“La primera víctima de la guerra es la verdad.” Atribuido a Esquilo, y nunca tan acertado como cuando el campo de batalla es invisible, las armas son paquetes de datos, y los objetivos son los cimientos digitales de una civilización globalizada.
El panel que lo vio venir
La mañana del 3 de marzo de 2026, un panel de control se actualizaba silenciosamente en el sistema de monitoreo conocido como NEXUS, una plataforma de inteligencia y observación desarrollada por Cyberium Limited para rastrear, en tiempo real, la salud de las infraestructuras digitales críticas en las regiones más sensibles del mundo. La captura de pantalla, tomada a las 14:41:21 y reproducida aquí como parte de este análisis, cuenta una historia que ningún noticiario estaba transmitiendo en ese preciso momento. Bahréin, que alberga simultáneamente la región AWS me-south-1 y el cuartel general de la Quinta Flota de la Marina de los EE.UU., estaba al 56% de salud. Los Emiratos Árabes Unidos, sede de me-central-1 y uno de los ecosistemas financieros más dependientes del cloud del mundo, habían caído al 50%. Tel Aviv, paradójicamente, mostraba el 100%. Dos incidentes activos, ambos calificados con radio de impacto máximo 5/5, se propagaban a través de pilas multi-servicio en todo el Golfo. La cadena de dependencia indicaba: Multi-Svc, luego EC2, luego CloudWatch, luego ECR. Tiempo estimado de resolución: de dos a seis horas.
Esto no es una metáfora. Es un feed de inteligencia en tiempo real de una de las zonas de conflicto más significativas del planeta, traducido en la gramática fría del monitoreo de salud de servicios, clasificaciones de criticidad y puntuaciones de riesgo de propagación. NEXUS no editorializa. Observa, correlaciona y calcula. Y el 3 de marzo de 2026, estaba calculando la firma digital de una guerra.
La arquitectura de la guerra moderna
Hay una tendencia, cuando las guerras comienzan, a recurrir al vocabulario del siglo XX. Hablamos de campañas aéreas, de bombardeos estratégicos, como si estuviéramos narrando la RAF sobre el Ruhr en 1943, o las salidas americanas sobre Vietnam del Norte. Pero la guerra que comenzó el 28 de febrero de 2026 entre Estados Unidos e Israel por un lado e Irán por el otro no se libra únicamente en el espacio aéreo sobre Teherán. Se libra, simultáneamente y con igual intensidad, en el espectro electromagnético, en las tablas de enrutamiento de los proveedores de servicios de internet, en los registros de autenticación de las plataformas cloud, y en las redes de tecnología operativa de las refinerías de petróleo y los sistemas logísticos portuarios de toda la región del Golfo.
La Operación Epic Fury, como denominó su campaña el bando americano, y la Operación Rugido del León, la designación israelí, lanzaron sus primeras frappes contra 500 objetivos militares en una sola noche, desplegando aproximadamente 200 cazas en lo que la Fuerza Aérea Israelí describió como la mayor salida de combate de su historia. Más de 1.200 bombas se lanzaron en las primeras 24 horas. Los bombarderos furtivos B-2 estadounidenses lanzaron docenas de municiones penetrantes de 900 kg sobre lanzadores de misiles balísticos enterrados en profundidad. Los objetivos incluían sistemas de defensa aérea, lanzadores de misiles balísticos, el complejo personal del Líder Supremo Ali Jamenei, quien fue asesinado en las primeras frappes, y la sede de IRIB, la emisora estatal iraní, golpeada el 3 de marzo.
Este último objetivo merece más atención de la que ha recibido. La emisora estatal no es una instalación militar. Es el sistema nervioso de información de un gobierno. Destruirla logra algo que una batería de misiles no puede lograr: corta la capacidad del régimen de narrar su propia supervivencia a su propio pueblo. El paralelo con los transmisores de la BBC que los Aliados lucharon por mantener operativos durante la Segunda Guerra Mundial no es accidental. En este conflicto, controlar el entorno informativo es inseparable de controlar el campo de batalla físico.
La ciberguerra que precedió a las bombas
Lo que el ciclo de noticias convencional no captó, como siempre ocurre, es que la campaña cinética no comenzó el 28 de febrero. La campaña cibernética comenzó semanas, quizás meses, antes. Los investigadores de seguridad de Approov documentaron un aumento significativo en ataques sofisticados de sondeo de API contra aplicaciones gubernamentales regionales a partir de principios de febrero de 2026, sondeos que se detuvieron abruptamente el 27 de febrero. Binary Defense informó que Irán parecía estar preparando activamente malware para atacar entidades en Israel y Oriente Medio incluso antes de que comenzaran los ataques aéreos. MuddyWater, APT42, APT33 y APT34 habían estado ejecutando campañas de intrusión persistente durante meses.
Esta es la arquitectura de la guerra híbrida moderna, y sigue una lógica tan antigua como la estrategia militar misma. No se comienza una guerra; uno se posiciona para una guerra. Se pre-posicionan capacidades. Se establece persistencia. Se espera. Cuando caen las bombas, las operaciones cibernéticas pasan de la recopilación de inteligencia a la disrupción y la degradación activa. Los monitores independientes confirmaron que la conectividad de internet de Irán se desplomó entre el 1 y el 4 por ciento de los niveles normales en horas, lo que CloudSEK describió como posiblemente el mayor ciberataque de la historia contra la infraestructura digital de un Estado-nación.
Los servicios digitales gubernamentales se apagaron en Teherán, Isfahán y Chiraz. Los sistemas de comunicaciones del IRGC fueron perturbados. La aplicación de rezos BadeSaba fue comprometida para mostrar mensajes que instaban al personal militar a desertar. La agencia de noticias estatal IRNA vio su portada reemplazada con mensajes antirrégimen. Estas no son las acciones de hacktivistas. Son operaciones estatales coordinadas, sincronizadas al minuto con la campaña cinética.
Por qué estos objetivos, y por qué de nuevo
Los sitios nucleares y los lanzadores de misiles representan el estrato obvio de objetivos. Los 460 kilogramos de uranio enriquecido al 60% de Irán, suficiente para once armas nucleares según estimaciones de funcionarios estadounidenses, proporcionaron la justificación estratégica. El arsenal de misiles balísticos, con más de 500 misiles balísticos y navales y casi 2.000 drones lanzados contra Israel y bases estadounidenses regionales a principios de marzo, proporcionó la justificación militar inmediata.
Pero al mirar más de cerca lo que fue golpeado en los primeros diez días, emerge un segundo estrato. Depósitos de petróleo. Instalaciones de refinación de combustible. El depósito de petróleo Shahran en las afueras de Teherán, ardiendo durante días tras el ataque. La zona industrial Shokouhiyeh en Qom, donde los residentes tuvieron horas para evacuar. Estos son objetivos de infraestructura cuya destrucción no degrada la capacidad militar directamente. Degradan el sustrato económico del que depende la capacidad militar. El Brent subió a 119,50 dólares por barril. Bapco Energies de Bahréin declaró fuerza mayor. El spoofing GPS y la interrupción AIS se confirmó en más de 1.100 barcos en aguas del Golfo.
El panel NEXUS registró todo esto en tiempo real. La puntuación de salud del 56% para Bahréin y del 50% para los EAU no eran fallos técnicos en los centros de datos de Amazon. Eran la firma digital de una guerra librada sobre el sistema nervioso de una región. Irán ha nombrado a Mojtaba Jamenei, hijo del Líder Supremo asesinado, como su sucesor. Un régimen que nombra un sucesor bajo las bombas es un régimen que pretende seguir combatiendo.
Lo que no estamos discutiendo
La región del Golfo no es un teatro distante cuyas disrupciones digitales están contenidas dentro de su propia geografía. Es un nodo en una red global de interdependencias que llega a cada banco, cada plataforma logística, cada carga de trabajo cloud que se ejecuta en Oriente Medio, y a través de estas a cada sistema que depende de ellas. Cuando los incidentes Multi-Svc se propagan a través de esas regiones con un radio de impacto de 5/5, como registró el panel NEXUS a las 17:14 del 3 de marzo, la cadena de dependencias no se detiene en la frontera regional.
La CISA, la Agencia de Ciberseguridad e Infraestructura de los EE.UU., estaba operando con aproximadamente el 38% de sus niveles de personal autorizados cuando comenzó este conflicto, resultado de un cierre parcial del gobierno y una reorganización de la gestión. El momento más peligroso para las infraestructuras críticas estadounidenses llegó precisamente cuando la agencia diseñada para defenderlas estaba en caída libre administrativa.
Las capacidades cibernéticas de Irán no están limitadas por el apagón de internet doméstico. Los grupos que operan bajo la dirección del IRGC, Handala, APT34, APT35, MuddyWater, APT42, Hydro Kitten, la Sala de Operaciones Electrónicas establecida el 28 de febrero de 2026, operan a través de proxies, infraestructuras pre-posicionadas fuera de Irán, y operadores afiliados en Líbano, Irak y Yemen que no están afectados en absoluto por el apagón doméstico.
Particularmente preocupante es el grupo de ransomware Sicarii, que surgió en diciembre de 2025 con un defecto crítico de diseño: su cifrado descarta sus propias claves después de cifrar archivos, haciendo que el descifrado sea permanentemente imposible tanto para las víctimas como para los operadores. Un grupo que despliega ransomware que no puede revertirse no está ejecutando una operación de extorsión criminal. Está ejecutando una operación de destrucción con un barniz financiero.
La historia que olvidamos leer
En 2010, un malware llamado Stuxnet, atribuido posteriormente a una operación conjunta EE.UU.-Israel, destruyó aproximadamente un quinto de las centrifugadoras nucleares de Irán en la instalación de Natanz, haciéndolas girar hasta su destrucción mientras reportaban un funcionamiento normal a los sistemas de monitoreo. Era el arma cibernética más sofisticada jamás desplegada en un conflicto, y su lección era que la infraestructura crítica de una nación podía ser destruida de forma remota, invisible y con total negabilidad. Irán absorbió esa lección. Pasó los siguientes quince años construyendo la capacidad para responder en especie.
CyberAv3ngers, un grupo vinculado al IRGC, atacó sistemas de agua y gas en Estados Unidos en 2024, comprometiendo Controladores Lógicos Programables en instalaciones de múltiples estados. El Boston Children’s Hospital fue atacado en 2017. Los actores cibernéticos iraníes habían establecido puntos de apoyo persistentes en infraestructuras críticas de Oriente Medio mediante robo de credenciales y compromiso de VPN al menos desde principios de 2025.
El aforismo de Sun Tzu de que el arte supremo de la guerra es someter al enemigo sin combatir encuentra su expresión contemporánea en el malware pre-posicionado que espera en silencio dentro de la red de un adversario, en los sondeos API que mapean vulnerabilidades meses antes del primer ataque cinético, y en el spoofing GPS que deja repentinamente inciertos de su posición a 1.100 barcos en uno de los corredores marítimos más transitados del mundo.
Qué podría pasar: análisis de escenarios
A medida que el inventario de misiles convencionales de Irán se agota, con los analistas estimando que el consumo ha reducido las reservas utilizables en aproximadamente el 40% desde el inicio de la campaña, el incentivo estratégico para sustituir operaciones cibernéticas aumenta. Un régimen con menos misiles tiene razones más fuertes para maximizar el uso de armas que no cuestan nada replicar: el malware, los wipers, las botnets DDoS, los implantes pre-posicionados en redes de tecnología operativa que pueden activarse con un solo comando cifrado.
La infraestructura de petróleo y energía del Golfo, ya perturbada por la fase cinética del conflicto, es el objetivo más expuesto y más significativo para la fase cibernética que seguirá. Los sistemas SCADA que controlan las operaciones de refinería, la gestión de presión de oleoductos, las plataformas de perforación offshore y la logística de terminales GNL son precisamente el tipo de entornos de tecnología operativa en los que CyberAv3ngers y APT34 han demostrado acceso persistente.
Los operadores de infraestructura europeos que creen que este escenario es geográficamente remoto están cometiendo un error categórico. La arquitectura cloud que sustenta los sistemas financieros europeos, las redes logísticas y las infraestructuras críticas no está aislada de las regiones del Golfo actualmente bajo ataque. La cadena de dependencias NEXUS, de multi a ec2 a cloudwatch a ecr, es una representación simplificada de rutas que se extienden hacia cargas de trabajo en Fráncfort, París, Londres y Milán.
Análisis técnico: lo que nos dicen los datos
Las tablas siguientes presentan la evaluación de inteligencia estructurada producida por la plataforma NEXUS y corroborada por inteligencia de fuentes abiertas de Unit 42 (Palo Alto Networks), CloudSEK, CSIS, el Centro Canadiense de Ciberseguridad, Google Threat Intelligence Group, CrowdStrike y Halcyon. No pretenden ser un briefing técnico exhaustivo, sino un instrumento de calibración, una forma de asignar pesos relativos a amenazas que la cobertura narrativa de este conflicto hasta ahora ha tratado como equivalentes o ha ignorado por completo.
Tabla 1 — Categorías de Objetivos, Lógica de Ataques y Correlación Cibernética
| Categoría de Objetivo | Propósito | Cinético | Cibernético | Probabilidad nuevo ataque |
| Defensa Aérea / SAM | Degradar envolvente A2/AD | Sí | Interferencia comms | Muy Alta |
| Sitios de Misiles Balísticos | Reducir capacidad ofensiva | Sí | Spoofing pre-lanzamiento | Muy Alta |
| Instalaciones Nucleares | No-proliferación / negación WMD | Sí | Disrupción SCADA | Alta |
| IRIB Emisora Estatal | Control narrativo | Sí | Defacement web | Media |
| Depósitos petróleo / Refinerías | Desgaste económico | Sí | Ataque SCADA / OT | Alta |
| Residencia Liderazgo | Decapitación | Sí | Apagón comunicaciones | Baja (cumplida) |
| Nodos Red Eléctrica | Disrupción sistémica | Parcial | Malware pre-posicionado | Muy Alta |
| Logística portuaria / Marítima | Presión cadena suministro | No | Spoofing AIS/GPS | Alta |
| Cloud / Infra Telecom | Apagón info, corte C2 | No | Secuestro BGP, DDoS | En curso |
Tabla 2 — Estado de Salud Regional AWS, 3 de marzo de 2026 (Datos de inteligencia en tiempo real NEXUS)
| Región AWS | Sede | Salud (03/03) | Incidente Activo | Radio Impacto | MTTR Estimado |
| me-south-1 | Bahréin | 56% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| me-central-1 | EAU | 50% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| il-central-1 | Tel Aviv | 100% | Sin incidente | 0/5 | — |
| Global Edge | CloudFront | 94% | Menor (Resuelto) | 1/5 | Resuelto |
Tabla 3 — Actores de Amenaza Alineados con Irán, Capacidades y Sectores Objetivo
| Actor de Amenaza | Afiliación | TTP Principal | Sector Objetivo | Sofisticación |
| Handala Hack | MOIS | Exfiltración + wiper + filtraciones | Defensa, salud, energía | Alta |
| APT34 / OilRig | IRGC | Spear-phishing, exploit PLC | Gov, finanzas, OT/ICS | Muy Alta |
| APT35 / Charming Kitten | IRGC | Robo credenciales, vigilancia móvil | Periodistas, diáspora, gov | Alta |
| MuddyWater / Op. Olalampo | MOIS | Backdoor VPN, webshell | Gov, telco, finanzas | Alta |
| APT42 | IRGC-IS | Ing. social, vigilancia | Sociedad civil, gov occid. | Alta |
| Hydro Kitten | IRGC-alineado | DDoS, sector financiero | Banca, finanzas CCG | Media |
| CyberAv3ngers | IRGC | Ataques PLC OT/ICS | Agua, gas, utilities | Alta |
| Electronic Ops Room | Coord. IRGC | Operaciones híbridas multi-vector | Infra. regional, medios | Muy Alta |
| Sicarii Ransomware | Criminal/proxy IRGC | RaaS — destrucción permanente datos | Industria, región META | Media-Alta |
| KillNet (ruso-alineado) | Oportunista | Campañas DDoS | Objetivos adyacentes OTAN | Media |
Tabla 4 — Evaluación de Escenarios Futuros (Horizonte 6 Meses)
| Escenario | Probabilidad (6m) | Vector de Ataque | Objetivo | Impacto Potencial |
| Wiper malware en OT del Golfo | >60% Alta | Implantes pre-posicionados | SCADA oil/gas | Disruption suministro regional, petróleo >150$ |
| Secuestro BGP/DNS cloud CCG | ~40% Media | Manipulación de rutas | Sector financiero | Fallo autenticación, exposición masiva datos |
| DDoS infraestructura crítica UE | ~45% Media | Botnet, cadena proxy | Energía, hospitales | Interrupción servicios, ~50M€+ |
| Saturación AIS/GPS Ormuz | >65% Alta | Guerra electrónica | Navegación comercial | Desvío carga, pico petróleo |
| Ataques agua potable EE.UU. | ~35% Media | Exploit PLC (CyberAv3ngers) | Utilities hídricas | Riesgo contaminación, salud pública |
| Interceptación telecom occidental | ~25% Baja | Backdoor VPN (APT34) | ISP, operadores satélite | Recopilación inteligencia largo plazo |
| Disrupción mercados financieros UE | ~20% Baja | DDoS + desinformación | Bolsas, bancos | Volatilidad mercados, riesgo sistémico |
| Ransomware cadena suministro | >50% Med-Alta | Proveedor comprometido | Shipping, puertos, logística | Disruption en cascada, semanas de retraso |
Tabla 5 — Indicadores Clave de Riesgo y Rendimiento: Estado Operativo Actual
| KPI / KRI | Valor Actual | Umbral de Alerta | Estado | Acción Recomendada |
| Salud AWS me-south-1 | 56% | <70% = Alerta | CRÍTICO | Activar DR failover en eu-west-1 |
| Salud AWS me-central-1 | 50% | <70% = Alerta | CRÍTICO | Failover a ap-south-1 |
| Brent Crudo | ~$113–119/bbl | >$100 = Elevado | ELEVADO | Revisar cobertura suministros energéticos |
| Grupos hacktivistas activos | 8+ activos | >5 = Alto | ALTO | Elevar umbral alerta EDR |
| Personal CISA | ~38% | <75% = Peligro | CRÍTICO | Contratar MSSP sector privado |
| Spoofing GPS/AIS Golfo | 1.100+ barcos | >500 = Alerta | ELEVADO | Activar protocolos navegación alternativos |
| Existencias misiles iraníes | Est. 40% agotadas | <30% = Cambio táctico | VIGILANCIA | Monitorear escalada ciber |
| Radio impacto cloud (máx) | 5/5 | >=4 = Crítico | CRÍTICO | Aislar dependencias cloud regionales |
| Malware pre-posicionado (conocido) | Activo (no cuantificado) | Cualquiera = Alerta | ALTO | Threat hunt OT/ICS, auditar logs VPN |
| Tráfico Estrecho de Ormuz | Perturbado | >10% desviación = Alerta | ELEVADO | Activar rutas logísticas alternativas |
Lo que NEXUS nos dice que los generales no dicen
La plataforma NEXUS no predice el futuro. Observa el presente con suficiente granularidad para hacer legible el futuro. Cuando muestra Bahréin al 56% y los EAU al 50%, no está reportando un fallo técnico. Está reportando la consecuencia digital de una guerra. Cuando muestra una cascada de dependencias de Multi-Svc a EC2 a CloudWatch a ECR, no está describiendo un diagrama de arquitectura. Está trazando el camino a lo largo del cual una disrupción se convierte en un fallo, se convierte en una cascada, se convierte en una crisis.
La pregunta que cada CISO, cada responsable de infraestructuras, cada regulador y cada responsable de políticas que lea este análisis debería hacerse no es si está viendo la guerra de Irán en televisión. Es si su mapa de dependencias se parece en algo al que el panel NEXUS está mostrando en tiempo real, y qué pretende hacer al respecto antes de que la cascada les alcance.
La historia no se repite. Pero rima. La rima que deberíamos escuchar, en el espectro de frecuencias entre las bombas y el silencio, es el sonido de un malware plantado hace meses, en una red cuyo propietario está viendo las noticias y pensando: esa guerra está sucediendo allá. No está sucediendo allá. Está en su red desde febrero.
Fuentes de datos: AWS Health RSS feeds, status.aws.amazon.com, Unit 42 / Palo Alto Networks, CloudSEK, CSIS, Centro Canadiense de Ciberseguridad, Google TIG, CrowdStrike, Halcyon, Al Jazeera, House of Commons Library, CNBC, The Register, Cybersecurity Dive.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
Acerca del autor :
🇮🇹 Amazon.it: https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 Amazon.fr: https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇪🇸 https://www.amazon.es/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4