Antes de los misiles vino el hackeo en la guerra de Medio Oriente

Cuando los misiles iraníes cruzaron el espacio aéreo de Jordania la madrugada del 28 de febrero de 2026 en respuesta a los ataques de Estados Unidos e Israel, las autoridades del reino recibieron una sorpresa que las unidades de ciberseguridad ya no deberían haber tenido: sus sistemas de aviación civil llevaban meses comprometidos.

Los archivos de la Comisión de Aviación Civil de Jordania habían sido extraídos silenciosamente por hackers iraníes antes de que un solo proyectil fuera lanzado. El mapa de los blancos no lo dibujaron los generales del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) esa noche. Lo habían trazado sus programadores, entre 2021 y 2025, desde computadoras en Teherán.

Esa es la conclusión de un reporte publicado por CloudSEK, firma de inteligencia de amenazas de origen indio, que analizó la mayor filtración de documentos internos de un grupo de ciberespionaje estatal en la historia reciente.

La filtración, publicada en GitHub bajo el nombre "KittenBusters" entre septiembre y octubre de 2025, expuso los registros operativos completos del grupo conocido como APT35, también rastreado bajo los nombres Charming Kitten, Phosphorus o Mint Sandstorm, y atribuido formalmente a la Organización de Inteligencia de la Guardia Revolucionaria Islámica de Irán (IRGC-IO).

Un patrón

CloudSEK documentó cuatro años de operaciones metódicas: accesos plantados, archivos extraídos, infraestructuras mapeadas. Cada país al que Irán golpeó con misiles y drones en los días posteriores al 28 de febrero había sido, previamente, objeto de operaciones sistemáticas de APT35.

Los documentos filtrados muestran que el Ministerio de Justicia de Jordania fue penetrado mediante una vulnerabilidad en PHP. Los materiales internos del gobierno de Dubai fueron obtenidos antes de que los ataques apuntaran al aeropuerto de esa ciudad y a Al Dhafra. Los documentos del Consejo de Ministros de Arabia Saudita, incluyendo decisiones de política de Estado, fueron comprometidos antes de que el primer misil impactara en Riad.

Los documentos filtrados revelan que APT35 opera con una estructura burocrática semejante a la de una unidad militar. Las directivas de campaña fluyen desde una unidad central de coordinación que establece cuotas y objetivos de misión a sus subordinados. Los operadores registran sus horas de trabajo, tareas completadas y tasas de éxito.

Los analistas de CloudSEK son cautelosos. No hay prueba de que los datos robados dictaron los blancos del ataque. Lo que sí hay es un mapa de reconocimiento que coincide punto a punto con los objetivos que Irán bombardeó.

Unificación de los actores

Una de las revelaciones más significativas de la filtración es la confirmación de que varios grupos que la comunidad de ciberseguridad consideraba entidades separadas operan, en realidad, bajo el mismo presupuesto.

La atribución directa de las personas "Moses-Staff" y "Qassam" a Charming Kitten es un hallazgo significativo no reportado anteriormente. Moses-Staff ha sido responsable de ataques destructivos con ransomware contra empresas israelíes desde 2021; Al-Qassam Cyber Fighters ejecutó campañas masivas de denegación de servicio contra instituciones financieras de Estados Unidos e Israel. Ambas operaban con el mismo dinero y bajo la misma cadena de mando.

El grupo opera como una unidad de ciberespionaje burocratizada y orientada por cuotas, con estructuras de mando jerárquicas, métricas de desempeño y equipos de ataque especializados. El código fuente completo de su arsenal, los programas maliciosos BellaCiao y Sagheb RAT, entre otros, fue publicado en la filtración, lo que permite a los equipos de defensa construir reglas de detección precisas por primera vez.

Más allá del Golfo

Para las empresas y gobiernos que observan el conflicto desde América Latina, la lección no es abstracta. La doctrina documentada en estos archivos es transferible a cualquier contexto donde un actor estatal o criminal quiera maximizar el daño antes de revelar sus intenciones.

APT35 demostró su capacidad para convertir en arma nuevas vulnerabilidades críticas en cuestión de horas tras su divulgación pública, integrándolas en campañas repetitivas medidas por indicadores de desempeño.

El reporte de CloudSEK muestra que los archivos filtrados son el mapa de reconocimiento de la campaña cinética que comenzó el 28 de febrero. En la guerra moderna, el primer disparo no hace ruido. Ocurre en silencio, años antes, en un servidor comprometido.

rodrigo.riquelme@eleconomista.mx