La ciberseguridad en Medio Oriente se ha alterado por el conflicto entre Irán e Israel, que tiene el apoyo de Estados Unidos. No obstante, reportes de firmas especializadas indican que la actividad digital no se ha extendido fuera de la región.

A la fecha, toda la actividad cibernética de Irán se ha dirigido a Israel y otros países del Golfo Pérsico, siendo la mayor parte intentos de desinformación, ciberespionaje y ataques de denegación de servicio distribuido (DDoS) por parte de los muchos grupos activistas de Irán.

Aunque múltiples grupos de hackers iraníes también han atacado cámaras de vigilancia IoT desde que comenzó la guerra el pasado 28 de febrero, de acuerdo con un informe de Check Point.

Si bien algunos hacktivistas vinculados al Gobierno iraní tienen la capacidad de lanzar ataques cibernéticos destructivos, sus intrusiones suelen ser más con fines de exhibición y para alardear con atacantes sobre su éxito.

Esto lo confirmó un reporte de la Unidad de Contraamenazas de Sophos, que ha monitoreado un volumen elevado de conversaciones hacktivistas iraníes en Telegram, X y foros clandestinos, pero hasta el 3 de marzo —fecha del informe— no había observado ataques de represalia de alta sofisticación.

La mayoría de los presuntos ataques, detalla la investigación de Sophos, se han centrado en la desfiguración de sitios web, DDoS y la divulgación de información personal de personas vinculadas al Gobierno israelí, el ejército y organizaciones asociadas.

Ciberataques de hacktivistas fuera de Irán

Además de los grupos iraníes, el equipo de inteligencia de amenazas Unit 42 de Palo Alto Networks reportó una escalada de ciberataques por parte de activistas de fuera del país.

En un informe el pasado 2 de marzo, destacó un aumento en la actividad hacktivista, con algunas estimaciones de 60 grupos individuales activos, incluidos grupos prorrusos.

La firma pronosticó que la actividad amenazante de los grupos de estados-nación con sede en Irán se verá mitigada en el corto plazo debido a la limitada conectividad a internet en el país.

Irán compromete cámaras para reconocimiento digital

Check Point rastreó “cientos” de intentos para explotar un puñado de vulnerabilidades en cámaras IP en todo Israel y otros países del Medio Oriente fabricadas por dos proveedores: Hikvision y Dahua.

Los países objetivo en estos intentos de intrusión digital (Israel, Qatar, Baréin, Kuwait, Emiratos Árabes Unidos, Chipre y el Líbano) son los mismos que han visto una actividad significativa de misiles vinculada a Irán. Irán utiliza tradicionalmente el reconocimiento digital, incluyendo cámaras comprometidas, para prepararse para ataques físicos.

En junio de 2025, grupos de amenazas vinculados al Ministerio de Inteligencia y Seguridad de Irán comprometieron servidores que contenían transmisiones de CCTV en vivo desde Jerusalén, lo que permitió al grupo vigilar la ciudad en busca de objetivos potenciales, solo unos días antes de lanzar ataques con misiles contra esa ciudad.

Esta actividad más reciente de ataque a cámaras desde infraestructura atribuida a “varios actores de amenazas vinculados a Irán” puede ser un “indicador temprano de una potencial actividad cinética posterior“, explicaron los investigadores de Check Point en un informe de inteligencia de amenazas publicado el 4 de marzo.

Vulnerabilidades explotadas en las cámaras IP

De acuerdo con la firma de ciberseguridad con sede en Tel Aviv (Israel) , la infraestructura de ataque combinó nodos de salida de VPN comerciales —incluyendo Mullvad, ProtonVPN, Surfshark y NordVPN— y servidores privados virtuales, que los iraníes utilizaron para escanear vulnerabilidades en las cámaras de ambos fabricantes.

“No se observaron intentos de interactuar con otros proveedores de cámaras desde esta infraestructura”, escribieron los investigadores.

Resumen de vulnerabilidades críticas en infraestructura IoT (marzo 2026)

CVE Fabricante Tipo de Vulnerabilidad Impacto Potencial CVE-2017-7921 Hikvision Autenticación inadecuada Acceso no autorizado al feed de video. CVE-2021-36260 Hikvision Inyección de comandos (Web Server) Ejecución de código remoto con privilegios. CVE-2023-6895 Hikvision Inyección de comandos (OS) Control total del sistema de intercomunicación. CVE-2025-34067 Hikvision Ejecución remota de código (RCE) Compromiso total de la plataforma de gestión. CVE-2021-33044 Dahua Bypass de autenticación Omisión de credenciales en el inicio de sesión.

Todas estas fallas de seguridad tienen parches. Check Point informó que rastreó objetivos similares durante la guerra de 12 días entre Israel e Irán en junio de 2025, probablemente para apoyar la evaluación de daños de batalla.

En uno de esos casos, señaló, Irán alcanzó al Instituto de Ciencia Weizmann de Israel con un misil balístico poco después de comprometer una cámara de calle que apuntaba al edificio.

Prevén los ciberataques alcancen a EU

Sophos advirtió que si bien gran parte del enfoque de esta actividad hacktivista iraní se ha dirigido a organizaciones e intereses israelíes, el papel de Estados Unidos en los ataques podría aumentar el riesgo de ataques de represalia contra organizaciones estadounidenses.

El líder del Grupo de Inteligencia de Amenazas de Check Point, Sergey Shykevich, coincidió. En entrevista con el sitio The Register, afirmó que aún no han observado ningún ataque o intento contra objetivos estadounidenses; sin embargo, advirtió: “Estimamos que esto puede expandirse en los próximos días o semanas”.

Más allá de los Estados del Golfo, solo el Reino Unido ha emitido una advertencia de ciberseguridad. El Centro Nacional de Seguridad Cibernética (NCSC) alertó a las organizaciones británicas sobre un mayor riesgo de ciberataques iraníes en medio del conflicto en curso en el Medio Oriente.

“Es casi seguro que el Estado iraní y los actores cibernéticos vinculados a Irán mantienen actualmente al menos cierta capacidad para realizar actividades cibernéticas”, señaló el NCSC tras señalar que el riesgo es mayor para para aquellas organizaciones y entidades que tienen presencia, o cadenas de suministro en la región.

En junio de 2025, el Departamento de Seguridad Nacional (DHS por sus siglas en inglés) de Estados Unidos advirtió sobre los crecientes riesgos de ciberataques por parte de grupos de piratas informáticos respaldados por Irán y hacktivistas proiraníes debido a los disturbios en el Medio Oriente.

Estrategia de Mitigación

Ante el incremento de la actividad táctica iraní en el ciberespacio, los especialistas sugieren tres acciones inmediatas:

Auditoría de activos IoT: Identificar dispositivos Hikvision y Dahua en la red y verificar que cuentan con las versiones de firmware más recientes.

Identificar dispositivos Hikvision y Dahua en la red y verificar que cuentan con las versiones de firmware más recientes. Segmentación de red: Aislar las redes de videovigilancia y sensores IP del resto de la infraestructura crítica corporativa.

Aislar las redes de videovigilancia y sensores IP del resto de la infraestructura crítica corporativa. Monitoreo de Nodos VPN: Configurar alertas sobre intentos de conexión desde proveedores de VPN comerciales conocidos (Mullvad, NordVPN, etc.) hacia interfaces de gestión de dispositivos.

FAQ estratégico sobre la ciberamenaza en Medio Oriente

¿Cómo utiliza Irán el hackeo de cámaras IP en su estrategia militar? Irán emplea el reconocimiento digital para prepararse para ataques físicos (actividad cinética). Al comprometer cámaras de vigilancia IoT y sistemas de CCTV, los grupos vinculados al Ministerio de Inteligencia y Seguridad pueden vigilar objetivos en tiempo real, identificar vulnerabilidades físicas y realizar evaluaciones de daños tras ataques con misiles, como se observó en el Instituto de Ciencia Weizmann.

¿Cuáles son los vectores de ataque más comunes utilizados por los hacktivistas iraníes? La actividad se concentra en ataques de denegación de servicio distribuido (DDoS), desfiguración de sitios web (defacement) y la filtración de datos personales (doxing). Para el acceso a infraestructura, utilizan nodos de salida de VPN comerciales y explotan vulnerabilidades críticas en dispositivos de fabricantes específicos como Hikvision y Dahua.

¿Existe riesgo de que estos ataques se extiendan a organizaciones occidentales? Sí. Aunque el foco principal ha sido Israel y el Golfo Pérsico, tanto el NCSC del Reino Unido como el Departamento de Seguridad Nacional de EE. UU. han emitido advertencias. El papel de apoyo de estos países a Israel incrementa el riesgo de ataques de represalia contra organizaciones británicas y estadounidenses, especialmente aquellas en sectores críticos o con cadenas de suministro en Medio Oriente.

¿Por qué las vulnerabilidades CVE-2017-7921 y CVE-2021-36260 siguen siendo críticas? Aunque existen parches desde hace años, la falta de una política de actualización robusta en dispositivos IoT permite que estas fallas de inyección de comandos y autenticación inadecuada sigan siendo explotables. Los atacantes iraníes aprovechan este “parque tecnológico” desactualizado para obtener persistencia en redes estratégicas.