Miles de registros personales supuestamente vinculados a atletas y visitantes de los juegos sauditas han sido publicados en línea por un grupo hacktivista pro-iraní llamado Cyber Fattah.
La compañía de seguridad cibernética RESecurity dijo que la violación se anunció en Telegram el 22 de junio de 2025, en forma de vertederos de bases de datos SQL, que lo caracterizó como una operación de información «llevada a cabo por Irán y sus representantes».
«Los actores obtuvieron acceso no autorizado a PhPMyadmin (backend) y exfiltraron registros almacenados», dijo ReseCurity. «Este es un ejemplo de Irán que usa violaciones de datos como parte de una actividad de propaganda anti-Israel y anti-saudi más grande, apuntando a los principales eventos deportivos y sociales».
Se cree que los datos probablemente se extraen del sitio web oficial de los Juegos Saudí 2024 y luego se comparten en Darkforums, un foro de delitos cibernéticos que ha llamado la atención a raíz de los repetidos derribos de Breachforums. La información fue publicada por un usuario del foro llamado ZeroDayx, un perfil de quemador que probablemente fue creado para promover esta violación.
Los datos filtrados incluyen credenciales del personal de TI; direcciones de correo electrónico oficiales del gobierno; información de los atletas y visitantes; pasaportes y tarjetas de identificación; extractos bancarios; formas médicas; y copias escaneadas de documentos sensibles.
«Las actividades de Cyber Fattah se alinean con una tendencia más amplia de hacktivismo en el Medio Oriente, donde los grupos se dedican a la guerra cibernética como una forma de activismo», dijo ReseCurity.
La fuga se desarrolla en el contexto de las tensiones a fuego lento entre Irán e Israel, con hasta 119 grupos hacktivistas que afirman haber realizado ataques cibernéticos o han hecho declaraciones para alinearse o actuar contra las dos naciones, por cibernowk.
Cyber Fattah, que se llama a sí mismo un «equipo cibernético iraní», tiene un historial de apuntar a recursos web israelíes y occidentales y agencias gubernamentales.
También se sabe que colabora con otros actores de amenazas activos en la región, como el equipo 313, que se atribuyó la responsabilidad de un ataque distribuido de denegación de servicio (DDoS) contra la plataforma de redes sociales Verdad Social en represalia por los ataques aéreos estadounidenses en las instalaciones nucleares de Irán.
«Este incidente de Cyber Fattah puede indicar un cambio interesante de la actividad maliciosa centrada en Israel hacia un enfoque más amplio en la mensajería anti-us y anti-saudita», dijo ReseCurity.
La semana pasada, un grupo pro-Israel conocido como Sparrow depredatorio (también conocido como Adalat Ali, Gonjeshke Darande, Indra o Meteorexpress) afirmó haber filtrado datos obtenidos del Ministerio de Comunicaciones de Irán. En particular, también pirateó el intercambio de criptomonedas más grande de Irán, Nobitex, y quemó más de $ 90 millones en criptomonedas enviando activos digitales a billeteras no válidas.
La compañía de ciberseguridad Outpost24 dijo que los atacantes posiblemente tenían «acceso a la documentación interna que detallaba el funcionamiento interno del intercambio y posiblemente incluso las credenciales de autenticación» para lograr el atraco, o que era un caso de un experto deshonesto que trabajaba con el grupo.
«Este no era un atraco motivado financieramente, sino una operación estratégica, ideológica y psicológica», dijo la investigadora de seguridad Lidia López Sanz. «Al destruir en lugar de exfiltrar fondos, el actor de amenaza enfatizó sus objetivos: desmantelar la confianza pública en las instituciones vinculadas al régimen y señalar su superioridad técnica».
Posteriormente, el 18 de junio, la transmisión estatal de Irán IRIB (abreviatura de la transmisión de la República Islámica de Irán) fue secuestrado para mostrar imágenes del gobierno pro-israelí y anti-iraní. Irib afirmó que Israel estaba detrás del incidente.
 |
| Fuente de la imagen: cyberknow |
Israel, por su parte, también se ha convertido en un objetivo de grupos de piratería pro-palestina como el equipo Handala, que ha enumerado varias organizaciones israelíes en su sitio de fuga de datos a partir del 14 de junio de 2025. Estos incluyeron Delek Group, YG New Idan y Aerodreams.
Otra tendencia observada en la guerra cibernética entre Irán e Israel es la elaboración de grupos hacktivistas más pequeños para formar entidades paraguas como la resistencia cibernética o un frente cibernético unido para Palestina e Irán.
«Estos cibernéticos» afiliados «afiliados comparten recursos y sincronizan campañas, amplificando su impacto a pesar de la sofisticación técnica limitada», dijo Trustwave SpiderLabs en un informe publicado la semana pasada.
La compañía también destacó a otro grupo pro-iraní llamado Dienet que, a pesar de su postura pro-irania y pro-Hamas, se cree que incluye miembros de habla rusa y conexiones con otras comunidades cibernéticas en Europa del Este.
«Lo que distingue a Dienet de muchos otros actores pro-iraníes es su identidad híbrida», señaló. «El análisis lingüístico de los mensajes de Dienet, así como las marcas de tiempo, los metadatos y el patrón de interacción, sugiere que al menos parte del grupo se comunica internamente en ruso o utiliza recursos en idioma eslavo».
«Esto apunta al fenómeno más amplio de la colaboración cibernética interregional, donde la alineación ideológica anula las fronteras geográficas o nacionales».
El Grupo-IB, en un análisis de la actividad hacktivista basada en telegramas después del 13 de junio, dijo que Dienet fue el canal más referido, citado 79 veces durante el período de tiempo. En total, se han registrado más de 5.800 mensajes en varios canales hacktivistas entre el 13 y el 20 de junio.
El despliegue de las capacidades cibernéticas en el contexto de la Guerra de Irán-Israel, así como otros eventos geopolíticos recientes que rodean los conflictos de Hamas-Israel y Rusia-Ukraine, demuestra cómo las operaciones digitales se están integrando cada vez más para complementar las acciones cinéticas, influir en la percepción pública e interrumpir la infraestructura crítica crítica, agregando la ola de confianza.