{"id":176227,"date":"2026-03-16T08:43:25","date_gmt":"2026-03-16T15:43:25","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=176227"},"modified":"2026-03-27T08:51:12","modified_gmt":"2026-03-27T15:51:12","slug":"evolution-of-iran-cyber-threats","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/","title":{"rendered":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad"},"content":{"rendered":"<p>Los recientes<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/handala-hack-wiper-attacks\/\" target=\"_blank\" rel=\"noopener\"> ciberataques atribuidos a actores de amenazas iran\u00edes<\/a> se extienden m\u00e1s all\u00e1 de la interrupci\u00f3n t\u00edpica de las redes. En lugar de ser incidentes aislados de sabotaje, este tipo de ataques se sit\u00faa en un contexto m\u00e1s amplio, definido por la dependencia de Ir\u00e1n de las represalias asim\u00e9tricas y su hist\u00f3rica doctrina de intermediarios (<em>proxy<\/em>). Los actores de amenazas alineados con Ir\u00e1n aprovechan cada vez m\u00e1s el ciberespacio como un ecualizador estrat\u00e9gico.<\/p>\n<p>Para el Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), las operaciones cibern\u00e9ticas proporcionan un mecanismo de represalia de bajo costo y alto impacto sin cruzar fronteras geogr\u00e1ficas. En este entorno, las organizaciones globales enfrentan un mayor riesgo cibern\u00e9tico, ya que el despliegue tradicional de malware se cruza con el novedoso abuso de identidades. El cambio de malware de borrado (<em>wiper<\/em>) personalizado al abuso administrativo nativo elimina una barrera de detecci\u00f3n cr\u00edtica que hist\u00f3ricamente proteg\u00eda a las redes empresariales.<\/p>\n<h2><a id=\"post-176227-_ojp3qa8zhvpr\"><\/a>De los binarios personalizados al abuso de identidades<\/h2>\n<p>El cambio t\u00e1ctico actual de los actores cibern\u00e9ticos iran\u00edes se debe menos a una falta de capacidad para desarrollar malware que a las ventajas estrat\u00e9gicas de las t\u00e9cnicas de \"vivir de la tierra\" (<em>Living-off-the-Land<\/em> o LotL). Las operaciones dise\u00f1adas para causar interrupciones han experimentado un cambio desde 2023: en lugar de depender en gran medida de herramientas hechas a medida (<em>bespoke<\/em>), los m\u00e9todos empleados ahora forman parte de una tendencia mayor hacia una escala m\u00e1s amplia y una mejor evasi\u00f3n.<\/p>\n<p>Durante los recientes incidentes con <em>wipers<\/em>, los actores de amenazas que operan bajo la identidad de Void Manticore (Handala) no desplegaron un <em>wiper<\/em> de d\u00eda cero (<em>zero-day<\/em>) ni malware compilado tradicional. En su lugar, los atacantes comprometieron identidades con altos privilegios, enviando comandos leg\u00edtimos de borrado remoto (<em>remote-wipe<\/em>) a m\u00e1s de 200,000 dispositivos a nivel mundial.<\/p>\n<p>Este cambio de binarios personalizados al abuso administrativo ayuda a explicar la din\u00e1mica actual. En este contexto, las amenazas persistentes avanzadas (APT) iran\u00edes parecen considerar cada vez m\u00e1s las herramientas administrativas empresariales no solo como infraestructura de TI, sino tambi\u00e9n como activos militarizables en un marco disruptivo m\u00e1s amplio. Esta distinci\u00f3n es fundamental para comprender c\u00f3mo los actores alineados con el Estado iran\u00ed perciben las plataformas de gesti\u00f3n de dispositivos m\u00f3viles (MDM) no como herramientas de gesti\u00f3n, sino como vectores de ataque de alto impacto que eluden la telemetr\u00eda tradicional de detecci\u00f3n y respuesta en <em>endpoints<\/em> (<em>Endpoint Detection and Response<\/em> o EDR).<\/p>\n<h2><a id=\"post-176227-_s5z9tbvindmn\"><\/a>Ascendiendo en la escala de escalada<\/h2>\n<p>Ya en<a href=\"https:\/\/www.cfr.org\/cyber-operations\/compromise-of-saudi-aramco-and-rasgas\" target=\"_blank\" rel=\"noopener\"> 2012<\/a> y 2016, los actores iran\u00edes lanzaron operaciones disruptivas significativas en toda la regi\u00f3n. Al rastrear la historia de sus represalias cibern\u00e9ticas contra supuestas ofensas geopol\u00edticas, vemos un patr\u00f3n claro y creciente de capacidad e intenci\u00f3n durante la \u00faltima d\u00e9cada entre los grupos vinculados al IRGC y al MOIS.<\/p>\n<h3><a id=\"post-176227-_o649dbwrfljf\"><\/a>Los instrumentos rudimentarios (2016\u20132019)<\/h3>\n<p>Durante este per\u00edodo, grupos de actores de amenazas como<a href=\"https:\/\/unit42.paloaltonetworks.com\/curious-serpens-falsefont-backdoor\/\" target=\"_blank\" rel=\"noopener\"> Curious Serpens<\/a> (APT33, Elfin) y<a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\"> Evasive Serpens<\/a> (APT34, OilRig) atacaron la infraestructura de TI con malware de borrado de discos de alta visibilidad.<\/p>\n<ul>\n<li><strong>Resurgimiento de Shamoon:<\/strong> Tras su<a href=\"https:\/\/www.computerworld.com\/article\/1526242\/kill-timer-found-in-shamoon-malware-suggests-possible-connection-to-saudi-ar.html\" target=\"_blank\" rel=\"noopener\"> debut<\/a> inicial en 2012, se desplegaron<a href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-second-wave-shamoon-2-attacks-identified\/\" target=\"_blank\" rel=\"noopener\"> Shamoon 2<\/a> y<a href=\"https:\/\/unit42.paloaltonetworks.com\/shamoon-3-modified-open-source-wiper-contains-verse-from-the-quran\/\" target=\"_blank\" rel=\"noopener\"> Shamoon 3<\/a> contra entidades en el Medio Oriente. Estos ataques utilizaron <em>spearphishing<\/em> (phishing dirigido) para obtener el acceso inicial, confiando finalmente en el controlador Eldos RawDisk para eludir las API de Windows y sobrescribir el registro de arranque principal (<em>Master Boot Record<\/em> o MBR).<\/li>\n<li><strong>ZeroCleare y Dustman:<\/strong> Desplegados intensamente contra los sectores energ\u00e9tico e industrial, <em>wipers<\/em> como<a href=\"https:\/\/thehackernews.com\/2019\/12\/zerocleare-data-wiper-malware.html\" target=\"_blank\" rel=\"noopener\"> ZeroCleare<\/a> y su sucesor<a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/dustman-attack-underscores-iran-s-cyber-capabilities\" target=\"_blank\" rel=\"noopener\"> Dustman<\/a> reflejaron la dependencia de Shamoon de controladores leg\u00edtimos modificados para lograr efectos destructivos.<\/li>\n<\/ul>\n<p>En esta era, los actores iran\u00edes priorizaron las represalias visibles por encima del sigilo. Sus ciberataques proyectaron poder e infligieron la m\u00e1xima inmovilizaci\u00f3n operativa.<\/p>\n<h3><a id=\"post-176227-_rwd764xah7va\"><\/a>Cortina de humo de ransomware: negaci\u00f3n plausible y compromiso de la cadena de suministro (2020\u20132022)<\/h3>\n<p>A medida que se intensificaba el escrutinio, los actores de amenazas iran\u00edes adaptaron su manual operativo para introducir la negaci\u00f3n plausible. El enfoque estrat\u00e9gico pas\u00f3 del sabotaje abierto, patrocinado por el Estado, a imitar el ciberdelito con fines financieros. Este giro t\u00e1ctico fue encabezado principalmente por el grupo de actores de amenazas<a href=\"https:\/\/unit42.paloaltonetworks.com\/agonizing-serpens-targets-israeli-tech-higher-ed-sectors\/\" target=\"_blank\" rel=\"noopener\"> Agonizing Serpens<\/a> (Agrius).<\/p>\n<ul>\n<li><strong>La suite de <em>wipers<\/em> de Agonizing Serpens (Apostle y Fantasy):<\/strong> En lugar de depender del <em>spearphishing<\/em> tradicional, Agonizing Serpens explot\u00f3 con frecuencia vulnerabilidades conocidas de un d\u00eda (<em>one-day<\/em>) en aplicaciones web orientadas al p\u00fablico para instalar<a href=\"https:\/\/www.nozominetworks.com\/blog\/agrius-in-focus-dissecting-a-web-shell\" target=\"_blank\" rel=\"noopener\"> shells web<\/a> (<em>web shells<\/em>) personalizadas. Una vez establecido el acceso inicial, el grupo<a href=\"https:\/\/www.sentinelone.com\/labs\/from-wiper-to-ransomware-the-evolution-of-agrius\/\" target=\"_blank\" rel=\"noopener\"> despleg\u00f3<\/a> cargas \u00fatiles (<em>payloads<\/em>) dise\u00f1adas para desdibujar las l\u00edneas entre el espionaje y la extorsi\u00f3n.<\/li>\n<li><strong>Evoluci\u00f3n de Apostle:<\/strong> Inicialmente observado como un <em>wiper<\/em> puro disfrazado de una operaci\u00f3n de ransomware, las<a href=\"https:\/\/www.sentinelone.com\/labs\/from-wiper-to-ransomware-the-evolution-of-agrius\/\" target=\"_blank\" rel=\"noopener\"> primeras versiones de Apostle<\/a> carec\u00edan de la capacidad real para descifrar archivos, lo que indicaba que la destrucci\u00f3n de datos era la intenci\u00f3n principal. Sin embargo, las variantes posteriores se actualizaron para funcionar como ransomware leg\u00edtimo, lo que complic\u00f3 la atribuci\u00f3n y retras\u00f3 los esfuerzos de respuesta a incidentes al obligar a los defensores a tratar el evento como un incidente de ciberdelincuencia est\u00e1ndar.<\/li>\n<li><strong>Explotaci\u00f3n de la cadena de suministro:<\/strong> El despliegue del<a href=\"https:\/\/www.eset.com\/hk\/about\/newsroom\/press-releases\/news\/fantasy-a-new-agrius-wiper-deployed-through-a-supply-chain-attack0\/\" target=\"_blank\" rel=\"noopener\"> <em>wiper<\/em> Fantasy<\/a> represent\u00f3 una escalada significativa en la metodolog\u00eda de selecci\u00f3n de objetivos de Agrius. Al comprometer a un desarrollador de software israel\u00ed externo de confianza, los actores de amenazas ejecutaron un ataque a la cadena de suministro que afect\u00f3 a v\u00edctimas descendentes en m\u00faltiples sectores globales.<\/li>\n<\/ul>\n<p>Hacerse pasar por un sindicato de ransomware ofreci\u00f3 una ventaja estrat\u00e9gica cr\u00edtica a los actores cibern\u00e9ticos iran\u00edes al ocultar su alineaci\u00f3n estatal, logrando al mismo tiempo interrumpir el negocio y causar da\u00f1o econ\u00f3mico.<\/p>\n<h3><a id=\"post-176227-_gf9xn2n84jv7\"><\/a>El hacktivismo como fachada: operaciones psicol\u00f3gicas y destrucci\u00f3n multiplataforma (2023\u20132025)<\/h3>\n<p>Entre 2023 y 2025, el panorama de las amenazas cambi\u00f3 una vez m\u00e1s. El modelo tradicional de APT dio paso a un aumento de identidades hacktivistas dirigidas por el Estado. Grupos como Void Manticore y Handala Hack Team operaron abiertamente en plataformas como<a href=\"https:\/\/cyberint.com\/blog\/threat-intelligence\/handala-hack-what-we-know-about-the-rising-threat-actor\/\" target=\"_blank\" rel=\"noopener\"> Telegram<\/a>, aprovechando ataques destructivos como componente de operaciones psicol\u00f3gicas y guerra de informaci\u00f3n m\u00e1s amplias.<\/p>\n<ul>\n<li><strong><em>Wipers<\/em> BiBi, Hatef y Hamsa:<\/strong> El surgimiento de estas familias de malware destac\u00f3 una evoluci\u00f3n t\u00e9cnica cr\u00edtica: la capacidad multiplataforma. Mientras que los <em>wipers<\/em> anteriores se centraban estrictamente en Windows, los actores de amenazas desplegaron el <em>wiper<\/em> Hatef basado en .NET para entornos Windows, junto con los<a href=\"https:\/\/www.securityjoes.com\/post\/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group\" target=\"_blank\" rel=\"noopener\"> <em>wipers<\/em> Hamsa y BiBi basados en Bash<\/a> dirigidos a servidores Linux.<\/li>\n<li><strong>Destrucci\u00f3n a nivel de archivos:<\/strong> T\u00e9cnicamente, estas<a href=\"https:\/\/arcticwolf.com\/resources\/blog\/bibi-wiper-used-in-the-israel-hamas-war-now-runs-on-windows\/\" target=\"_blank\" rel=\"noopener\"> variantes<\/a> se alejaron de las complejas t\u00e9cnicas de borrado de MBR de la era de Shamoon. En su lugar, optaron por una destrucci\u00f3n de archivos r\u00e1pida y recursiva, sobrescribiendo los archivos seleccionados con bloques de 4096 bytes de datos aleatorios.<\/li>\n<li><strong>MultiLayer y BFG Agonizer:<\/strong> Concurrentemente, despliegues colaborativos entre Agonizing Serpens y Boggy Serpens (tambi\u00e9n conocido como<a href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-muddying-the-water-targeted-attacks-in-the-middle-east\/\" target=\"_blank\" rel=\"noopener\"> MuddyWater<\/a>) introdujeron<a href=\"https:\/\/unit42.paloaltonetworks.com\/agonizing-serpens-targets-israeli-tech-higher-ed-sectors\/\" target=\"_blank\" rel=\"noopener\"> <em>wipers<\/em> altamente modulares como MultiLayer y BFG Agonizer<\/a>. Estas operaciones abusaron con frecuencia de herramientas leg\u00edtimas de monitoreo y gesti\u00f3n remota (<em>Remote Monitoring and Management<\/em> o RMM) para distribuir las cargas \u00fatiles a gran escala.<\/li>\n<\/ul>\n<p>Durante este per\u00edodo, los <em>wipers<\/em> se convirtieron en solo un componente de un modelo de amenaza h\u00edbrido. Los despliegues destructivos se combinaron constantemente con una exfiltraci\u00f3n de datos agresiva, creando operaciones simult\u00e1neas de hackeo y filtraci\u00f3n (<em>hack-and-leak<\/em>).<\/p>\n<h3><a id=\"post-176227-_62i37hnslbbz\"><\/a>La era de la militarizaci\u00f3n de la identidad (2026 en adelante)<\/h3>\n<p>La m\u00e1s reciente<a href=\"https:\/\/www.forrester.com\/blogs\/the-stryker-attack-enterprise-resiliency-plans-cant-ignore-uem\/\" target=\"_blank\" rel=\"noopener\"> escalada<\/a> en las operaciones cibern\u00e9ticas ofensivas iran\u00edes marca un alejamiento fundamental de la t\u00e9cnica de la d\u00e9cada anterior. Si bien las motivaciones estrat\u00e9gicas se mantienen constantes, la ejecuci\u00f3n t\u00e9cnica ha pasado de desplegar malware compilado y personalizado a una forma altamente destructiva de LotL. En lugar de intentar evadir los agentes de EDR con binarios de <em>wiper<\/em> sofisticados, estos grupos est\u00e1n atacando el plano de gesti\u00f3n empresarial en s\u00ed.<\/p>\n<ul>\n<li><strong>Explotaci\u00f3n de la gesti\u00f3n de dispositivos m\u00f3viles (MDM):<\/strong> El vector de ataque principal se basa en el compromiso de identidades con altos privilegios con acceso a consolas de gesti\u00f3n basadas en la nube, como las plataformas MDM\/RMM.<\/li>\n<li><strong>Abuso de comandos integrados:<\/strong> Una vez que se asegura el acceso administrativo, los actores de amenazas abusan de funciones leg\u00edtimas e integradas, espec\u00edficamente los comandos de borrado remoto o restablecimiento de f\u00e1brica. Al transmitir estos comandos a trav\u00e9s de todo el entorno gestionado, los atacantes pueden borrar simult\u00e1neamente cientos de miles de computadoras port\u00e1tiles corporativas, servidores y dispositivos m\u00f3viles (incluido el hardware de \"traiga su propio dispositivo\" o BYOD) en entornos globales.<\/li>\n<li><strong>La zona oculta para el EDR:<\/strong> Debido a que no se instala un malware de borrado tradicional y no se inician procesos an\u00f3malos de escritura en disco por parte de un ejecutable desconocido, las plataformas de antivirus y EDR pueden permanecer en gran medida ciegas ante la actividad. Los comandos destructivos est\u00e1n autenticados, autorizados y se entregan directamente desde la infraestructura de confianza del proveedor.<\/li>\n<\/ul>\n<p>Esta metodolog\u00eda ofrece una escala y velocidad sin precedentes. Elimina el requisito de uso intensivo de recursos para desarrollar, probar y actualizar familias de malware personalizadas, al tiempo que garantiza un impacto catastr\u00f3fico en las capacidades operativas del objetivo.<\/p>\n<h2><a id=\"post-176227-_wfgklqlqqjay\"><\/a>Perspectivas: un c\u00e1lculo estrat\u00e9gico transformado<\/h2>\n<p>Para los profesionales de la ciberseguridad y los defensores de redes, el modelo de amenaza ha cambiado significativamente. La lecci\u00f3n principal de esta cronolog\u00eda evolutiva es que la infraestructura de una organizaci\u00f3n es tan fuerte como su credencial administrativa m\u00e1s d\u00e9bil. Cuando los actores de amenazas pueden convertir de manera confiable las herramientas utilizadas para gestionar y asegurar una flota en los instrumentos mismos de su destrucci\u00f3n, el paradigma defensivo debe evolucionar de centrarse puramente en la detecci\u00f3n de malware a imponer una resiliencia de identidad estricta.<\/p>\n<p>Para los actores de amenazas alineados con estados, interrumpir las operaciones a trav\u00e9s del abuso de identidad nativo es una forma altamente eficiente y escalable de proyectar poder e infligir da\u00f1o econ\u00f3mico. Al comprender esta evoluci\u00f3n t\u00e1ctica, las organizaciones pueden pasar de una postura de b\u00fasqueda reactiva de malware a una de resiliencia verificada y centrada en la identidad.<\/p>\n<p>Para mitigar el riesgo de abuso administrativo alineado con estados, los equipos de seguridad deben implementar las siguientes contramedidas estrat\u00e9gicas:<\/p>\n<ul>\n<li><strong>Tratar el plano de gesti\u00f3n como Nivel 0 (Tier-0):<\/strong> Las<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-cloud-ciem\" target=\"_blank\" rel=\"noopener\"> plataformas de gesti\u00f3n basadas en la nube<\/a> deben considerarse infraestructura cr\u00edtica. Los cambios en las pol\u00edticas de MDM, las asignaciones de roles y los alcances de inscripci\u00f3n deben someterse a los mismos procesos rigurosos de control de cambios que las modificaciones de los controladores de dominio.<\/li>\n<li><strong>Imponer el acceso condicional estricto y Zero Trust:<\/strong> El acceso a los portales administrativos debe estar protegido por pol\u00edticas de acceso condicional robustas. Las credenciales v\u00e1lidas y la autenticaci\u00f3n multifactor (MFA) ya no son suficientes;<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-3.x-Documentation\/Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\"> el acceso tambi\u00e9n debe requerir verificaci\u00f3n<\/a> desde un dispositivo corporativo conocido, que cumpla con las normas y est\u00e9 catalogado. El uso de credenciales robadas que intenten autenticarse desde un dispositivo desconocido o un rango de direcciones IP an\u00f3malo debe activar un bloqueo total, no simplemente un aviso de MFA.<\/li>\n<li><strong>Eliminar los privilegios permanentes:<\/strong> Las organizaciones deben auditar y reducir radicalmente el n\u00famero de cuentas que poseen roles permanentes de administrador global. Implemente la<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-3.x-Documentation\/Privileged-Security-Admin\" target=\"_blank\" rel=\"noopener\"> gesti\u00f3n de identidades con privilegios (Privileged Identity Management o PIM)<\/a> para garantizar que el acceso administrativo se otorgue solo bajo demanda (<em>Just-In-Time<\/em> o JIT), con flujos de trabajo de aprobaci\u00f3n y l\u00edmites de tiempo estrictos.<\/li>\n<li><strong>Aislar los respaldos con \"brecha de aire\" (air-gap):<\/strong> En un entorno donde el propio inquilino (<em>tenant<\/em>) de la nube est\u00e1 comprometido, los respaldos conectados a la nube son altamente susceptibles a la misma destrucci\u00f3n. Mantener respaldos fuera de l\u00ednea, con brecha de aire e inmutables, es un requisito no negociable para garantizar la supervivencia de la organizaci\u00f3n frente a las operaciones de borrado administrativo nativo.<\/li>\n<\/ul>\n<h2><a id=\"post-176227-_3d94zu1lcdxs\"><\/a>Recursos adicionales<\/h2>\n<p>&nbsp;<\/p>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/handala-hack-wiper-attacks\/\" target=\"_blank\" rel=\"noopener\">Insights: Aumento del riesgo de ataques de tipo wiper<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/boggy-serpens-threat-assessment\/\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de amenazas de Boggy Serpens<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/iranian-cyberattacks-2026\/\" target=\"_blank\" rel=\"noopener\">Informe de amenazas: Escalada del ciberriesgo relacionado con Ir\u00e1n en marzo de 2026<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<\/ul>\n<p><em>Actualizado el 23 de marzo de 2026, a las 3:26 p. m. PT, para incluir una secci\u00f3n de recursos adicionales con un enlace.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.<\/p>\n","protected":false},"author":366,"featured_media":175676,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[9622,9601],"tags":[9271,10004,9273,9276,10006,10005,9794,9990],"product_categories":[8932,8890],"coauthors":[9896],"class_list":["post-176227","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general-es-la","category-insights-es-la","tag-agonizing-serpens-es-la","tag-agrius","tag-curious-serpens-es-la","tag-evasive-serpens-es-la","tag-oilrig","tag-shamoon","tag-telegram-es-la","tag-wiper","product_categories-cortex-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad<\/title>\n<meta name=\"description\" content=\"La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad\" \/>\n<meta property=\"og:description\" content=\"La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-16T15:43:25+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-27T15:51:12+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Justin Moore\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad","description":"La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/","og_locale":"es_LA","og_type":"article","og_title":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad","og_description":"La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/","og_site_name":"Unit 42","article_published_time":"2026-03-16T15:43:25+00:00","article_modified_time":"2026-03-27T15:51:12+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Justin Moore","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad","datePublished":"2026-03-16T15:43:25+00:00","dateModified":"2026-03-27T15:51:12+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/"},"wordCount":2147,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","keywords":["Agonizing Serpens","Agrius","Curious Serpens","Evasive Serpens","OilRig","Shamoon","Telegram","wiper"],"articleSection":["General","Insights"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/","name":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","datePublished":"2026-03-16T15:43:25+00:00","dateModified":"2026-03-27T15:51:12+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"La evoluci\u00f3n de las operaciones cibern\u00e9ticas iran\u00edes en un contexto amplio: desde malware de borrado (wiper) personalizado hasta el uso indebido de herramientas administrativas leg\u00edtimas y m\u00e1s.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Iran cyber attack history. A digitally rendered cityscape resembling a circuit board, with glowing lines and skyscraper-like structures representing electronic components. The background features a blurred city skyline, illuminated by a warm light."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/evolution-of-iran-cyber-threats\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Evoluci\u00f3n de las ciberamenazas iran\u00edes: de los wipers de MBR a la militarizaci\u00f3n de la identidad"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/176227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=176227"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/176227\/revisions"}],"predecessor-version":[{"id":176228,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/176227\/revisions\/176228"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/175676"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=176227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=176227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=176227"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=176227"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=176227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}