Cómo los piratas informáticos iraníes representan una amenaza para la infraestructura crítica de EE. UU.

Puede que Michigan esté a más de 6.000 millas de la guerra con Irán, pero, en la práctica, está muy lejos.

Un grupo vinculado a Irán que se hace llamar Handala se atribuyó la responsabilidad de un ataque cibernético a Portage, un fabricante de dispositivos médicos llamado Striker Corp. de Michigan, llevado a cabo el 11 de marzo de 2026. Handala dijo que el ataque fue en represalia por eventos relacionados con el conflicto en Irán.

El ciberataque afectó al sistema de software interno de Microsoft de Stryker, interrumpiendo el procesamiento, la fabricación y el envío de pedidos de la empresa.

Como académico que investiga los conflictos cibernéticos, he descubierto que en períodos de tensión geopolítica como la actual guerra entre Estados Unidos, Israel e Irán, las operaciones cibernéticas a menudo se ubican junto a los misiles y los ataques aéreos como una herramienta que los estados y los grupos afiliados a los estados utilizan para infligir daño, investigar debilidades y señalar resolución a sus enemigos.

El caso Striker es significativo porque muestra cuán rápido un conflicto regional puede perturbar a organizaciones alejadas del campo de batalla. También ilustra la vulnerabilidad de las organizaciones estadounidenses, incluidas las involucradas en infraestructura crítica.

La infraestructura crítica moderna no incluye sólo los grandes objetivos obvios, como las plantas de energía o los servicios de agua. También depende de proveedores y proveedores de servicios con una o dos conexiones ascendentes, como proveedores de tecnología de la información administrada, operadores de centros de datos y de nube, y proveedores de repuestos especializados, que mantienen en funcionamiento todo, desde hospitales hasta sistemas de tránsito.

Esta es una de las razones por las que los funcionarios estadounidenses enfatizan que la infraestructura crítica es un problema que afecta a toda la sociedad y no un problema gubernamental. Las directrices “Shields Up” de la Agencia de Seguridad de Infraestructura y Ciberseguridad fueron escritas para esta misma realidad: un mundo donde los shocks geopolíticos pueden amenazar a organizaciones que no creían que fueran parte del campo de batalla.

Las operaciones cibernéticas suelen tener que ver con opciones

Cuando la gente imagina la ciberguerra, muchos suelen imaginar resultados dramáticos. Las luces se apagan. El agua se vuelve tóxica. Los trenes paran. Esos escenarios son riesgos reales. Pero no son el único objetivo y, a menudo, ni siquiera el principal. El verdadero valor estratégico es el acceso.

El acceso cibernético es como un juego de llaves. Si puedes entrar tranquilamente a la red, quedarte ahí y aprender cómo funciona, creas opciones para más adelante. Puede robar información, mapear dependencias y configurarse para causar interrupciones. Puede mantener la opción de huelga en su bolsillo para que en una crisis pueda causar o amenazar de manera creíble con causar daños.

Es por eso que las agencias estadounidenses tomaron tan en serio la actividad de piratería del grupo Walt Typhoon vinculado a China. En el aviso conjunto, los funcionarios estadounidenses describieron una campaña que comprometió los sistemas de tecnología de la información de organizaciones en múltiples sectores de infraestructura crítica y utilizó las llamadas técnicas de vida en el extranjero que podrían encajar en actividades administrativas normales.

Este es un punto importante. Gran parte de la actividad cibernética relacionada con el Estado no está diseñada para crear un caos visible e inmediato. Está diseñado para generar apalancamiento.

Desde el comienzo de la guerra, los piratas informáticos iraníes han estado trabajando en toda la región del Golfo Pérsico y mucho más allá. Cómo suelen funcionar los ciberataques patrocinados por el Estado

La mayoría de las operaciones cibernéticas patrocinadas por el Estado, incluidas las realizadas por Estados Unidos, siguen una secuencia común.

En primer lugar, los atacantes obtienen acceso inicial a técnicas como el phishing, la explotación de vulnerabilidades conocidas o el abuso de un acceso remoto débil. Una vez dentro, los atacantes intentan descubrir dónde se encuentran los datos valiosos y los sistemas confidenciales. Buscan mayores privilegios y se mueven lateralmente, a menudo utilizando herramientas administrativas legítimas para encajar.

Esas maniobras sigilosas son una de las razones por las que campañas como Walt Typhoon han dado la alarma. Los defensores pueden tener dificultades para distinguir a un intruso de un administrador normal en un entorno ajetreado, especialmente cuando el intruso intenta deliberadamente hacer que sus acciones parezcan una actividad normal.

Luego, los atacantes establecen persistencia, lo que significa que pueden mantener el acceso. Si el objetivo es aprovechar, los atacantes quieren sobrevivir a los esfuerzos de limpieza de los defensores después de descubrir que han sido pirateados. Esto podría significar adquirir múltiples fortalezas, cambiar la configuración de autenticación u obtener acceso a través de terceros.

Finalmente, eligen los efectos que quieren tener. Consideremos el ataque “Shamoon” de 2012 en Arabia Saudita. Después de obtener acceso, los atacantes utilizaron malware para borrar datos de miles de computadoras del gigante petrolero Saudi Aramco, interrumpiendo las operaciones.

Pero no todas las incursiones terminan en destrucción. A veces termina siendo un robo de datos, donde la recompensa es información en lugar de causar tiempo de inactividad. Un ejemplo es la violación de 2015 de la Oficina de Gestión de Personal de EE. UU., en la que los atacantes robaron datos personales confidenciales. Otras veces, el punto es una disrupción diseñada para enviar un mensaje como el ciberataque de 2014 a Sony Pictures, cuando los piratas informáticos intentaron impedir que la compañía lanzara la comedia The Interview.

¿Qué defensas tiene Estados Unidos?

Estados Unidos tiene un ecosistema de defensa en crecimiento, pero ese no es el único escudo que se puede activar. La Agencia de Seguridad de Infraestructura y Ciberseguridad alienta a las organizaciones a aumentar su vigilancia de la ciberseguridad durante períodos de mayor riesgo geopolítico. La agencia, junto con el FBI, la Agencia de Seguridad Nacional y socios internacionales, también publica avisos con indicadores y mitigaciones recomendadas cuando ven campañas activas.

Dado que la infraestructura crítica es en gran medida de propiedad privada, la defensa federal también depende de las asociaciones. Por ejemplo, la Colaboración Conjunta de Ciberdefensa Cibernética y Seguridad de Infraestructura de la Agencia está diseñada para apoyar la planificación público-privada coordinada y el intercambio de información sobre los principales riesgos cibernéticos.

El Congreso también alentó al sector privado a informar incidentes más rápidamente. La Ley de Notificación de Incidentes Cibernéticos de Infraestructura Crítica de 2022 establece plazos de presentación de informes que incluyen informar de incidentes cibernéticos dentro de las 72 horas y pagar ransomware dentro de las 24 horas posteriores al pago. La Agencia de Seguridad de Infraestructura y Ciberseguridad hace cumplir estos requisitos mediante la reglamentación continua.

Estos son pasos importantes, pero no borran las limitaciones subyacentes: recursos desiguales, incentivos desiguales y la realidad de que muchos objetivos están más allá del control federal directo.

Lecciones del Striker Hack

El episodio de Stryker es un recordatorio de que las operaciones cibernéticas son ahora una herramienta rutinaria que los actores vinculados al Estado pueden utilizar para proyectar poder durante las crisis internacionales. Pueden tener como objetivo el robo, la interferencia o la señalización. A veces afectan a las redes gubernamentales y otras a empresas privadas que están dentro de las cadenas de suministro centrales.

De cualquier manera, las consecuencias pueden sentirse mucho más allá del conflicto mismo.

En un conflicto cibernético, la parte tranquila (obtener acceso, establecer persistencia y prepararse para el despliegue) suele ser lo primero. Las interrupciones visibles suelen aparecer en los titulares, pero el posicionamiento encubierto prepara el escenario para operaciones cibernéticas ofensivas en una crisis.

Las guerras de hoy no se libran sólo con misiles y ataques aéreos que se pueden ver en el cielo. También luchan con lo que no se puede ver moviéndose a través de las redes informáticas.