Entre el 28 de febrero y el 1 de marzo de 2026, CloudSEK contabilizó más de 150 incidentes hacktivistas “reclamados” en canales abiertos, con predominio de ataques DDoS, desfiguraciones web y supuestas filtraciones de datos contra objetivos gubernamentales, financieros, de aviación, telecomunicaciones e infraestructura crítica.
La actividad se vinculó explícitamente a la escalada regional tras los ataques conjuntos del 28 de febrero, identificados como Operation Roaring Lion y Operation Epic Fury.
En paralelo, fuentes del sector reportaron una caída severa de la conectividad de internet en Irán (en torno a 1–4% de disponibilidad), lo que condiciona el ritmo y la coordinación de operaciones más sofisticadas a corto plazo.
La cronología descrita por CloudSEK sitúa el punto de inflexión el 28 de febrero de 2026, cuando Israel y Estados Unidos lanzaron ataques coordinados contra objetivos en Irán bajo los nombres en clave Operation Roaring Lion y Operation Epic Fury.
El informe añade que, junto a la dimensión cinética, se observó una fase híbrida con disrupciones digitales de gran escala y riesgos de propagación hacia sectores tecnológicos y de infraestructura crítica dentro y fuera de la región.
En el plano táctico, CloudSEK señala que el volumen de incidentes y la concentración de objetivos sugieren campañas “débilmente coordinadas” más que acciones aisladas, y advierte que parte de la atribución y del daño reportado se basa en afirmaciones de los propios actores sin validación técnica completa.
Infosecurity Magazine, citando a CloudSEK, también enmarca el pico de actividad en más de 150 incidentes en ese mismo periodo y describe un patrón dominado por DDoS, desfiguración de sitios y reclamos no verificados de brechas, con foco en administración pública, banca, aviación y telecomunicaciones.
Distintos análisis de inteligencia de amenazas aportaron señales adicionales sobre el ecosistema operativo emergente.
Unit 42 (Palo Alto Networks) informó haber observado campañas de phishing vinculadas al contexto, incluyendo el uso de una réplica maliciosa de la aplicación RedAlert del Home Front Command israelí mediante un APK para vigilancia y exfiltración de datos.
La misma nota recoge un aumento de actividad hacktivista y menciona la aparición de una “Electronic Operations Room” formada el 28 de febrero de 2026, además de enumerar colectivos y “personas” asociadas a operaciones de DDoS, hack-and-leak, desfiguración y, en algunos casos, afirmaciones sobre acceso a entornos industriales.
En cuanto al impacto y la gestión del riesgo, el regulador británico NCSC indicó que no veía, por el momento, un cambio significativo en la amenaza directa de Irán contra el Reino Unido, pero sí alertó de un mayor riesgo indirecto para organizaciones con oficinas o cadenas de suministro en Oriente Medio.
Entre las medidas defensivas destacadas por NCSC y Unit 42 figuran reforzar autenticación multifactor, aumentar la monitorización de activos expuestos a internet y asegurar copias de seguridad desconectadas para resistir escenarios de ransomware o borrado.mexico.quadratin+1
Unit 42 recomendó además verificar solicitudes sensibles por canales alternativos (“out-of-band”), acelerar parches y endurecimiento en infraestructura pública (web, VPN, nube) y preparar planes de comunicación para gestionar campañas de desinformación o exageración de impactos por parte de hacktivistas.
