Los hackers de Irán: la guerra oculta que le cuesta millones de dólares a EEUU e Israel

La semana pasada reportamos que el grupo hacker iraní, Handala, habría hackeado a la Marina de EE.UU. para revelar sus posiciones a Teherán. No obstante, pese a lo llamativo del suceso, el uso de los hackers se ha convertido en una de las grandes herramientas de Irán para golpear a sus rivales y combatir en la guerra asimétrica.

Y es que Irán, consciente de su debilidad estratégica frente a sus rivales como Israel o EEUU, lleva más de una década desarrollando una amplia red de saboteadores digitales y dinámicos que, con colaboración del Estado, le permiten reaccionar a las necesidades y demandas de su defensa, así como mantener presión sobre sus rivales.

Los grupos hackers

En el año 2010 la planta nuclear de Natanz, en Irán, fue atacada con el gusano informático Stuxnet. El malware fue capaz de saltar los sistemas de control y vigilancia de la planta para tomar el control de 1.000 máquinas que participaban en la producción de materiales nucleares y les dio la orden de autodestruirse, cosa que finalmente ocurrió. Más allá del obvio coste económico, este ataque representó el primer caso de un efecto directo del mundo «informático» en la vida real, en este caso, mediante el sabotaje y colapso de varias máquinas especializadas.

Aquel ataque fue atribuido a los servicios de inteligencia israelíes y norteamericanos y, más allá de retrasar el programa nuclear iraní, introdujo en la mentalidad de la República Islámica la necesidad de prepararse para escenarios de guerra no convencional donde no un bombardeo, sino un virus, puede acabar con años de trabajo y millones invertidos.

Irán no deja que sus ciberataques funcionen de forma desorganizada. Todo está dirigido desde el más alto nivel del régimen a través de dos instituciones clave: la Guardia Revolucionaria (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS). Estos organismos financian, entrenan, dan objetivos y coordinan las operaciones, pero lo hacen de manera inteligente para poder negar cualquier responsabilidad directa y dependiendo de grupos teóricamente independientes pero que reciben de Teherán los principios rectores de su actuación.

En general, la Guardia Revolucionaria controla a los grupos más directos y asociados con las ofensivas contra las infraestructuras críticas. El ejemplo más claro es CyberAv3ngers (también conocido como Shahid Kaveh o Storm-0784), que actúa como una unidad oficial dentro del Comando Cibernético-Electrónico del IRGC. Según las agencias estadounidenses, recibe órdenes directas, recursos y objetivos estratégicos del Estado. Cuando Irán quiere responder a un bombardeo, este grupo ataca sistemas de agua, energía o fábricas para causar disrupciones reales, aunque públicamente se presente como un colectivo de «hacktivistas» sin filiación partidista.

Por otro lado, el Ministerio de Inteligencia realiza, según agencias norteamericanas, labores más asociadas al espionaje y la infiltración en organizaciones. Grupos como MuddyWater (Seedworm) y Handala Hack Team-recientemente célebre por sus actividades de acoso y espionaje a las tropas de EEUU en la región- están vinculados directamente a este ministerio. Handala, por ejemplo, es descrito como una «personalidad ficticia» creada por el MOIS para realizar ataques visibles, filtrar correos y generar impacto mediático. MuddyWater se encarga de entrar silenciosamente en redes empresariales y gubernamentales para robar información durante largos periodos.

Los objetivos de los hackers

Irán ha planteado su estrategia de ciberataques no desde la idea de hacer colapsar al ejército o causar enormes pérdidas, ya que, en general, esto resulta complicado. En su lugar, tal y como informa el CSIS (Center for Strategic and International Studies), el objetivo es, principalmente, causar «ruido», debilitar las estructuras y hacer que los países enemigos destinen recursos extra a la defensa informática. Así, en general, estos grupos actuarían bajo tres objetivos o estrategias principales y bien diferenciadas, aunque todas ellas se enmarcarían en lo que podríamos considerar «guerra informática».

En primer lugar, existe el ataque contra infraestructuras y sistemas clave. En este caso, es el menos habitual, ya que implica una serie de importantes complicaciones organizativas y técnicas, aunque en caso de realizarse correctamente, es el tipo de ataque que más daños genera. De acuerdo con la consultora de seguridad Halcyon en su informe de seguridad publicado este marzo de 2026, los hackers iraníes mantienen una presión constante contra los sistemas conectados a red en EE.UU. e Israel, tratando de introducirse en los sistemas clave de plantas eléctricas, edificios gubernamentales o sistemas de defensa.

De hecho, en 2019 protagonizaron un destacado ataque sobre el área de Baltimore, logrando hackear sistemas estatales y de cientos de ciudadanos. Los iraníes consiguieron entrar sin permiso a los sistemas informáticos de sus víctimas y mantuvieron ese acceso durante meses. Una vez dentro, copiaban información sensible de las redes infectadas y la trasladaban a servidores privados virtuales que ellos mismos controlaban. Además, desplegaron el ransomware Robbinhood, que cifraba todos los archivos de las víctimas y luego exigían un rescate en Bitcoin a cambio de la clave necesaria para desbloquearlos. Este ataque, aparte del caos derivado, generó decenas de millones de dólares en pérdidas y una quiebra de los sistemas de seguridad del gigante norteamericano.

El segundo tipo de ataque, más discreto aunque no por ello menos relevante, es el enfocado en sabotear de forma indirecta las cadenas de información. En este caso, el objetivo de los hackers es, aprovechando la interconectividad de los sistemas informáticos en el mundo entero, atacar puntos clave para causar que los sistemas, interdependientes unos de otros, comiencen a colapsar. Uno de los casos recientes más destacables se produjo el pasado marzo, cuando Handala atacó a la compañía médica Stryker con el objetivo de acceder a sus bancos de datos. Allí, fueron capaces de afectar, según los datos reportados, hasta 200.000 dispositivos, poniendo en riesgo datos, informaciones personales y líneas de suministro.

El último tipo de actividades son aquellas enfocadas al sabotaje informativo, la guerra psicológica y la propaganda. Aquí destacan los accesos a teléfonos personales para enviar amenazas, como realizó Handala el mes pasado a decenas de militares de EEUU. Así, por ejemplo, el pasado abril el periódico del ejército de EEUU, Stars and Stripes, informaba de que varios grupos hacker iraníes habían logrado tomar el control de dispositivos de los soldados para enviar mensajes amenazantes como «te tenemos vigilado» o «sugerimos que llaméis a vuestras familias ahora y os despidáis por última vez.» También se producen filtraciones de datos personales y documentos comprometedores que se viralizan rápidamente, dando una suerte de argumentario y generando campañas mediáticas para defender y legitimar su causa.

De la misma manera, parte importante de la labor de estos grupos, como decíamos, es causar un clima de terror generalizado. Es decir, compartir a través de sus redes supuestos ataques realizados o amenazas a infraestructuras clave para generar un clima de tensión que obligue a destinar recursos a la defensa de ciertos elementos que, en muchos casos, nunca fueron un objetivo real. Aunque el alto el fuego de abril redujo la intensidad de las operaciones, la amenaza no ha desaparecido. Los hackers iraníes han demostrado ser una herramienta barata, persistente y difícil de neutralizar dentro de la doctrina de «resistencia» de Teherán.