La represalia cibernética de Irán es un problema para las empresas estadounidenses — 'Está en manos de un hacker de 19 años en una sala de Telegram', dice un exoperativo de la NSA

Cuando los ataques golpearon Teherán el sábado por la mañana, millones de iraníes recibieron una extraña notificación push en sus teléfonos. La aplicación de oración BadeSaba Calendar, que tiene más de 5 millones de descargas, había sido comprometida, y la aplicación emitió alertas diciendo: “¡Ha llegado la ayuda!” y llamaba a un “Ejército Popular” para defender a sus “hermanos iraníes”, según una evaluación de la empresa de inteligencia cibernética Flashpoint. El domingo, la aplicación envió instrucciones de rendición para los miembros rasos de la Guardia Revolucionaria Islámica y lugares seguros para que los manifestantes se reunieran.

Vídeo recomendado

Luego, los leales al régimen contraatacaron rápidamente.

Según Flashpoint, lo que siguió el domingo fue el uso “más agresivo” hasta ahora de lo que se conoce como la campaña cibernética “Gran Épica” de Irán, que es un grupo de operativos cibernéticos poco coordinados bajo un canal llamado la “Resistencia Islámica Cibernética”. Bajo el paraguas del grupo, varios ciberatacantes han cerrado gasolineras en Jordania y han liderado ataques contra proveedores militares estadounidenses e israelíes para destruir datos y realizar operaciones psicológicas imitando el hackeo de BadeSaba.

Las próximas 48 horas probablemente serán un periodo de “extrema volatilidad” en el que hacktivistas y proxies “tomarán la iniciativa en la escalada para llenar el vacío dejado por el mando central de Teherán”, señaló Flashpoint en una actualización. Estos actores supuestamente utilizan Telegram y Reddit como centro de coordinación, publicando capturas de pantalla de supuestos ataques como prueba, aunque se tarda semanas y a veces meses en verificar la exactitud, dijo Kathryn Raines, exexperta de la NSA que ahora es líder del equipo de inteligencia sobre amenazas en Flashpoint.

El hackeo de BadeSaba demuestra el modelo que los grupos proxy iraníes podrían ahora intentar desplegar al revés contra empresas occidentales y otros. Además, con el liderazgo iraní prácticamente diezmado por los ataques del sábado, la estructura de mando que supervisaba las operaciones cibernéticas de Teherán ha desaparecido esencialmente, dijo Raines.

“El vacío de liderazgo iraní probablemente llevará a ataques por poder más impredecibles y descentralizados”, dijo a _Fortune.

En la práctica, eso significa que hacktivistas alineados y grupos proxy toman sus propias decisiones de objetivo, sin la aprobación de las autoridades centrales. Así que si un grupo altamente agresivo decide atacar a una empresa de logística de tamaño medio solo para hacer una declaración, el riesgo se extiende más allá de Teherán, Washington D.C. o Nueva York, dijo Raines.

“Está en manos de un hacker de 19 años en una sala de Telegram sin supervisión ni dirección”, advirtió.

Por ello, los líderes empresariales estadounidenses deben estar preparados para la incertidumbre continua, dijo Brian Carbaugh, cofundador y CEO de la empresa de seguridad basada en IA Andesite y exdirector del selecto Centro de Actividades Especiales (SAC) de la CIA. Los iraníes han demostrado de forma constante a lo largo de los años que son increíblemente resilientes como gobierno y fuerza de resistencia. Y dado que el régimen está bombardeando a sus vecinos, la gente debería esperar que Irán continúe desatando sus formidables capacidades ofensivas cibernéticas, además de otros aspectos del poder nacional como sus misiles y proxies armados en todo el mundo, afirmó.

“La resistencia agresiva y creativa está integrada en el espíritu del aparato de seguridad iraní y en toda la República Islámica de Irán”, dijo Carbaugh, quien anteriormente fue jefe de gabinete de dos directores de la CIA. “Para los líderes empresariales y quienes protegen a las empresas y toman decisiones a un nivel muy alto, deben estar preparados para que esto continúe durante un tiempo y para que el conflicto tome varias direcciones diferentes y evite la carretera.”

A medida que los ataques estadounidenses e israelíes degradan las capacidades militares convencionales de Irán, los ciberataques resultan más atractivos, dijo Carbaugh. Es de bajo coste de desplegar, difícil de atribuir y extremadamente capaz de generar una disrupción psicológica y operativa desproporcionada en relación con la inversión requerida. Irán ha demostrado que es capaz de emular y construir sobre métodos de ciberataque que Rusia, por ejemplo, mostró por primera vez.

“La República Islámica siempre ha sentido un gran orgullo por las capacidades cibernéticas dentro de los servicios de seguridad”, dijo Carbaugh. Ese orgullo probablemente no se evaporará con la pérdida de altos cargos, y podría intensificarse a medida que otras opciones se reduzcan.

Según Raines, la mayoría de los planes de seguridad corporativos no están preparados para ataques como el hackeo de BadeSaba, que envió una notificación a potencialmente millones de musulmanes en Irán que usan la aplicación para seguir los horarios religiosos diarios en el momento en que comenzaron los ataques.

“Las empresas no están realmente preparadas para lo que llamaré operaciones psicológicas nihilistas que en realidad están destinadas a atacar el estado mental y la confianza de su plantilla”, explicó, contrastándolas con ataques diseñados para robar datos y desactivar sistemas.

Podría manifestarse en negocios como este: el personal de la región del Golfo empieza a recibir lo que parecen ser mensajes urgentes, quizás audios deepfake atribuidos a su líder regional o CEO, o comunicaciones supuestamente de la empresa sobre evacuaciones. Pero con las noticias locales fuera de línea y el escaso servicio de internet, la gente tendrá muy poca capacidad para verificar los hechos.

Pocas empresas tienen planes definidos sobre la realidad de los empleados en las horas siguientes, mientras que la modelización de riesgos suele basarse en el comportamiento estatal y en supuestos “líneas rojas” que evitan una guerra total, señaló Raines.

Para los consejos y altos cargos que se reúnan esta próxima semana, las preguntas clave para los líderes de seguridad tendrán que ver con el tiempo máximo que las funciones empresariales pueden estar fuera de línea antes de que lleguen a ingresos y reputación, predijo.

“Nos interesa menos la tasa de bloqueo y más el tiempo de recuperación”, dijo Raines.

Carbaugh dijo que, si estuviera en una llamada de consejo esta semana, querría saber si el negocio está en un nivel elevado de riesgo según lo que está ocurriendo en Irán. Si la respuesta es sí, querría saber qué se está haciendo para mitigar. Si la respuesta es no, haría aún más preguntas.

Los líderes deberían averiguar qué medidas se han tomado para garantizar que las empresas no estén en riesgo, averiguar cómo han interactuado con socios y otros para saber cómo detectan los ataques, y cómo se está utilizando actualmente la IA para ello, dijo Carbaugh.

Reiteró que no se trata de una crisis con resolución a corto plazo, y que se traduce en un riesgo cibernético que no desaparecerá de inmediato.

“Este conflicto podría tomar muchos giros y vueltas y tomar muchas direcciones diferentes”, dijo Carbaugh. “No creo que esto vaya a ser uno que vayamos a cerrar y dejar atrás en unos días. Esto requerirá vigilancia constante y protección de nuestras redes cibernéticas, seguridad física y todos los demás activos.”

Únete a nosotros en la Cumbre de Innovación en el Lugar de Trabajo de Fortune19–20 de mayo de 2026, en Atlanta. La próxima era de innovación en el lugar de trabajo ha llegado, y el viejo manual está siendo reescrito. En este evento exclusivo y lleno de energía, los líderes más innovadores del mundo se reunirán para explorar cómo la IA, la humanidad y la estrategia convergen para redefinir, de nuevo, el futuro del trabajo. Regístrate ahora.