Malware

Resumen sobre amenazas: marzo de 2026: aumento del riesgo cibernético relacionado con Irán (Actualizado el 26 de marzo)

Clock Icon 15 lectura mínima
Related Products
Advanced DNS SecurityAdvanced Threat PreventionAdvanced URL FilteringCloud-Delivered Security ServicesCortexCortex CloudCortex XDRCortex XSIAMNext-Generation FirewallUnit 42 Incident Response iconUnit 42 Incident Response

Resumen ejecutivo

Actualización del 26 de marzo de 2026

A medida que el conflicto en Oriente Medio sigue evolucionando, Unit 42 ofrece una actualización sobre la actividad de ciberamenazas que estamos siguiendo desde la publicación de este informe de amenazas. A fecha de 24 de marzo de 2026, Irán ha superado los 25 días consecutivos de un corte de Internet casi total.

Ataques destructivos recientes

Unit 42 está detectando un aumento del riesgo de ataques de tipo wiper relacionados con el conflicto con Irán. Los actores iraníes tienen un historial que se remonta a 2012 de llevar a cabo ataques destructivos contra objetivos de alta prioridad, lo que pone de manifiesto un patrón de capacidad e intención.

Unit 42 llevó a cabo una investigación exhaustiva sobre los señuelos de phishing relacionados con el conflicto, identificando 7.381 URL de phishing relacionadas que abarcaban 1.881 nombres de host únicos.

La actividad reciente de las amenazas pone de manifiesto una ola generalizada de fraude financiero, robo de credenciales y distribución de contenido ilícito dirigida tanto al sector empresarial como al de los consumidores. Los actores de amenazas se basan en gran medida en la suplantación de entidades de gran confianza, como los principales proveedores de telecomunicaciones, las aerolíneas nacionales, las fuerzas del orden y las empresas energéticas críticas, para engañar a las víctimas.

Las operaciones aprovechan tácticas de evasión ágiles, como la rotación de dominios de nivel superior, el encadenamiento de subdominios y una infraestructura diseñada específicamente para imitar los portales corporativos oficiales y los flujos de trabajo de pago del gobierno. Además, los atacantes están aprovechando de forma oportunista los acontecimientos geopolíticos actuales con señuelos relacionados con conflictos para facilitar estafas generalizadas relacionadas con donaciones y criptomonedas. En última instancia, esta actividad pone de relieve un enfoque sofisticado y múltiple para explotar la confianza en las marcas regionales con el fin de cometer robos financieros y de datos.

Analizamos estos detalles con mayor profundidad en la sección Alcance actual de los ataques: marzo de 2026.

2 de marzo de 2026

El 28 de febrero de 2026, Estados Unidos e Israel lanzaron una importante ofensiva conjunta denominada Operación Epic Fury (EE. UU.) y Operación Roaring Lion (Israel). En las horas posteriores a los primeros ataques, Irán inició una campaña de represalias en múltiples frentes, que ha derivado en un importante conflicto transregional. Unit 42 ha observado una escalada de ciberataques por parte de activistas fuera del país. Sin embargo, creemos que la actividad de amenazas por parte de grupos estatales con base en el país se verá mitigada a corto plazo debido a la limitada conectividad a Internet en Irán.

A partir de la mañana del 28 de febrero de 2026, la conectividad a Internet disponible en Irán se redujo a entre el 1 % y el 4 %. Estimamos que la pérdida de conectividad y la degradación significativa de las estructuras de liderazgo y mando iraníes probablemente obstaculizarán la capacidad de los actores de amenazas alineados con el Estado para coordinar y ejecutar ciberataques sofisticados a corto plazo.

Las unidades cibernéticas alineadas con el Estado podrían estar actuando de forma aislada desde el punto de vista operativo, lo que podría dar lugar a desviaciones respecto a los patrones establecidos anteriormente. Además, el deterioro del mando y control iraní también podría conducir a una autonomía táctica de las células fuera de Irán. Sin embargo, es probable que la capacidad para mantener operaciones cibernéticas sofisticadas se vea reducida debido a las interrupciones operativas.

En cuanto a los actores de amenazas alineados con Irán que operan fuera de la región, estimamos que los grupos hacktivistas atacarán a organizaciones consideradas adversarias, aunque es probable que el impacto de sus acciones sea de importancia baja a media. Otros actores de amenazas alineados con Estados-nación podrían intentar aprovechar la situación para lanzar ciberataques con el fin de promover sus propios intereses.

Los operadores dispersos geográficamente y los ciberproxies afiliados también podrían atacar a los gobiernos de las regiones que albergan bases militares estadounidenses con el fin de perturbar la logística. A corto plazo, se prevé que estas actividades consistan en acciones de perturbación de sofisticación baja a media (por ejemplo, ataques de denegación de servicio distribuido y campañas de piratería y filtración).

Para obtener más detalles sobre las observaciones previas de Unit 42 sobre la actividad cibernética vinculada a grupos respaldados por Irán y hacktivistas, consulte el informe Resumen sobre amenazas: aumento del riesgo cibernético relacionado con Irán (actualizado el 30 de junio). En ese informe se detalla cómo los grupos respaldados por Irán y los hacktivistas están ampliando sus operaciones cibernéticas globales mediante la desfiguración de sitios web, ataques de denegación de servicio distribuido (DDoS), y ataques de exfiltración de datos y borrado de datos. Los principales objetivos de los actores estatales alineados con Irán suelen incluir el espionaje y la perturbación. Las técnicas incluyen el uso de campañas de spear-phishing dirigidas y mejoradas con IA, la explotación de vulnerabilidades conocidas y el uso de infraestructura encubierta para el espionaje.

Los clientes de Palo Alto Networks pueden obtener protección y medidas de mitigación frente a la actividad de los actores de amenazas relevantes a través de los siguientes productos y servicios:

El equipo de respuesta ante incidentes de Unit 42 también puede involucrarse para ayudar con una intrusión o para proporcionar una evaluación proactiva que permita reducir el riesgo.

Temas relacionados con Unit 42 Hacktivismo, DDoS Attacks, Wipers, Phishing

Alcance actual de los ciberataques: marzo de 2026

Dominios relacionados con conflictos

Los atacantes han registrado miles de nuevos dominios relacionados con conflictos. Estos se están utilizando con fines maliciosos, como la creación de tiendas falsas, la organización de estafas de donaciones y el alojamiento de portales de phishing. En las Figuras 1 a 3 se muestran capturas de pantalla de estos dominios.

Página de inicio de la web fraudulenta Science Forward Iran, en la que se destaca el apoyo mundial a la ciencia iraní y la ayuda a Gaza a través de donaciones en criptomonedas. Incluye las opciones Empezar a donar y Más información.
Figura 1. La web fraudulenta iranforward[.]org solicita ayuda humanitaria en forma de donaciones en criptomonedas.
Página web fraudulenta de «Iran Crisis Support» centrada en ayudar a las familias iraníes a comunicarse y acceder a suministros durante las crisis. La página incluye estadísticas como Más de 500 000 iraníes conectados de forma segura, Más de 700 familias apoyadas y Asistencia de emergencia 24/7. Hay botones para Donar mediante transferencia bancaria y Ver actualizaciones sobre la crisis. En una nota al pie se indica que no se aceptan pagos en línea, y se insta a realizar únicamente transferencias bancarias directas.
Figura 2. Dominio fraudulento trumpvsirancoin[.]xyz que solicita ayuda humanitaria para las familias iraníes afectadas por la guerra.

Fraudes financieros y relacionados con las criptomonedas dirigidos a los Emiratos Árabes Unidos

Palo Alto Networks ha identificado dos campañas maliciosas independientes dirigidas a personas de los Emiratos Árabes Unidos (EAU).

  • Una de las campañas consiste en un fraude financiero que se aprovecha de marcas que incluyen la palabra Emirates en su nombre.
  • La segunda consiste en estafas relacionadas con criptomonedas e inversiones que utilizan dominios con la palabra Dubai, y que aprovechan señuelos relacionados con inmuebles de alto valor y estilos de vida de lujo.

En las Figuras 3 y 4 se muestran ejemplos de dominios fraudulentos relacionados con la gestión de activos y la banca.

Página de inicio del sitio web fraudulento de Emirates Crypto Bank, en la que se anuncian servicios de gestión institucional de activos digitales. Se incluyen botones para acceder al portal del cliente y a más información. En la parte inferior aparecen iconos de criptomonedas y sus precios.
Figura 3. Dominio fraudulento emiratescryptobank[.]com.
Página web fraudulenta del Emirates Trust Investment Union Bank. El encabezado incluye enlaces de navegación para la banca personal y empresarial, así como una opción de inicio de sesión. La sección principal muestra un anuncio de Dream Checking con el eslogan Aléjese de las comisiones complicadas. Debajo, hay iconos para cuentas corrientes, cuentas de ahorro y del mercado monetario, depósitos a plazo y préstamos. Se ve una opción de chat en la barra lateral.
Figura 4. Dominio fraudulento emiratesinvestunion[.]com.

Suplantación de identidad dirigida a empresas regionales

Hemos observado dos campañas dirigidas al portal corporativo de una marca regional de telecomunicaciones mediante suplantación de identidad, en las que se utiliza un prefijo de código de marcación falso para imitar el portal corporativo de la empresa. También hemos identificado una campaña de fraude en la facturación que se hace pasar por la misma empresa. Estos atacantes han registrado el mismo concepto de dominio en múltiples dominios de nivel superior, alternando entre ellos a medida que se bloquea cada uno.

Estamos rastreando una oleada de ataques dirigidos contra organizaciones líderes en Arabia Saudí. Los atacantes están implementando una estrategia doble:

  • Phishing de credenciales corporativas altamente personalizado que imita las principales marcas de planificación de recursos empresariales (ERP) para engañar a los empleados.
  • Fraude financiero generalizado

Estas estafas más amplias están diseñadas para atrapar tanto a empleados como a consumidores utilizando lo siguiente:

  • Portales maliciosos de facturación de servicios públicos.
  • Estafas de inversión con marcas corporativas.
  • Sitios bancarios con errores ortográficos que aprovechan el encadenamiento de subdominios de Outlook para engañar a las víctimas (la figura 5 muestra un ejemplo de este tipo de esquema).
Página de inicio de Scam America Invest con parte de la información ocultada. El fondo degradado presenta un diseño con un mapamundi. A la izquierda, el texto anima a asociarse con corredores de élite y a explorar posibilidades de inversión. A la derecha, un formulario de registro solicita el nombre, el correo electrónico y el número de teléfono, junto con un botón que dice Registrarse ahora.
Figura 5. Portal de inversiones fraudulento.

Robo oportunista de datos de tarjetas de crédito

Los atacantes atraen a los usuarios a páginas de pago fraudulentas que imitan a servicios legítimos de entrega de paquetes con el fin de robar los datos de las tarjetas de crédito. Estos sitios maliciosos se caracterizan por utilizar dominios de reciente registro y dominios de alojamiento genéricos, que a menudo incluyen Emirates Post en el subdominio.

Un detalle técnico clave es que los atacantes utilizan la ruta cdn-cgi/phish-bypass en determinados dominios, como traz[.]top. Esta ruta indica una táctica específica diseñada para explotar y eludir los retos de seguridad. En la Figura 6, se muestra un ejemplo.

Página web fraudulenta de Emirates Post para confirmar el envío y pagar los gastos de envío. Incluye secciones para introducir los datos de la dirección, el número de teléfono y la información de pago.
Figura 6. Dominio fraudulento emirates-post[.]racunari-bl[.]com que insta a la víctima a facilitar información confidencial.

Suplantación de identidad de las autoridades gubernamentales de Dubái

En otra campaña con fines económicos, los atacantes se hicieron pasar por entidades gubernamentales legítimas para robar datos de tarjetas de crédito. Concretamente, descubrimos la ruta payment-system/card-process?amount=125 en un dominio diseñado para imitar el proceso de pago de una multa, tal y como se muestra en la Figura 7.

Página web fraudulenta del sistema de consulta y pago de multas de la Policía de Dubái. Incluye secciones para introducir los datos de la matrícula, el número de T.C. y otra información sobre la multa. Hay iconos que indican los diferentes pasos del proceso de consulta; actualmente se encuentra en Datos de la matrícula. En la parte superior se ven una insignia verde y roja y el logotipo de Dubai Police. El texto ofrece un descuento del 50 % en las multas activas.
Figura 7. Dominio fraudulento dubai-polices[.]ae-finesquery[.]com que insta a la víctima a introducir información confidencial.

Suplantación de identidad de bancos iraníes

Los atacantes se hacen pasar por bancos iraníes para engañar a las víctimas y que estas faciliten sus credenciales bancarias. Hemos identificado tres dominios que suplantan la identidad de entidades bancarias iraníes. Uno de ellos utiliza un dominio de nivel superior (TLD) poco habitual relacionado con el juego, lo que sugiere que ha tenido dificultades para registrar un TLD con código de país (ccTLD) tradicional. Otro dominio muestra directamente un formulario de pago a través de la ruta /payment-form/.

Ataques dirigidos a Irán

Hemos identificado una campaña que utiliza indebidamente el nombre del mayor operador de telefonía móvil de Irán como dominio registrable y, a continuación, incorpora una cadena de URL de Microsoft muy convincente en las etiquetas de los subdominios para suplantar una página de recuperación de cuentas de Microsoft.

Dos de los dominios identificados utilizan una técnica que integra marcas reconocidas y de confianza a nivel mundial como subdominios dentro de un dominio registrable malicioso con una marca de Oriente Medio. Esto aprovecha el patrón de lectura de izquierda a derecha de los usuarios, presentando primero el nombre de la marca legítima. Este método es eficaz, puesto que no requiere typosquatting, ya que se utiliza exactamente el nombre real de la marca.

Infraestructura de StealC Infostealer

Nuestro análisis de la infraestructura de StealC reveló una infraestructura adicional y sugiere que los atacantes usan un patrón de numeración incremental en dominios de primer nivel idénticos. Probablemente se trate de una táctica de evasión, en la que los atacantes registran un nuevo dominio con un número incrementado cada vez que se bloquea el anterior.

El flujo del ataque implica un JavaScript malicioso que redirige a las víctimas a una página de alojamiento de archivos,la cual, a su vez, entrega la carga útil de StealC dentro de un archivo ZIP protegido con contraseña. A continuación, en las Figuras 8 y 9, se muestran ejemplos adicionales de estas páginas de alojamiento de archivos.

El sitio web malicioso muestra una interfaz de alojamiento de archivos de FileFire con un diseño oscuro. Indica que se está descargando un archivo comprimido (ZIP). La fecha de subida es el 5 de marzo de 2005 a las 22:49. Entre las características destacadas se incluyen el análisis de malware, la transferencia segura y la descarga rápida.
Figura 8. Página de alojamiento de archivos alpha[.]filehost36[.]sbs que distribuye la carga útil StealC.
Una página web fraudulenta que muestra una entrada de blog titulada TreeGraph: visualización sencilla de datos jerárquicos. Incluye una descripción general y el subtítulo De los datos al diagrama: creación de TreeGraphs interactivos.
Figura 9. Dominio fraudulento hyperfilevault1[.]xyz.
Unit 42 insta a las organizaciones a mantenerse alerta ante las amenazas emergentes relacionadas con este conflicto. Dada la confirmación del uso de programas de borrado de datos, recomendamos encarecidamente a las organizaciones que comprueben y validen sus procedimientos de copia de seguridad y recuperación de datos, así como que refuercen sus sistemas de gestión de identidades y cuentas con privilegios.

Actividad maliciosa previa desde febrero de 2026

Unit 42 ha identificado una campaña activa de phishing que utiliza una réplica maliciosa de la aplicación RedAlert del Comando del Frente Interno de Israel. Esta campaña utiliza un paquete de Android (APK) de apariencia legítima para distribuir malware destinado a la vigilancia móvil y a la sustracción de datos (Figura 10).

Captura de pantalla de un mensaje de texto titulado Oref Alert. El mensaje está en hebreo e incluye un enlace de Bitly.
Figura 10. Mensaje de phishing por SMS para descargar una aplicación maliciosa llamada RedAlert.

También hemos observado un aumento de la actividad hacktivista, con unas estimaciones de 60 grupos activos, incluidos grupos prorrusos a fecha de 2 de marzo de 2026. Múltiples personas y colectivos alineados con el Estado iraní han reivindicado la autoría de una serie de operaciones disruptivas, varias de las cuales están asociadas a la recientemente creada Sala de Operaciones Electrónicas, constituida el 28 de febrero de 2026. Entre las entidades clave observadas se incluyen:

  • Handala Hack, una figura hacktivista vinculada al Ministerio de Inteligencia y Seguridad de Irán (MOIS), es la figura iraní más destacada. Esta figura combina la exfiltración de datos con operaciones cibernéticas contra el sistema político y de defensa israelí.
    • Reivindicó la responsabilidad de comprometer una empresa israelí de exploración energética.
    • Asumió la responsabilidad de haber comprometido los sistemas de combustible de Jordania.
    • Afirmó tener como objetivo la sanidad civil israelí para generar presión interna pocos días antes de que estallara la guerra cinética.
  • APT Iran, un colectivo hacktivista proiraní que ha ganado notoriedad por sus operaciones de hackeo y filtración.
    • Asumió la responsabilidad del sabotaje de la infraestructura crítica de Jordania.
  • La Resistencia Cibernética Islámica, un colectivo paraguas proiraní que coordina múltiples equipos de hacktivistas, incluidos grupos como RipperSec y Cyb3rDrag0nzz, para lanzar ataques DDoS sincronizados, operaciones de borrado de datos y desfiguraciones de sitios web contra infraestructuras israelíes y occidentales.
    • Se atribuyó la responsabilidad de haber comprometido un sistema de defensa y detección de drones.
    • Se atribuyó la responsabilidad de haber comprometido la infraestructura de pagos israelí.
  • Dark Storm Team (también conocido como DarkStorm o MRHELL112) es un colectivo pro-palestino y pro-iraní especializado en ataques DDoS y ransomware a gran escala.
    • Afirmó haber atacado varios sitios web israelíes, incluido un banco israelí, con ataques DDoS.
  • El equipo FAD (al que a menudo se hace referencia en los informes como Fatimiyoun Cyber Team o Fatimion) está compuesto por actores pro-régimen que se centran en el malware de borrado y la destrucción permanente de datos.
    • Asumió la responsabilidad a través de su foro público de Telegram por obtener acceso no autorizado a múltiples sistemas SCADA/PLC en Israel y otros países.
    • Asumió la responsabilidad a través de su canal público de Telegram por haber obtenido acceso no autorizado a sistemas de control asociados a más de 24 dispositivos privados pertenecientes a una empresa de servicios de seguridad israelí.
    • Llevó a cabo un ataque contra un medio de comunicación turco
  • Evil Markhors es un grupo proiraní que suele especializarse en el robo de credenciales y en la identificación de sistemas críticos sin parches.
    • Asumió la responsabilidad a través de su canal público de Telegram de haber atacado el sitio web de un banco israelí.
  • Sylhet Gang (a menudo citado como Sylhet Gang-SG) actúa como amplificador de mensajes y motor de reclutamiento para el frente hacktivista proiraní y participa en ataques DDoS.
    • Asumió la responsabilidad a través de su canal público de Telegram de haber atacado los sistemas HCM y de gestión interna del Ministerio del Interior de Arabia Saudí.
  • El Equipo 313 (Resistencia Cibernética Islámica en Irak) es una célula hacktivista proiraní en activo.
    • Se ha atribuido la responsabilidad de los ataques contra el sitio web de las Fuerzas Armadas de Kuwait
    • Se ha atribuido la responsabilidad de los ataques contra el sitio web del Ministerio de Defensa de Kuwait
    • Se ha atribuido la responsabilidad de los ataques contra el sitio web del Gobierno de Kuwait
  • DieNet es un grupo hacktivista proiraní que lleva a cabo ataques DDoS contra diversas organizaciones en todo Oriente Medio.
    • Reclamó la autoría de un ataque contra un aeropuerto en Baréin
    • Reclamó la autoría del ataque al aeropuerto de Sharjah en Arabia Saudí.
    • Reclamó la autoría del ataque al sitio web del Banco de Riad.
    • Reclamó la autoría, a través de su canal público de Telegram, del ataque al Banco de Jordania.
    • Reclamó la autoría, a través de su canal público de Telegram, del ataque a un aeropuerto en los Emiratos Árabes Unidos.

Según se ha informado, el grupo Handala Hack también amenazó de muerte directamente por correo electrónico (como se muestra en la Figura 11) a un influencer iraní-estadounidense y a otro iraní-canadiense, alegando que había filtrado sus direcciones particulares a agentes sobre el terreno en sus respectivos lugares de residencia.

Este tipo de acciones supone una escalada de las actividades cibernéticas amenazantes dirigidas contra quienes se consideran críticos de Irán.

Correo electrónico de una persona supuestamente llamada Hussain Ali, con fecha del 1 de marzo de 2026. El asunto hace referencia a Muerte a..., con una línea censurada. El correo electrónico afirma su afiliación a un grupo llamado Handala Hack team y menciona a Ali Hosseini Khamenei, declarando la guerra a entidades no especificadas. En el mensaje se menciona a Occidente, al cartel CJNG y se hace referencia a operaciones en Estados Unidos y Canadá, así como al programa de Piers Morgan. Hay amenazas y menciones a California y Ontario. l correo electrónico termina con la frase ALLAHU AKBAR.
Figura 11. Correo electrónico con amenazas de muerte de Handala Hack dirigido a personas influyentes de Estados Unidos y Canadá.

Otras actividades de grupos de amenazas

Según se informa, los ciberdelincuentes están aprovechando el conflicto para atacar a personas en los Emiratos Árabes Unidos mediante una estafa de vishing basada en ingeniería social con el fin de robar credenciales. Los actores de amenazas llaman a las posibles víctimas haciéndose pasar por el Ministerio del Interior, alegando que están confirmando la recepción de una alerta nacional y solicitando el número de identificación de los Emiratos (EID) de la víctima para su verificación.

El grupo de ransomware como servicio (RaaS) Tarnished Scorpius (también conocido como INC Ransomware) ha incluido en su sitio web de filtraciones a una empresa israelí de maquinaria industrial y ha sustituido el logotipo de la empresa por una esvástica.

Actividad de hacktivistas prorrusos

Cardinal, un grupo de hacktivistas prorrusos, afirmó haber atacado los sistemas de las Fuerzas de Defensa de Israel (FDI) a través de su canal público de Telegram. Se considera que el grupo está vinculado al Estado, pero es probable que opere de forma independiente y sin financiación estatal directa. El grupo afirma haberse infiltrado en las redes de las FDI haciendo referencia a un documento supuestamente confidencial relacionado con Magen Tsafoni (Escudo del Norte). El documento publicado incluye detalles de movimientos operativos, autorizaciones de mando e información de contacto.

El grupo hacktivista prorruso NoName057(16) ha reivindicado múltiples objetivos israelíes, incluidas operaciones de desestabilización contra una serie de entidades municipales, políticas, de telecomunicaciones y relacionadas con la defensa de Israel.

El colectivo hacktivista prorruso Russian Legion afirmó tener acceso al sistema de defensa antimisiles Cúpula de Hierro de Israel. En su publicación, afirmaron estar controlando radares, interceptando objetivos y realizando un seguimiento en tiempo real, con informes de parálisis del sistema y pérdida del control de interceptación. El grupo también reivindicó una nueva operación cibernética que, según afirma, comprometió servidores cerrados de las FDI.

Ataques patrocinados por el Estado

Unit 42 rastrea a diversos agentes iraníes patrocinados por el Estado que llevan el nombre de la constelación Serpens. Estos grupos podrían aumentar o intensificar su actividad en las próximas semanas.

Las capacidades cibernéticas iraníes patrocinadas por el Estado, a menudo, se utilizan para proyectar y amplificar mensajes políticos (con frecuencia, mediante tácticas destructivas y psicológicas). Es probable que se centren en objetivos regionales (por ejemplo, Israel), así como en lo que consideran objetivos de alto valor (por ejemplo, políticos, principales responsables de la toma de decisiones y otras entidades directamente implicadas).

Las campañas patrocinadas por el Estado pueden dirigirse a las cadenas de suministro, la infraestructura crítica, los vendedores o los proveedores de las víctimas.

Conclusión

Dada la naturaleza tan cambiante de esta situación, lo más eficaz es una defensa en varias capas, ya que ninguna herramienta por sí sola puede ofrecer una protección total. Recomendamos centrarse en la higiene de seguridad básica, un enfoque comprobado que proporciona una protección resistente contra una amplia gama de tácticas.

También recomendamos tomar las siguientes precauciones para ayudar a mitigar el impacto de posibles ataques. Estas recomendaciones concuerdan con las orientaciones proporcionadas anteriormente.

Recomendaciones tácticas

  • Garantizar que al menos una copia de los datos críticos se almacene fuera de línea (en un entorno aislado) para mitigar los riesgos derivados del cifrado o la eliminación de las copias de seguridad almacenadas en la red.
  • Implementar una verificación estricta “fuera de banda” para las solicitudes entrantes a través de soportes físicos, comprobándolas a través de un canal corporativo independiente y de confianza.
  • Aumentar la respuesta a cualquier señal de amenaza en la medida de lo posible, especialmente aquellas asociadas a activos accesibles desde Internet, como sitios web, puertas de enlace de redes privadas virtuales (VPN) y activos en la nube.
  • Garantizar que la infraestructura accesible desde Internet esté actualizada con parches de seguridad y otras prácticas recomendadas de refuerzo.
  • Capacitar a los empleados en tácticas de phishing e ingeniería social y vigilar continuamente las actividades sospechosas.
  • Considerar la posibilidad de bloquear las direcciones IP de regiones específicas de alto riesgo en las que no se desarrollen actividades comerciales legítimas.
  • Preparar un plan de comunicación sólido para diferenciar entre el acceso no autorizado y el compromiso del sistema, ya que los grupos hacktivistas suelen exagerar su alcance. Determinar el alcance y verificar rápidamente el posible compromiso puede evitar el pánico entre la población.
  • Seguir atento a las actualizaciones de organismos cibernéticos de confianza, como el Centro Nacional de Ciberseguridad del Reino Unido y la página de avisos y resúmenes sobre amenazas de Irán de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU.

Recomendaciones estratégicas

  • Iniciar o actualizar los planes de continuidad de la actividad para el personal o los activos que los ataques digitales o físicos puedan perturbar.
  • Prepararse para validar y responder a declaraciones de vulneraciones o filtraciones de datos.
    • Los actores de amenazas podrían utilizar las declaraciones (aunque sean falsas) para avergonzar o acosar a las víctimas, o para difundir discursos políticos.

Como es probable que la actividad siga intensificándose mientras duren estos acontecimientos, es importante mantenerse alerta ante posibles ataques. Los hacktivistas y los actores de amenazas apoyados por el Estado han sido oportunistas, lo que ha llevado a que fuentes potencialmente inesperadas se hayan convertido en objetivos.

Actualizaremos este resumen de amenazas a medida que dispongamos de más información pertinente.

Cómo pueden ayudar Palo Alto Networks y Unit 42

Los clientes de Palo Alto Networks pueden aprovechar varias protecciones y actualizaciones de productos para identificar y defenderse de amenazas relacionadas con aspectos de estos acontecimientos.

Si cree que podría haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42 o llame al:

  • Norteamérica: llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Oriente Medio: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 000 800 050 45107
  • Corea del Sur: +82.080.467.8774

Firewall de nueva generación y Prisma Access con prevención de amenazas avanzada

La prevención de amenazas avanzada cuenta con una detección integrada basada en aprendizaje automático que puede detectar exploits en tiempo real.

Servicios de seguridad entregados en la nube para el firewall de nueva generación

URL Filtering avanzado yAdvanced DNS Security identifican las URL y los dominios conocidos asociados con esta actividad como maliciosos.

Cortex

Cortex XDR, XSIAM y Cortex Cloud están diseñados para evitar la ejecución de malware malicioso conocido. También están diseñados para impedir la ejecución de malware desconocido y otras actividades maliciosas mediante la protección frente a amenazas de comportamiento y el aprendizaje automático basado en el módulo de análisis local.

Recursos adicionales

Indicadores de vulneración

  • hxxps[:]www[.]shirideitch[.]com/wp-content/uploads/2022/06/RedAlert[.]apk
  • hxxps[:]//api[.]ra-backup[.]com/analytics/submit.php
  • hxxps[:]//bit[.]ly/4tWJhQh
  • media.megafilehost2[.]sbs
  • cache3.filehost36[.]sbs
  • alpha.filehost36[.]sbs
  • srv2.filehost37[.]sbs
  • arch2.megadatahost3[.]homes
  • media.hyperfilevault2[.]mom
  • hyperfilevault2[.]mom
  • www.hyperfilevault2[.]mom
  • arch2.maxdatahost1[.]cyou
  • hyperfilevault1[.]xyz
  • hyperfilevault3[.]mom
  • hyperfilevault3[.]pics
  • pnd.86c.mytemp[.]website
  • d1g.ccd.mytemp[.]website
  • s0u.210.mytemp[.]website
  • 2pd.f22.mytemp[.]website
  • eg3.db1.mytemp[.]website
  • f43.c76.mytemp[.]website
  • kzw.ce3.mytemp[.]website
  • c45.94b.mytemp[.]website
  • kmd.8cd.mytemp[.]website
  • c1y.bf3.mytemp[.]website
  • m1w.4a0.mytemp[.]website
  • njb.551.mytemp[.]website
  • 2b1.916.mytemp[.]website
  • 92j.130.mytemp[.]website
  • b1z.0f6.mytemp[.]website
  • b0p.c0d.mytemp[.]website
  • nxj.e57.mytemp[.]website
  • pro.iranpanel[.]life
  • www.iran2026[.]org
  • iranpaye[.]com
  • www.forever-iran[.]net
  • irandonation[.]org
  • irancross[.]shop
  • aramcoamericainvest[.]com
  • trumpvsirancoin[.]xyz
  • iran[.]drproxy[.]pro
  • iran2[.]drproxy[.]pro
  • iran11[.]drproxy[.]pro
  • iran14[.]drproxy[.]pro
  • iran15[.]drproxy[.]pro
  • iran16[.]drproxy[.]pro
  • iran18[.]drproxy[.]pro
  • iran19[.]drproxy[.]pro
  • tehran[.]t2.drproxy[.]pro
  • emiratesinvestunion[.]com
  • buydubaipropertywithcrypto[.]com
  • cryptocurrencies-offers[.]com
  • the-dubai-lifestyleapp.cryptocurrencies-offers[.]com
  • emiratescryptobank[.]com
  • secretemirates[.]com
  • emiratespost-pay[.]com
  • ae-payapp[.]com
  • www.emirates-post[.]ae-payapp[.]com
  • traz[.]top
  • emiratespost[.]traz[.]top/cdn-cgi/phish-bypass?atok=
  • emirates-post[.]racunari-bl[.]com/en/card.php
  • myemiratespost[.]click
  • emirates-ae[.]pack-541202699[.]azmtrust[.]com
  • portal[.]sapb-aramco[.]com
  • cnmaestro[.]sapb-aramco[.]com
  • saudi-bill-pay[.]com
  • saudidigtalbank[.]com
  • outlook[.]outlook[.]saudidigtalbank[.]com
  • aramcoamericainvest[.]com
  • dubaicustonms[.]top
  • dubai-custboms[.]top
  • dubai-custbims[.]top
  • dubai-customs[.]top
  • dubaicustoms[.]top
  • dubaicuctoms[.]com
  • dubaiicuctoms[.]com
  • gov-tollbillba[.]life
  • com-govauv[.]top
  • dubaipolice[.]gov-tollbillba[.]life
  • govauv[.]top
  • portal[.]0111etisalat[.]com
  • www[.]portal[.]0111etisalat[.]com
  • superset[.]0111etisalat[.]com
  • www[.]superset[.]0111etisalat[.]com
  • yoshi[.]0111etisalat[.]com
  • _dmarc[.]www[.]portal[.]0111etisalat[.]com
  • etisalatquickpay[.]com
  • etisalataccountquickpayae[.]top
  • etisalataccount-quickpayae[.]click
  • cover[.]www[.]microsoft[.]com[.]irancell[.]courses
  • recovery[.]cover[.]www[.]microsoft.com[.]irancell[.]courses
  • bankofamerica[.]com[.]oidscreen[.]gorequestlocale[.]emiratesbankgroup[.]info
  • appleid[.]apple[.]com-update[.]required[.]kontol[.]emiratesbankgroup[.]info
  • store[.]appleid-apple[.]com-confirmation[.]verif[.]emiratesbankgroup[.]info
  • bankiran[.]bet
  • irandargah[.]com
  • iransupports[.]cyou
  • iransupporttyst[.]cyou
  • iransupasdports[.]cyou
  • iransusdpportsdf[.]cyou
  • firansupport[.]cyou
  • kiransupport[.]cyou
  • trdfiransupport[.]cyou
  • airansupasdports[.]cyou
  • biransupasdports[.]cyou
  • kiransupportsdf[.]cyou
  • fkiransusdpportsdf[.]cyou
  • sffifdsfsransupasdports[.]cyou
  • portal.0111etisalat[.]com
  • superset[.]0111etisalat[.]com
  • yoshi[.]0111etisalat[.]com
  • _dmarc[.]www[.]portal[.]0111etisalat[.]com
  • etisalatquickpay[.]com
  • etisalataccountquickpayae[.]top
  • etisalataccount-quickpayae[.]click

Actualizado el 26 de marzo de 2026 a las 2:00 p.m. (hora del Pacífico) para añadir información sobre los mensajes de phishing relacionados con el conflicto.

Actualizado el 30 de marzo de 2026, a las 3:15 p. m. PT, para editar la lista de indicadores.

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Recursos

Pictorial representation of phishing campaign. A blurred image focusing on a person typing on a laptop with lines of code visible on the screen, illuminated in blue and red lights, suggestive of intense coding or cyber activities.
Investigación de amenazas

Resumen sobre amenazas: plan de contratación que suplanta la identidad del equipo de adquisición de talentos de Palo Alto Networks
Leer ahora Right arrow
Pictorial representation of Notepad++ supply chain compromise. A digital rendering of Earth from space, focusing on North and South America. The continents are illuminated in blue, with red lines and dots indicating data connections across various locations. Dark background highlights the vibrant network representation.
Amenazas sofisticadas

Actores de amenazas de estados-nación explotan la cadena de suministro de Notepad++
Leer ahora Right arrow
Pictorial representation of runtime assembly attacks. Digital artwork of a glowing, futuristic shield disintegrating into small particles, set against a dark blue, bokeh-effect background.
Investigación de amenazas

La próxima frontera de los ataques de ensamblado en tiempo de ejecución: aprovechamiento de los LLM para generar JavaScript de phishing en tiempo real
Leer ahora Right arrow
Pictorial representation of SLOW#TEMPEST campaign. Digital artwork depicting a malware alert symbol on a computer screen, with background of blurred programming code in blue and red colors.
Investigación de amenazas

VVS Discord Stealer utiliza Pyarmor para ofuscación y evasión de detección
Leer ahora Right arrow
Pictorial representation of RaaS RansomHouse. Digital representation of cybersecurity concept with a padlock superimposed over computer circuit boards, symbolizing data protection and encryption technologies.
Investigación de amenazas

De lo lineal a lo complejo: una actualización del cifrado de RansomHouse
Leer ahora Right arrow
Pictorial representation of APT Ashen Lepus. The silhouette of a hare and the Lepus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies.
Grupos de actores de amenazas

Ashen Lepus, afiliado a Hamás, ataca a entidades diplomáticas de Oriente Medio con el nuevo conjunto de malware AshTag
Leer ahora Right arrow
Pictorial representation of 01flip ransomware written in Rust. Digital artwork of a pixelated U.S. dollar bill disintegrating into small blocks against a blue data matrix background.
Investigación de amenazas

01flip: ransomware multiplataforma escrito en Rust
Leer ahora Right arrow
Pictorial representation of the npm packages supply chain attack. A blurred image focusing on a person typing on a laptop with lines of code visible on the screen, illuminated in blue and red lights, suggestive of intense coding or cyber activities.
Amenazas sofisticadas

El gusano “Shai-Hulud” compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)
Leer ahora Right arrow
Pictorial representation of malicious LLMs. Close-up view of a digital wall displaying various glowing icons, representing a high-tech network interface.
Investigación de amenazas

El dilema del doble uso de la IA: LLMs maliciosos
Leer ahora Right arrow
Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow