuerzas de Defensa de Israel o al gobierno israelí, y además difundió amenazas directas contra disidentes y periodistas iraníes en el extranjero. Reuters reportó que, incluso después del decomiso de sus dominios, el grupo reconstruyó rápidamente su presencia en línea, una muestra de resiliencia operativa que también es parte del mensaje: estos actores no solo atacan, también quieren demostrar que no desaparecen.

El caso de Stryker ayuda a entender por qué esta guerra importa mucho más de lo que muchos creen. Reuters informó que el ciberataque reclamado por Handala afectó la capacidad de la empresa para procesar pedidos, fabricar y enviar productos, y que algunas cirugías tuvieron que ser reprogramadas por retrasos en inventario personalizado. Esa es la diferencia entre el ruido propagandístico y el daño real: cuando una intrusión digital toca cadenas de suministro médicas, deja de ser una historia “de hackers” y se vuelve un problema de seguridad humana. En una guerra híbrida, una línea de código puede no derribar un edificio, pero sí retrasar una operación quirúrgica.

Del otro lado del tablero, también se observó una dimensión ofensiva inmediata contra Irán. Reuters reportó que, en las primeras horas del 1 de marzo de 2026, junto con los ataques militares de EE. UU. e Israel, se produjo una ola de operaciones cibernéticas contra aplicaciones, sitios y servicios iraníes. Entre los blancos estuvo BadeSaba, una aplicación religiosa con más de 5 millones de descargas, que fue alterada para mostrar mensajes llamando a los miembros de las fuerzas armadas a deponer las armas y unirse a la población. Ese mismo día, el tráfico de internet iraní sufrió caídas abruptas a las 07:06 GMT y a las 11:47 GMT, hasta quedar con conectividad mínima, según análisis citados por Reuters. No todo puede atribuirse con absoluta certeza en tiempo real, pero el patrón fue inequívoco: la fase militar vino acompañada de una fase digital para degradar respuesta, moral y comunicaciones.

A este cuadro se suman otros nombres relevantes. Unit 42 menciona a APT Iran, señalado por operaciones de hack-and-leak y reclamaciones sobre sabotaje a infraestructura crítica jordana; y a Cyber Islamic Resistance, un paraguas proiraní que coordina equipos como RipperSec y Cyb3rDrag0nzz para lanzar DDoS, borrado de datos y desfiguración de sitios contra infraestructura israelí y occidental. Además, la firma detectó una campaña de phishing que distribuía una copia maliciosa de la aplicación israelí RedAlert, diseñada para vigilancia móvil y exfiltración de datos. Esto confirma una verdad incómoda: en la guerra contemporánea, las aplicaciones civiles ya no son solo herramientas cotidianas; pueden convertirse en señuelos, sensores o puertas de entrada.

Pero el frente quizá más subestimado no es el sabotaje, sino el espionaje. Proofpoint documentó que el actor iraní TA453, también conocido como Charming Kitten, Mint Sandstorm o APT42, lanzó un intento de robo de credenciales contra un think tank estadounidense el 8 de marzo de 2026, incluso en medio del apagón de internet impuesto por Irán tras el inicio de la escalada. La misma investigación halló un aumento de campañas contra gobiernos y entidades diplomáticas de Medio Oriente realizadas no solo por actores iraníes, sino también por grupos con atribución sospechada a China, Bielorrusia, Pakistán y Hamás, muchas veces usando cuentas gubernamentales comprometidas y correos temáticos sobre la guerra para engañar a sus objetivos. Eso significa que el conflicto no solo genera ataques directos: también produce una nube de operaciones oportunistas alrededor suyo.

La otra batalla se libra en la percepción. Microsoft ya había advertido, al estudiar la fase posterior al 7 de octubre de 2023, que Irán combina ciberataques oportunistas con campañas de influencia que exageran o distorsionan el verdadero alcance de los incidentes. Su conclusión fue clara: muchas de las primeras acciones fueron reactivas, caóticas y sobredimensionadas en el relato público. En marzo de 2026, esa lógica evolucionó. The Guardian reportó que Irán reorientó su aparato digital hacia una guerra informativa más concentrada, inundando redes como X, Instagram y Bluesky con contenidos dirigidos, incluyendo videos generados por IA y piezas falsas sobre daños militares, con el fin de presionar moralmente a Estados Unidos e Israel y explotar fracturas políticas en Occidente. En otras palabras: no toda la ciberguerra busca apagar sistemas; mucha busca sembrar duda, cansancio y confusión.

Hay, además, un aspecto decisivo que redefine la seguridad moderna: la conversión de la infraestructura civil en herramienta militar. Associated Press reveló que Israel utilizó cámaras de vigilancia iraníes comprometidas para ayudar a localizar objetivos, en una operación que expuso la fragilidad de redes de videovigilancia masivas. AP citó además un dato alarmante de un investigador: un barrido reciente encontró cerca de 3 millones de cámaras expuestas en el mundo, incluyendo casi 2,000 en Irán. La misma nota recordó que Hamás ya había hackeado cámaras de vigilancia en el sur de Israel antes del 7 de octubre de 2023 para monitorear patrullas militares. La lección es brutalmente simple: los sistemas creados para vigilar a la población o proteger ciudades pueden terminar sirviendo al enemigo.

El conflicto ya desbordó la región inmediata. Reuters informó que Grecia emitió alertas de alta prioridad para que empresas navieras, bancos y firmas de transporte, telecomunicaciones, salud y energía escanearan sus sistemas por posibles compromisos, en medio del temor a represalias digitales ligadas a la guerra. La misma cobertura indicó que Albania confirmó un ataque contra la infraestructura digital de su parlamento atribuido por medios locales al grupo proiraní Homeland Justice, mientras que alrededor del estrecho de Ormuz se reportó un aumento de interferencias electrónicas que afectan la navegación comercial. Eso demuestra que el frente cibernético de Medio Oriente ya no pertenece solo a Medio Oriente: amenaza cadenas logísticas, comercio, salud y seguridad marítima con impacto internacional.

Por eso este tema importa para el mundo actual. El Comité Internacional de la Cruz Roja ha insistido en que las operaciones cibernéticas en conflictos armados representan un riesgo real para civiles, infraestructura civil y datos civiles. También advirtió en 2025 sobre el crecimiento del involucramiento de civiles, grupos de hackers y empresas tecnológicas en guerras digitalizadas. Lo que vemos hoy en Medio Oriente encaja perfectamente en ese diagnóstico: actores estatales y paraestatales, infraestructura civil reutilizada con fines militares, campañas de intimidación transnacional, servicios esenciales expuestos y una frontera cada vez más borrosa entre propaganda, espionaje y ataque.

La conclusión es incómoda, pero necesaria: la guerra en Medio Oriente no solo se pelea con misiles, drones y artillería. También se pelea con credenciales robadas, aplicaciones adulteradas, cámaras comprometidas, dominios de filtración, redes sociales inundadas de desinformación y ataques capaces de alterar hospitales o puertos sin disparar una sola bala. Quien siga viendo la ciberguerra como un “complemento” del conflicto no ha entendido el cambio de época. Hoy el ciberespacio no acompaña la guerra: la amplifica, la extiende y, en muchos casos, la hace más difícil de contener.