En este momento estás viendo El tráfico malicioso se ha disparado un 245% desde que comenzó la guerra con Irán
El repunte de la actividad cibernética mundial, vinculado a conflictos geopolíticos, está impulsando un aumento del reconocimiento, el escaneo y los ataques coordinados contra infraestructuras críticas.

El tráfico malicioso se ha disparado un 245% desde que comenzó la guerra con Irán

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:abril 2, 2026

El tráfico malicioso en internet ha aumentado un 245% desde que comenzaron los ataques de Israel y Estados Unidos contra Irán el 28 de febrero, según uno de los mayores proveedores de redes de distribución de contenido del mundo.

Akamai Technologies informó que, durante ese período, el tráfico de reconocimiento automatizado aumentó un 65%, los intentos de robo de credenciales un 35%, el escaneo de infraestructura en busca de servicios expuestos un 52%, el tráfico de detección de botnets un 70% y el reconocimiento de ataques de denegación de servicio un 38%.

El conflicto en Oriente Medio ha tenido repercusiones en los sectores de viajes, hostelería y energía de la economía global, señalaron los autores del blog Sandeep Rath, Nitin Singla, Ankita Kharya y Ryan Gao.

Aún más preocupante, añadieron, es el aumento significativo del cibercrimen proveniente de actores estatales y hacktivistas con motivaciones ideológicas, que podrían operar desde cualquier parte del mundo para orquestar ataques altamente sofisticados.

“Akamai ha observado un aumento significativo en las actividades cibernéticas maliciosas en diversas áreas desde febrero de 2026”, declaró Kharya, Directora de Desarrollo de Producto. “El momento en que se produjo este aumento de actividad sugiere que el reciente repunte podría estar relacionado con el conflicto en Oriente Medio”.

Añadió que varios grupos de hacktivistas, entre ellos Noname057(16), Server Killers, 313 team, Keymous+ y otros, han afirmado haber experimentado un aumento de actividad, pero Akamai no ha podido confirmar estas afirmaciones de forma independiente.

El conflicto en Oriente Medio desencadena un aumento de los ciberataques.

“El conflicto es, sin duda, el catalizador de este aumento”, declaró Alex Pembrey, gerente sénior de inteligencia operativa sobre amenazas en NCC Group, una consultora global de ciberseguridad.

“Tras el lanzamiento de las Operaciones Epic Fury y Roaring Lion el 28 de febrero, se produjo una movilización masiva de la Sala de Operaciones Electrónicas, un centro de coordinación establecido específicamente para sincronizar las operaciones de hacktivistas respaldadas por la Guardia Revolucionaria Islámica de Irán”, explicó. Pembrey añadió que más de 70 grupos de hacktivistas, incluyendo colectivos internacionales como el prorruso NoName057(16), cambiaron su enfoque para atacar a cualquier nación percibida como alineada con Estados Unidos o Israel.

“El aumento del 245% refleja un efecto dominó donde la represalia geopolítica ya no se limita al teatro de operaciones inmediato, sino que se dirige a la cadena de suministro digital global y la infraestructura crítica de las naciones aliadas”, afirmó.

“El conflicto es el catalizador, pero no el único motor”, agregó Michael Bell, director ejecutivo de Suzu Labs, proveedor de servicios de ciberseguridad basados ​​en IA, con sede en Las Vegas.

Los propios grupos cibernéticos de Irán están activos, explicó. Handala, por ejemplo, atacó a la empresa de tecnología médica Stryker con un ataque de borrado de datos, y desde que se produjeron los ataques, grupos de hacktivistas han estado llevando a cabo ataques DDoS y campañas de robo de credenciales.

«Pero el 86% de las direcciones IP de origen que Akamai rastreó provenían de fuera de Irán», declaró. «El conflicto creó las condiciones para un aumento generalizado, no solo iraní».

Ataques cinéticos devastadores.

Akamai señaló que las direcciones IP atribuidas a Irán representaban una minoría del tráfico malicioso observado desde el inicio del conflicto, mientras que una mayor proporción provenía de Rusia (35%) y China (28%).

«Desde el comienzo del conflicto, Irán ha paralizado prácticamente el 99,5% de su infraestructura de internet», explicó Kharya, de Akamai. «Esto podría explicar por qué observamos un menor porcentaje de tráfico malicioso originado en direcciones IP iraníes».

«Sin embargo», añadió, «los ciberdelincuentes suelen utilizar redes proxy y servicios de dispositivos IoT con protección insuficiente, así como botnets de otros países, para orquestar ataques maliciosos. Esto podría explicar por qué observamos que la mayoría de los ataques se originan en direcciones IP de Rusia y China».

Pembrey, del NCC, explicó que la ofensiva cibernética inicial de Israel logró colapsar la conectividad a internet interna de Irán, reduciéndola a entre el 1% y el 4% de los niveles normales, al atacar la infraestructura de enrutamiento BGP y DNS. «Esto disminuyó inicialmente la capacidad de Irán para lanzar ataques de gran volumen desde dentro de sus fronteras», afirmó.

«Sin embargo», continuó, «se considera que el casi total bloqueo de internet en Irán es en gran medida autoimpuesto, ya que el Estado redujo deliberadamente la conectividad para controlar el flujo de información, en lugar de ser consecuencia de daños en la infraestructura derivados de operaciones cinéticas o cibernéticas».

Degradadas, pero aún peligrosas.

A pesar de las interrupciones internas, Pembrey señaló que las capacidades cibernéticas de Irán parecen degradadas, pero siguen operativas, gracias al acceso preposicionado en redes extranjeras, el uso de infraestructura externa y la actividad de empresas fachada y actores interpuestos.

«El mantenimiento de la conectividad troncal de internet indica que Irán conserva la capacidad de ampliar sus operaciones cibernéticas si fuera necesario», declaró. «Sin embargo, el alcance de los daños en la infraestructura física que han limitado esta capacidad sigue siendo incierto debido a la escasa visibilidad».

Añadió que la guerra parece estar generando una convergencia de intereses estratégicos. «Grupos prorrusos se han unido activamente a actores alineados con Irán en ataques de represalia DDoS y ataques de destrucción masiva», explicó.

«Además», continuó, «actores patrocinados por estados, como Sandworm de Rusia y Volt Typhoon de China, están utilizando el caos regional como cortina de humo. Se están posicionando dentro de las redes de energía y telecomunicaciones occidentales, no necesariamente para lanzar un ataque inmediato, sino para asegurar una ventaja estratégica a largo plazo mientras los equipos de defensa están distraídos por el intenso ciberactivismo iraní».

Rusia y China están adoptando un enfoque de «aprovechar cualquier crisis», señaló Bell. «Ambos países albergan una enorme infraestructura de intermediarios que los ciberdelincuentes utilizan precisamente porque esos gobiernos no interfieren siempre que los objetivos sean occidentales», afirmó.

«Cuando un conflicto atrae la atención de todos los centros de operaciones de seguridad (SOC) y equipos cibernéticos gubernamentales hacia Irán, se crea la oportunidad perfecta para que los operadores rusos y chinos aumenten el escaneo y el mapeo de los objetivos que les han interesado desde el principio», concluyó. “El conflicto no creó su intención, sino la oportunidad.”

Se desdibujan las líneas entre el Estado y los hacktivistas.

Bell argumentó que el aumento del 245% subestima el riesgo real, ya que los datos de Akamai se centran principalmente en el reconocimiento, en lugar de en los ataques destructivos.

Señaló que el tráfico de descubrimiento de botnets ha aumentado un 70% y el reconocimiento automatizado un 65%. “Esa es la fase de mapeo”, afirmó. “Los adversarios están creando paquetes de objetivos en este momento, y las organizaciones que consideren este período como una advertencia en lugar de una crisis serán las que estén preparadas cuando el reconocimiento se convierta en acción.”

“Estamos presenciando el nacimiento de un frente híbrido verdaderamente unificado, donde las fronteras tradicionales entre la guerra patrocinada por el Estado y el hacktivismo de base se han disuelto por completo”, añadió Pembrey.

“La conclusión más importante de la situación actual no es solo el volumen de ataques, sino la sincronización estratégica de más de 70 grupos de hacktivistas dispares a través de la Sala de Operaciones Electrónicas”, afirmó. “Esto representa un cambio de actores independientes y caóticos a un plan de acción coordinado”.

Advirtió que los ataques ruidosos, como el de Stryker, suelen ser solo una cortina de humo para un preposicionamiento estratégico más peligroso. “Mientras el mundo está distraído por el conflicto visible, actores sofisticados como Volt Typhoon y Sandworm se aprovechan de la infraestructura crítica global, integrándose en los enlaces de telemetría y los dispositivos periféricos de las redes eléctricas y los sistemas de agua”, observó.

“Las organizaciones ya no pueden permitirse el lujo de tratar la ciberseguridad como una función de apoyo defensivo”, dijo. “Es una función de supervivencia”.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,