Ciberdelito

Resumen sobre amenazas: aumento del riesgo cibernético relacionado con Irán (Actualizado el 30 de junio)

Clock Icon 7 lectura mínima
Related Products
Advanced Threat PreventionCloud-Delivered Security ServicesCortexCortex CloudCortex XDRCortex XSIAM

Resumen ejecutivo

El reciente conflicto en el que se ha visto envuelto Irán, en particular sus enfrentamientos militares con Israel y Estados Unidos, aumenta significativamente el riesgo de propagación de conflictos cibernéticos. Esta situación extiende los campos de batalla tradicionales al ámbito digital.

Aunque todavía no hemos visto un repunte drástico de los ciberataques dirigidos por Irán, nuevas escaladas podrían manifestarse como un aumento de las operaciones cibernéticas tanto por parte de grupos patrocinados por el Estado como de hacktivistas independientes. Su objetivo sería perturbar, recopilar información o influir en adversarios percibidos como tales. Los grupos de amenazas iraníes tienen un historial de ataques contra infraestructuras críticas e industrias sensibles en empresas públicas y privadas de todo el mundo, y estos ataques pueden tener consecuencias de gran alcance.

Durantelos dos últimos años, Unit 42 ha observado que los hacktivistas y los grupos respaldados por Irán han estado ampliando sus operaciones cibernéticas a escala mundial y han llevado a cabo las siguientes actividades:

  • Aprovechamiento oportunista de la IA generativa (GenAI) para la ingeniería social y las operaciones de influencia.
  • Vinculación explícita de los ataques destructivos con acontecimientos geopolíticos.

Estas actividades se suman a las que históricamente han caracterizado a estos grupos. Es posible que estas actividades se intensifiquen aún más en el contexto de los acontecimientos recientes en los que se han visto implicados Israel y Estados Unidos. Estas actividades incluyen lo siguiente:

  • Ataques destructivos
  • Desfiguración de sitios web
  • Ataques de denegación de servicio distribuido (DDoS)
  • Exfiltración de datos y ataques de limpieza, que recuerdan a los que hemos observado anteriormente de parte de los grupos iraníes dirigidos a los sectores de educación y tecnología israelíes

Hacemos un seguimiento de la actividad de amenazas en todo el mundo, e Irán es uno de los cuatro principales estados-nación que vigilamos, junto con China, Rusia y Corea del Norte. Los principales objetivos de los actores del Estado nación iraní con frecuencia incluyen el espionaje y la disrupción. Estos grupos emplean diversas tácticas, técnicas y procedimientos (TTP), incluidas las campañas de phishing dirigido y la explotación de vulnerabilidades conocidas. Las observaciones específicas incluyen lo siguiente:

  • Infraestructura encubierta para el espionaje: un caso reciente identificado por Unit 42 reveló una presunta infraestructura iraní encubierta que se hacía pasar por una agencia de modelos alemana para realizar ciberespionaje. Estas operaciones crean sitios web falsos para recopilar gran cantidad de datos sobre los visitantes, lo que sugiere la existencia de objetivos estratégicos con el fin de recopilar información.
  • Ingeniería social mejorada con IA: recientemente hemos observado un grupo de amenazas iraní (Agent Serpens, alias CharmingKitten) que utilizaba GenAI en un PDF malicioso, enmascarado como un documento de la organización de investigación sin ánimo de lucro llamada RAND de Estados Unidos. El grupo utilizo este PDF junto con malware dirigido.
  • Operaciones destructivas persistentes: el grupo de amenazas persistentes avanzadas (APT) llamado Agonizing Serpens, respaldado por Irán, atacó los sectores israelíes de educación y tecnología entre enero y octubre de 2023, con el objetivo de robar datos confidenciales, como información de identificación personal (PII) y propiedad intelectual. En estos ataques, también se implementaron wipers para destruir sistemas y dificultar el análisis forense.

En el contexto de la actual situación geopolítica con Irán, identificamos cuatro áreas clave de actividad potencial de ciberamenazas:

  • Actores de amenazas del Estado nación iraní: a corto plazo, es probable que los hackers del Estado nación iraní utilicen ataques dirigidos, desde correos electrónicos de phishing selectivo dirigidos a diplomáticos hasta malware de limpieza destructivo dirigido a organizaciones vinculadas a intereses estadounidenses.
  • Hacktivistas: es probable que los hacktivistas que apoyan a Irán sigan realizando ataques disruptivos y operaciones de influencia contra intereses de Estados Unidos, tanto dentro como fuera del país. Esto incluye ataques de DDoS para interrumpir el acceso a Internet e influir en las operaciones de las plataformas de redes sociales.
  • Grupos de ciberdelincuentes: estos grupos podrían explotar de forma oportunista la incertidumbre mundial para lanzar campañas de phishing, aprovechando los acontecimientos mundiales como tema para correos electrónicos y archivos adjuntos maliciosos.
  • Otros actores de estados-nación: existe la posibilidad de que otros actores de amenazas de estados-nación aprovechen los acontecimientos para promover sus intereses. Estos ataques podrían incluir operaciones de bandera falsa, en las que actores ajenos a Irán disfrazan sus ataques para que parezcan originados en dicho país. Esto sucedió cuando Rusia secuestró previamente la infraestructura cibernética de Irán en 2019 para colarse en redes ya comprometidas por actores iraníes.

Los clientes de Palo Alto Networks pueden recibir protección y mitigación para la actividad de este actor de amenazas a través de los siguientes productos:

El equipo de respuesta ante incidentes de Unit 42 también puede involucrarse para ayudar con una intrusión o para proporcionar una evaluación proactiva que permita reducir el riesgo.

Grupos de amenaza analizados Agent Serpens (aka APT42), Agonizing Serpens (aka Pink Sandstorm), Boggy Serpens (aka MuddyWater), Curious Serpens (aka Peach Sandstorm), Devious Serpens (aka Imperial Kitten), Evasive Serpens, Industrial Serpens

Alcance actual de los ciberataques

Unit 42 rastrea a diversos agentes iraníes patrocinados por el Estado que llevan el nombre de la constelación Serpens. Estos grupos podrían aumentar o intensificar su actividad en las próximas semanas.

Las capacidades cibernéticas iraníes patrocinadas por el Estado, a menudo, se utilizan para proyectar y amplificar mensajes políticos (con frecuencia, mediante tácticas destructivas y psicológicas). Es probable que se centren en objetivos regionales (por ejemplo, Israel), así como en lo que consideran objetivos de alto valor (por ejemplo, políticos, principales responsables de la toma de decisiones y otras entidades directamente implicadas).

Las campañas patrocinadas por el Estado pueden dirigirse a las cadenas de suministro, la infraestructura crítica, los vendedores o los proveedores de las víctimas.

La mayoría de los ciberataques ya denunciados relacionados con este suceso son ataques de denegación de servicio (DoS) intencionadamente perturbadores. Los atacantes de terceros, como los hacktivistas y los actores proxy, suelen apoyar a uno u otro bando, con el objetivo de impactar negativamente e influir en el bando contrario.

Desde el 22 de junio de 2025, 120 grupos de hacktivistas se encuentran activos en respuesta a estos acontecimientos. Otros informes públicos indican que también están activos tanto grupos de ciberdelincuentes como grupos proxy apoyados por el Estado.

El DDoS parece ser el método de ataque más denunciado, seguido de los ataques destructivos. Los investigadores han observado muestras de malware destructivo, como borradores de datos relacionados con estos acontecimientos. Los ataques destructivos también incluyen la destrucción de 90 millones de dólares de fondos en una vulneración de una plataforma de criptomonedas en junio de 2025.

Otras vulneraciones de datos y filtraciones de datos asociadas pretenden perjudicar a cualquiera de las partes. Los informes también indican la existencia de ataques a la tecnología operativa (OT). En ocasiones, ambas están relacionadas, ya que también se han informado vulneraciones de datos de empresas energéticas y de otros servicios públicos en relación directa con estos acontecimientos.

Grupos de amenaza iraníes rastreados por Unit 42

  • Agent Serpens (alias APT42)
    • Grupo de espionaje y vigilancia centrado en Israel y Estados Unidos, que ataca a disidentes, activistas, periodistas y otros grupos considerados de riesgo o que protestan en contra del gobierno iraní.
    • Acceso inicial: principalmente phishing selectivo, incluida la cosecha de credenciales con páginas de inicio de sesión falsas, y ataques de watering hole.
  • Agonizing Serpens (alias Pink Sandstorm)
    • Este grupo se dedica al espionaje y a los ataques con ransomware y malware destructivo contra objetivos en Oriente Medio, con especial atención a los ataques contra Israel.
    • Acceso inicial: ataques a contraseñas (por ejemplo, fuerza bruta, pulverizaciones de contraseñas) y explotación de vulnerabilidades conocidas (seguida de implementación de web shells).
  • Boggy Serpens (alias MuddyWater)
    • Un grupo de ciberespionaje que proporciona datos robados y acceso al gobierno iraní, así como a otros actores de amenazas.
    • Acceso inicial: phishing selectivo y explotación de vulnerabilidades conocidas.
  • Curious Serpens (aka Peach Sandstorm)
    • Grupo de espionaje activo desde 2013 dirigido a los sectores aeroespacial, de defensa y energético en Estados Unidos, Oriente Medio y Europa. El grupo ha aprovechado la infraestructura en la nube, incluido Azure, para C2.
    • Acceso inicial: Ataques de pulverización de contraseñas con objetivos amplios o campañas de ingeniería social basadas en la contratación laboral para entregar malware personalizado, incluidas las puertas traseras Falsefont o Tickler Una vez dentro, el grupo es known por llevar a cabo actividades de descubrimiento con herramientas como AzureHound y Roadtools para recopilar y volcar datos de Microsoft Entra ID.
  • Devious Serpens (alias Imperial Kitten)
    • Grupo de espionaje conocido por atacar a proveedores informáticos de Medio Oriente en el marco de campañas en la cadena de suministro.
    • Acceso inicial: ingeniería social a través de las redes sociales, phishing selectivo de credenciales y ataques de watering hole, y despliegue de web shells.
  • Evasive Serpens (alias APT34)
    • Un prolífico grupo de espionaje conocido por sus amplios objetivos alineados con los intereses del Estado nación.
    • Acceso inicial: depende en gran parte del phishing selectivo, aunque también se lo ha asociado a otros ataques más complejos, como las campañas de cosecha de credenciales y el secuestro de DNS.
  • Industrial Serpens (alias Chrono Kitten)
    • Un grupo respaldado por Irán asociado a ataques disruptivos (por ejemplo, ransomware, malware de limpieza, ataques de hackeo seguidos de filtración) que se alinean con los intereses estatales.
    • Acceso inicial: ingeniería social para distribuir spyware para Android alojado en sitios web falsos, ataques a contraseñas (por ejemplo, fuerza bruta, pulverizaciones de contraseñas) y explotación de vulnerabilidades conocidas.

Conclusión

Dada la variedad de tácticas que utilizan los actores de amenazas, lo más eficaz es una defensa en varios niveles, ya que ninguna herramienta por sí sola podrá proporcionar una protección completa contra estas amenazas adaptables. Recomendamos centrarse en la higiene de seguridad básica, un enfoque comprobado que proporciona una protección resistente contra una amplia gama de tácticas.

También recomendamos tomar las siguientes precauciones para ayudar a mitigar el impacto de posibles ataques.

Recomendaciones tácticas

  • Aumentar la respuesta a cualquier señal de amenaza en la medida de lo posible, especialmente aquellas asociadas a activos accesibles desde Internet, como sitios web, puertas de enlace de redes privadas virtuales (VPN) y activos en la nube.
  • Garantizar que la infraestructura accesible desde Internet esté actualizada con parches de seguridad y otras prácticas recomendadas de refuerzo.
  • Capacitar a los empleados en tácticas de phishing e ingeniería social y vigilar continuamente las actividades sospechosas.
  • El 30 de junio, la CISA, el FBI, el Centro de Ciberdelincuencia del Departamento de Defensa y la NSA publicaron una hoja informativa conjunta, «Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest», en la que instaban a las organizaciones a permanecer vigilantes ante posibles operaciones cibernéticas selectivas por parte de agentes de amenazas iraníes patrocinados por el Estado o afiliados a él.

Recomendaciones estratégicas

  • Iniciar o actualizar los planes de continuidad de la actividad para el personal o los activos que los ataques digitales o físicos puedan perturbar.
  • Prepararse para validar y responder a declaraciones de vulneraciones o filtraciones de datos.
    • Los actores de amenazas podrían utilizar las declaraciones (aunque sean falsas) para avergonzar o acosar a las víctimas, o para difundir discursos políticos.

Como es probable que la actividad siga intensificándose mientras duren estos acontecimientos, es importante mantenerse alerta ante posibles ataques. Los hacktivistas y los actores de amenazas apoyados por el Estado han sido oportunistas, lo que ha llevado a que fuentes potencialmente inesperadas se hayan convertido en objetivos.

Actualizaremos este resumen de amenazas a medida que dispongamos de más información pertinente.

Cómo pueden ayudar Palo Alto Networks y Unit 42

Los clientes de Palo Alto Networks pueden aprovechar varias protecciones y actualizaciones de productos para identificar y defenderse de amenazas relacionadas con aspectos de estos acontecimientos.

Si cree que podría haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42 o llame al:

  • Norteamérica: llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Oriente Medio: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 00080005045107

Firewall de nueva generación y Prisma Access con prevención de amenazas avanzada

La prevención de amenazas avanzada cuenta con una detección integrada basada en aprendizaje automático que puede detectar exploits en tiempo real.

Cortex

Cortex XDR, XSIAM y Cortex Cloud están diseñados para evitar la ejecución de malware malicioso conocido. También están diseñados para impedir la ejecución de malware desconocido y otras actividades maliciosas mediante la protección frente a amenazas de comportamiento y el aprendizaje automático basado en el módulo de análisis local.

 

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Recursos

Pictorial representation of AdaptixC2. Digital iris with binary code, emphasizing cybersecurity and technology concepts.
Investigación de amenazas

AdaptixC2: un nuevo marco de código abierto utilizado en ataques reales
Leer ahora Right arrow
Pictorial representation of Unit 42 threat attribution system. Illustration featuring a white triangle centered within an abstract cosmic background of purple and blue swirls and stars.
Grupos de actores de amenazas

Presentamos el marco de atribución de Unit 42
Leer ahora Right arrow
Pictorial representation of social engineering. Digital illustration of four human profiles connected by glowing neural network lines against a dark background, symbolizing connectivity and technology.
Informes de tendencias

Informe de respuesta ante incidentes de Unit 42 de 2025: edición de ingeniería social
Leer ahora Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Amenazas sofisticadas

Evaluación de amenazas de Muddled Libra: mayor alcance, mayor rapidez, mayor impacto
Leer ahora Right arrow
Pictorial representation of a ClickFix campaign. A glowing, red padlock illuminated with light particles, set against a dark, rainy backdrop.
Investigación de amenazas

Arregla el clic: Prevención del vector de ataque ClickFix
Leer ahora Right arrow
Pictorial representation of initial access brokers like TGR-CRI-0045. Digital concept image featuring a stream of glowing code with words like "Security," "Hackers," and "Crime" overlaid in bold text, symbolizing cybersecurity and data protection.
Grupos de actores de amenazas

Acordes ocultos de GoldMelody: se develaron los módulos de IIS en memoria del intermediario de acceso inicial
Leer ahora Right arrow
Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message "Network Hacked" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach.
Investigación de amenazas

Los ciberdelincuentes abusan de las herramientas de código abierto para atacar el sector financiero africano
Leer ahora Right arrow
Pictorial representation of LLM content filtering efficacy. Two professionals working intently at computers in a modern office with digital graphs overlaying the image.
Investigación de amenazas

¿En qué medida son buenas las barreras de protección de los LLM del mercado? Estudio comparativo sobre la eficacia del filtrado de contenidos LLM en las principales plataformas de GenAI
Leer ahora Right arrow
Pictorial representation of ELF-based malware like NoodleRAT, Winnti, SSHdInjector, Pygmy Goat and AcidPour. Vibrant futuristic cityscape with glowing neon lines, clouds, and a dramatic sky at twilight.
Investigación de amenazas

Evolución de los binarios de Linux en las operaciones en la nube específicas
Leer ahora Right arrow
Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow