Handala, grupo de ciberataque de Irán

El ciberataque a Stryker, una de las mayores empresas de tecnología médica del mundo, no llegó con misiles. Llegó con hackers que se presentan como rebeldes pero responden a Iran. Decenas de miles de computadoras quedaron fuera de servicio en horas.

Se llaman Handala. Aparecieron en 2023 con imagen de colectivo hacktivista propalestino. Pero investigadores de Check Point sostienen que el grupo es en realidad una fachada del Ministerio de Inteligencia iraní, parte de una estructura más amplia que la empresa de ciberseguridad identifica como Void Manticore, rastreada desde 2022 y conocida también como Red Sandstorm y Cobalt Mystique.

El esquema tiene lógica propia. Un grupo aparentemente independiente permite negar responsabilidad estatal directa mientras amplifica el impacto psicológico del ataque. "Han combinado las tácticas caóticas y ruidosas de un grupo de hacktivistas con la capacidad destructiva de un Estado", dice Justin Moore, investigador de Palo Alto Networks.

Embed

HANDALA HACK‼️ pic.twitter.com/06r0hNBw7L
— GEOPOLÍTICA (@Geopolitik_2030) March 17, 2026

Por qué Stryker

Handala no eligió a Stryker al azar.

El grupo justificó el ataque por los vínculos de la empresa con Israel: la compañía israelí Orthospace, que adquirió en 2019 y un contrato militar estadounidense de US$ 450 millones el año pasado.

Pero Sergey Shykevich, de Check Point, tiene una lectura más directa: "Probablemente encontraron una oportunidad y ahora es una gran victoria para ellos."

No hubo un plan sofisticado. Hubo una puerta abierta.

Caos como método

Los ataques de Handala no siguen una estrategia clara.

Expertos los describen como oportunistas: entrar donde se pueda y causar el mayor daño posible.

Las herramientas que usan lo confirman. Entre el malware detectado hay programas diseñados específicamente para borrar información de forma irreversible: Coolwipe, Chillwipe y Bibiwiper, este último nombrado así por el primer ministro israelí Benjamin Netanyahu.

No es espionaje silencioso. Es destrucción visible.

El grupo también usó correos de phishing y actualizaciones de seguridad falsas para infiltrarse en redes del gobierno israelí y el sector financiero. En algunos casos publicó los datos robados como arma psicológica. En otros, simplemente los borró.

Embed

Iran’s internet has gone dark and Iranian hackers are using #Starlink.
After a week of quiet we are seeing that “Handala Hack” of MOIS is back, operating from Starlink IP ranges and hitting targets across the Middle East.
We continue tracking. pic.twitter.com/H2luLmeLJs
— Check Point Research (@_CPResearch_) January 19, 2026

Traducción: El internet de Irán se ha quedado apagado y los hackers iraníes están utilizando #Starlink . Tras una semana de calma, vemos que el ataque "Handala Hack" contra el Ministerio de Seguridad Interna (MOIS) ha vuelto, operando desde rangos de IP de Starlink y atacando objetivos en todo Oriente Medio. Continuamos el seguimiento.

-------------------------

De Albania a Stryker

Void Manticore no es nuevo. En 2022, Microsoft atribuyó al grupo ciberataques contra agencias gubernamentales albanesas con malware de borrado, cuando Irán intentaba presionar a Albania para que no diera refugio a un grupo opositor iraní.

Después del 7 de octubre crearon el subgrupo Handala para atacar objetivos israelíes bajo el manto de la causa propalestina.

Con el estallido de la guerra contra Irán, el grupo amplió su radio. Fue 1 de 3 grupos iraníes detectados intentando hackear cámaras de seguridad civiles conectadas a internet en todo Medio Oriente, coincidiendo geográficamente con contraataques iraníes en Bahréin, Emiratos Árabes Unidos, Israel y Chipre.

El objetivo probable: vigilancia y selección de blancos para misiles y drones.

El ciberespacio y el campo de batalla ya no son cosas distintas.

El modelo que Irán perfeccionó

El problema no es Handala. Es el esquema. Grupos aparentemente independientes que operan alineados con intereses estatales son más difíciles de rastrear, más difíciles de atribuir y más incómodos políticamente que un ataque estatal directo.

"Sus operaciones son coherentes con la preferencia general de Teherán por arquitecturas de intermediarios y fachadas que combinan la negación con el impacto psicológico", dice Alexander Leslie, de Recorded Future.

Si el conflicto escala, este tipo de operaciones no van a ser la excepción. Ya son parte de cómo se hace la guerra.

----------------------------