Lo que los defensores deben saber sobre las capacidades cibernéticas de Irán

Por Check Point Research
Con la actual crisis iraní en su punto álgido, la ciberactividad es un componente relevante del
panorama de amenazas, junto con la presión cinética y política. El ecosistema iraní incluye múltiples
clústeres alineados con entidades estatales, el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y
el Ministerio de Inteligencia y Seguridad (MOIS), así como operadores desmentidos y grupos
hacktivistas. Este ecosistema sustenta una amplia gama de objetivos: espionaje para obtener
inteligencia y establecerse; disrupción y actividad destructiva, incluyendo ataques DDoS,
pseudoransomware y borrado de datos para imponer costos; y operaciones de información que
combinan actividad destructiva o fugas de datos con amplificación coordinada en línea. Se espera
que esta actividad se intensifique y se extienda por Oriente Medio, Estados Unidos y otros países
que Irán considera sus oponentes en la guerra actual. Este resumen nos muestra los principales
grupos de actores de amenazas vinculados a Irán que podrían ser relevantes para esta guerra, así
como las tácticas, técnicas y procedimientos (TTP) que han empleado recientemente contra
objetivos en Oriente Medio y Estados Unidos. A continuación, Check Point Research destaca cómo se
manifiestan estas tácticas en operaciones reales, las señales de alerta temprana que los defensores
deben tener en cuenta y las medidas de mitigación más importantes en este momento.
Cotton Sandstorm
Cotton Sandstorm (también conocido como Emennet Pasargad / Aria Sepehr Ayandehsazan,
también conocido como MarnanBridge/Haywire Kitten) es un actor cibernético iraní afiliado al CGRI
(Cuerpo de la Guardia Revolucionaria Islámica), conocido por sus operaciones de influencia
cibernética y sus campañas de reacción rápida ante un aumento repentino de los acontecimientos
regionales. Su estrategia combina la clásica actividad cibernética disruptiva con operaciones de
información: desfiguración de sitios web, ataques DDoS (Denegación de Servicio Distribuido),
secuestro de correos electrónicos y cuentas, y robo de datos, seguido de una amplificación de estilo
"hack and leak" mediante identidades falsas y suplantación de identidad para moldear narrativas. En
los últimos años, Cotton Sandstorm ha expandido sus operaciones más allá de Israel, abarcando un
conjunto más amplio de víctimas, incluyendo actividades centradas en el Golfo. Estas incluyen el
acceso no autorizado a una empresa estadounidense de streaming IPTV (Internet Protocol
Television) para transmitir mensajes generados por IA sobre la guerra en Gaza, afectando
principalmente a los Emiratos Árabes Unidos, o ataques repetidos contra entidades e
infraestructuras del gobierno bahreiní, enmarcados en mensajes antimonárquicos para protestar por
la normalización de las relaciones con Israel.
En los últimos meses, Check Point Research observó un conjunto consistente de herramientas de
malware asociadas a Cotton Sandstorm. Los actores utilizan habitualmente WezRat, un ladrón de
información modular personalizado que se distribuye mediante campañas de phishing selectivo que
se hacen pasar por actualizaciones urgentes de software. En algunos casos, las intrusiones fueron
seguidas por la implementación del ransomware WhiteLock específicamente contra objetivos
israelíes, aunque nada les impide expandir esta actividad a otros países.

©2026 Check Point Software Technologies Ltd. Todos los derechos reservados. | P. 2​

Un día después del inicio del conflicto, Cotton Sandstorm revivió su antigua identidad cibernética,
Altoufan Team, que se especializaba principalmente en atacar a Bahréin y había permanecido en
silencio durante más de un año, reivindicando algunos nuevos supuestos objetivos en Bahréin. Esto
refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de que siga
participando en intrusiones en todo Medio Oriente en medio del conflicto.

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de
inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los
ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas
protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de
seguridad, las fuerzas de seguridad y varios CERTs
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más
de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y
precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una
anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud
compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point
Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.
©2026 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos
futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa
incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del
liderazgo de Check Point Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad
líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los
resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran
significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres,
incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro
Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de
prensa se basan en la información disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a
cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.