Irán ha emergido en la última década como un actor cada vez más sofisticado en el dominio cibernético. A pesar de las sanciones económicas, el aislamiento diplomático y la constante vigilancia internacional, ha logrado construir un ecosistema digital ofensivo que, aunque modesto en comparación con las grandes potencias, ha demostrado ser efectivo, resiliente y, sobre todo, estratégicamente incómodo para sus adversarios.
Antes de analizar la eficacia de las operaciones cibernéticas de Irán, conviene observar el entramado institucional que hace posible su ejecución. A diferencia de modelos descentralizados como el estadounidense o el ecosistema mixto chino, el aparato cibernético iraní está altamente centralizado y politizado, entrelazado con las élites de seguridad del régimen. Esta arquitectura de poder digital no solo determina los tipos de ciberoperaciones que Irán ejecuta, sino también el mensaje geoestratégico que busca proyectar: resiliencia, ambigüedad y control.
Entre los actores de las ciberoperaciones iraníes más importantes se encuentra el Iranian Revolutionary Guards Corps (IRGC), uno de los principales artífices de las operaciones cibernéticas ofensivas. Opera a través de su unidad cibernética del Comando de Defensa Electrónica, reclutando talento desde universidades y centros de innovación tecnológica. Todo ese esfuerzo es apoyado por el Ministerio de Inteligencia y Seguridad (MOIS) que se focaliza en vigilancia y contrainteligencia digital supervisando la seguridad interna, la censura digital y la disuasión externa.
En el ecosistema cibernético iraní, los grupos afiliados o proxies desempeñan un papel crucial como extensiones semi independientes del aparato estatal, eso los hace interesante no solo para Irán, sino que para cualquier país que quiera hacer uso de capacidades ofensivas en internet sin adjudicar sus actividades a alguna bandera ya que la atribución de sus acciones puede ser un dificultoso, por lo tanto, estos grupos funcionan bajo una lógica de ambigüedad operativa, sus acciones pueden alinearse con los intereses estratégicos de Teherán, pero conservan una flexibilidad táctica que les permite negar vínculos directos. Esta externalización del conflicto digital ha permitido a Irán proyectar su influencia más allá de sus fronteras sin asumir directamente los costos políticos o militares.
Entre estos actores destacan nombres como MuddyWater, APT33 y APT34, quienes han perfeccionado técnicas que combinan ciberespionaje, sabotaje y desinformación. Su actividad persistente refleja una estrategia de desgaste y presión continua sobre sectores críticos en potencias rivales, operando en la delgada línea entre la disuasión, la intrusión y la provocación controlada.
MuddyWater, por ejemplo, es un grupo especializado en spear phishing y persistencia en redes gubernamentales extranjeras, mientras que APT33 y APT34 están asociados con operaciones destructivas y campañas de espionaje, principalmente contra Arabia Saudita, EE.UU. e Israel.
Estos grupos han actuado ya sobre el terreno implantado malware diseñado no para espiar ni robar información, sino para borrarla irreversiblemente. Malwares como Shamoon fueron desplegados anteriormente contra Saudi Aramco, la mayor compañía petrolera saudí, eliminando datos de cerca de 30,000 equipos, dejando un mensaje político contundente de sus capacidades.
No cabe duda que estas nuevas potencialidades de Irán fueron desarrolladas por el certero golpe que recibió en 2010 por parte de EE.UU. e Israel, cuando un sofisticado ciberataque, identificado más tarde como Stuxnet, saboteó las centrifugadoras de la planta nuclear de Natanz. Aquel episodio no solo expuso las vulnerabilidades del programa atómico iraní, sino que también evidenció la asimetría tecnológica entre Teherán y sus adversarios. Como respuesta, Irán emprendió un giro estratégico orientado a fortalecer sus capacidades cibernéticas, desarrollando una doctrina ofensiva en el ciberespacio como nuevo terreno para la disuasión y la proyección de poder. Tras el trauma de Stuxnet, Irán reconfiguró su ciberdefensa en torno a tres pilares fundamentales:
Infraestructura digital nacional
- Red nacional de información (Halal Internet): separa sectores gubernamentales y estratégicos de la Internet pública.
- Centros de operaciones cibernéticas redundantes y segmentación crítica de sistemas.
Entrenamiento y profesionalización.
- Desarrollando programas de formación en universidades aliadas al IRGC.
- Captación de talento mediante programas en ingeniería inversa, criptografía ofensiva y defensa de redes SCADA.
Estrategia legal y doctrinaria.
- Aunque Irán no tiene una doctrina pública explícita, se puede inferir una lógica de disuasión ofensiva y negación plausible, combinada con un discurso victimista que busca proyectar resiliencia y legitimidad internacional.
¿Qué podría hacer Irán primero en un conflicto abierto?
Ya iniciadas las hostilidades Irán podría iniciar diversas acciones. Indudablemente la penetración en sistemas SCADA/ICS para sabotaje de infraestructura crítica son lo primero que se verá amenazado y ya se ha visto este tipo de ataque en campañas como las ocurridas entre 2020 y 2024 donde se realizaron ataques selectivos contra infraestructuras de agua israelíes, universidades estadounidenses y medios de comunicación árabes. Además, otros ataques que podrían aumentar son:
- Ataques DDoS contra redes de telecomunicaciones y servicios financieros.
- Infiltrar sistemas industriales (energía, transporte) para sabotajes temporales sincronizados con operaciones militares.
- Activar células de propaganda digital y bots para desinformar, generar caos social o manipular resultados políticos.
- Encender el “proxy digital” con grupos como MuddyWater que operarían desde terceros países, ampliando la zona gris de atribución.
La lógica sería la de una guerra híbrida, donde el frente digital amplifica los efectos del conflicto físico, sin embargo, si se lograra infiltrar sistemas industriales como los SCADA esos ciberataques si tendrían efecto físico incluso dentro del territorio, por ejemplo, en EE.UU.
Algo importante que se debe considerar es que las ciberoperaciones iraníes no se limitarán al Medio Oriente. Su alcance puede generar inestabilidad regional y global atacando plantas de agua o energía en EE.UU. o en países aliados (como Jordania o Emiratos Árabes), pueden verse afectados además por fugas de datos sensibles en empresas con operaciones en múltiples países, afectando mercados y bolsas. Estas dos amenazas no solo afectarían a los países circundantes o directamente implicados, las empresas multinacionales estadounidenses e israelitas están en todas partes y cualquier activo podría verse implicado en ciberataques, incluyendo activos localizados en Chile.
Otro efecto podría incluir crisis diplomáticas tras operaciones encubiertas difíciles de atribuir con certeza, una operación mal atribuida puede provocar represalias que escalen un conflicto donde inicialmente Irán sea solo una chispa lateral.
Las operaciones cibernéticas no pueden, por sí solas, decidir el curso de la guerra, pues no reemplazan a la fuerza cinética, pero sí la condicionan desde el punto de vista estratégico, alterando los tiempos, el ambiente y la percepción del conflicto.
Para Irán, donde la confrontación directa sea inviable, el dominio digital se convierte en el campo principal de expresión de su poder, amplificando sus limitaciones convencionales y si maneja adecuadamente sus capacidades cibernéticas puede escalar simbólicamente su presencia global mediante el dominio del ciberespacio. Un código malicioso bien colocado puede ser tan decisivo como un batallón entero. Y eso, más que una amenaza, es un nuevo escenario de poder que observaremos en este conflicto.
Referencias:
[1] C. J. Finlay, “Just War, Cyber War, and the Concept of Violence,” International Affairs, vol. 91, no. 5, pp. 872–873, 2015. doi: 10.1111/1468-2346.12401.
[2] A. S. Kapto, “Cyberwarfare: Genesis and Doctrinal Outlines,” Herald of the Russian Academy of Sciences, vol. 83, no. 4, pp. 350–359, 2013. doi: 10.1134/S1019331613040023.
[3] A. A. Kokoshin, “The ‘Hybrid War’ Phenomenon in the Coercive Component of Current World Politics,” Herald of the Russian Academy of Sciences, vol. 88, pp. 357–366, 2018. doi: 10.1134/S101933161805009X.
[4] V. Papakonstantinou, “Cybersecurity as praxis and as a state: The EU law path towards acknowledgement of a new right to cybersecurity?,” Computer Law & Security Review, vol. 46, 2022. doi: 10.1016/j.clsr.2022.105737.
[5] A. A. Kokoshin (ed.), Hybrid War in the Context of International Security: From Information to Cyber Conflicts, Singapore: Springer, 2024. [Capítulo 3 – “State Cyber Capabilities and Strategic Postures”].
[6] J. Rodden, “Warfare, from Cold to Cyber,” Society, vol. 52, pp. 481–487, 2015. doi: 10.1007/s12115-015-9922-2.
[7] Mandiant Intelligence, “Iranian Cyber Espionage Group APT34 Returns With Refreshed Tooling and Infrastructure,” Mandiant Threat Reports, Nov. 2023. [En línea]. Disponible: https://www.mandiant.com/
[8] Microsoft Threat Intelligence Center (MSTIC), “Iran: Mango Sandstorm expands targeting of infrastructure and academia,” Microsoft Security Blog, Oct. 2023. [En línea]. Disponible: https://www.microsoft.com/en-us/security/blog/
[9] IBM X-Force, “APT Trends 2022–2023: Iran-linked threat actors shift from reconnaissance to sabotage,” IBM Security Intelligence, Mar. 2023. [En línea]. Disponible: https://www.ibm.com/think/security
[10] Center for Strategic and International Studies (CSIS), “Significant Cyber Incidents,” actualizado en 2024. [En línea]. Disponible: https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents
[11] Recorded Future, “Iran’s Cyber Strategy: Espionage, Disruption, and Power Projection,” Insikt Group Reports, 2022–2024. [En línea]. Disponible: https://www.recordedfuture.com/