Hacktivismo político-religioso en Medio Oriente

Durante los últimos diez años, el hacktivismo político-religioso vinculado a Medio Oriente se volvió más difícil de explicar. Sigue habiendo grupos, logos, canales, campañas, adjudicaciones, ataques de denegación de servicio, defacements, filtraciones y propaganda, pero la foto completa es bastante más incómoda que una lista de nombres y objetivos.

Cuando se mira con algo de distancia, queda en evidencia una mezcla de militancia política, identidad religiosa, frustración social, conflicto territorial, propaganda, acción psicológica y uso ofensivo de Internet. Claro que no siempre aparece todo junto. A veces domina la operación técnica, en otras domina la narrativa, algunas veces el actor apenas necesita demostrar pertenencia a una causa, y en otras oportunidades alcanza con publicar una captura, un logo, una lista de objetivos o una adjudicación difícil de verificar para producir efecto dentro de una comunidad que ya está predispuesta a creer.

La evolución de la dimensión bélica no pasó simplemente de las balas a las teclas. Afirmarlo así, a secas, sería una simplificación demasiado cómoda. Pero sí queda claro que las teclas se incorporaron como otro canal de presión. La propaganda digital, la difusión de amenazas, la exposición de datos, el rumor, la manipulación de percepciones y la adjudicación pública de ataques se volvieron parte del terreno de confrontación. En algunos casos, esa acción psicológica fue casi tan importante como la operación técnica que decía acompañar.

El caso del Estado Islámico marcó una parte importante de esa década porque logró romper el molde. ISIS entendió muy temprano que Internet no era solo un canal para publicar comunicados. Era una infraestructura de expansión propagandística, reclutamiento, financiamiento, intimidación, coordinación, difusión de instrucciones, circulación de símbolos y producción de miedo extremo. Su aparato mediático no buscaba únicamente informar acciones; buscaba fabricar una sensación de fuerza, cercanía y avance permanente. En ese clima aparecieron también grupos alineados con su causa, algunos con vínculos más claros, otros mucho más difusos, y muchos moviéndose entre apoyo ideológico, oportunismo y propaganda reciclada de baja complejidad.

Ahí entra el universo asociado al United Cyber Caliphate. Durante 2016, UCC fue presentado públicamente como una especie de estructura de convergencia para grupos pro-ISIS que operaban en el terreno del hacking, el doxing, los defacements y la propaganda. Entre los nombres vinculados a ese espacio aparecieron Caliphate Cyber Army, Ghost Caliphate Section, Sons Caliphate Army, Anshar Caliphate Army, Islamic Intelligence, Fighter Moeslim Cyber Caliphate, Anon Terror y Team System DZ, entre otros. No todos estos grupos tuvieron el mismo peso ni la misma capacidad. Tampoco hay base suficiente para afirmar que todos sigan activos hoy bajo la misma forma o nombre. Pero como fotografía histórica sirven para comprender que una causa fuerte puede reunir voluntarios, imitadores, operadores menores y propagandistas bajo una bandera común sin que eso implique necesariamente una estructura orgánica sólida.

Con UCC y sus grupos asociados, muchas lecturas públicas tendieron a inflar capacidades o a mezclar actividades distintas bajo una misma idea de “aparato de hacking del Estado Islámico”. El Combating Terrorism Center de West Point advirtió justamente sobre ese problema: “…las evaluaciones de capacidades de hackers afiliados o simpatizantes de ISIS muchas veces se apoyaron en escenarios hipotéticos, sobreestimaron habilidades técnicas y mezclaron actividades separadas como si fueran parte de una misma estructura compacta”. Eso no vuelve irrelevante al fenómeno. Lo vuelve más incómodo: ataques informáticos simples, doxing, defacements, listas de objetivos y propaganda hostil podían transformarse en presión psicológica con un costo operativo relativamente bajo.

Un defacement puede durar pocos minutos, pero circular durante años como captura, como relato o como prueba emocional dentro de una comunidad. En inteligencia ocurre algo parecido con el rumor: implantarlo suele ser sencillo; erradicarlo, extremadamente difícil. La operación técnica puede desaparecer rápido, pero su efecto psicológico queda disponible para ser reciclado cada vez que la narrativa lo necesite. Ese mecanismo fue visible en varios espacios cercanos a ISIS, pero no quedó encerrado allí.

Red de relaciones de primer grado asociada a Cyber Islamic Resistance (CIR). La captura ilustra una de las ideas centrales del análisis: en el hacktivismo político-religioso, la influencia de un actor también se construye por alianzas, cercanía narrativa, validación pública y capacidad para integrarse en un frente digital más amplio.

Hamas y Hezbolá obligan a mirar otra capa del problema. No son equivalentes al Estado Islámico, ni en estructura, ni en objetivos, ni en relación con territorio, comunidad o gobernanza. Su vínculo con la tecnología responde a necesidades más amplias: comunicación, legitimidad política, control de narrativa, conexión con bases sociales, presión sobre adversarios, exposición internacional y, en algunos casos, apoyo a operaciones vinculadas al conflicto armado. CSIS señaló que las estrategias tecnológicas de Hamas y Hezbolá reflejan sus roles de gobernanza, a diferencia de organizaciones como al-Qaeda o ISIS, más orientadas a una visión panislamista y operaciones mediáticas transnacionales.

Ese matiz ayuda a evitar una lectura plana. En el caso de ISIS, el entorno digital sirvió para proyectar una idea de califato global, reclutar simpatizantes, intimidar adversarios y activar satélites ideológicos. En Hamas o Hezbolá, la tecnología también sirve para sostener presencia política, disputar legitimidad, hablarle a comunidades concretas y mantener una narrativa de resistencia frente a conflictos prolongados. En ambos casos hay propaganda, pero no es la misma propaganda. En ambos casos hay acción psicológica, pero no opera sobre la misma base social.

El eje iraní agrega otra dimensión. En publicaciones previas sobre materiales atribuidos a LabDookhtegan y actividades vinculadas a Ansar o entornos asociados al MOIS, aparecían referencias a planificación contra hoteles, empresas petroleras, aeropuertos, telecomunicaciones, energía, sitios de Arabia Saudita y Jordania, además de spear phishing, ingeniería social, seguimiento móvil y operaciones orientadas a moldear percepción pública. Ese tipo de actividad muestra una frontera cada vez más porosa entre intrusión, inteligencia, presión psicológica y propaganda. No se trata solamente de entrar a un sistema. A veces el objetivo es sembrar duda, instalar rumores, castigar simbólicamente o aumentar la sensación de vulnerabilidad.

Microsoft también observó esa convergencia después del 7 de octubre de 2023, al describir cómo Irán combinó targeting cibernético oportunista con operaciones de influencia en apoyo a Hamas, muchas veces exagerando o distorsionando la precisión y el alcance del impacto. Esa idea es central para entender el presente: la operación técnica puede ser real, parcial, exagerada o incluso débil, pero la capa de influencia busca convertirla en relato útil.

En la guerra de Gaza, esta lógica volvió a verse con fuerza. El conflicto activó comunidades pro-palestinas, pro-israelíes, pro-iraníes y actores oportunistas que usaron el momento para adjudicarse ataques, publicar listas de objetivos, circular capturas, coordinar campañas o simplemente intentar ganar visibilidad. Algunos grupos tuvieron mayor capacidad técnica. Otros funcionaron más como nodos de propaganda, curadores de objetivos, replicadores de mensajes o marcas de campaña.

Ahí aparecen actores actuales como Cyber Islamic Resistance, que ayudan a observar cómo ciertas narrativas de resistencia político-religiosa se adaptan a un ecosistema digital mucho más modular. No todos los grupos de ese entorno tienen la misma capacidad ni cumplen la misma función. Algunos intentan ejecutar operaciones, otros validan, otros reciclan publicaciones, otros actúan como altavoces, otros se suman a campañas para ganar legitimidad, y algunos apenas aportan presencia simbólica. Pero todos pueden alimentar una percepción de frente activo si el ecosistema los reconoce y los incorpora a una narrativa común.

También hay casos más incipientes, como Q22, que muestran otro tipo de señal. No necesariamente estamos frente a actores maduros, ni a operaciones técnicamente sólidas, ni a impactos confirmados de forma independiente. Pero sí aparecen patrones útiles: adjudicaciones públicas, selección dispersa de objetivos, estética hostil, vínculos declarados con otros grupos menores y uso de indicadores débiles para construir una presencia operacional todavía en evaluación. En esos casos, el valor de inteligencia no está en inflar la amenaza, sino en detectar temprano una identidad que puede crecer, mutar, desaparecer o ser absorbida por otro circuito.

El problema es que muchas veces se analiza a todos estos actores con la misma vara. Y no funciona. Caliphate Cyber Army o Ghost Caliphate Section sirven para entender una etapa de propaganda cibernética pro-ISIS. Hamas y Hezbolá obligan a pensar el uso de tecnología desde organizaciones con arraigo social, territorial y político. Los clústers iraníes muestran la mezcla entre ciberoperación, inteligencia e influencia. Actores emergentes como Q22 o algunos grupos hacktivistas actuales muestran cómo se construye señal en un entorno donde la visibilidad puede valer casi tanto como la capacidad real. Meter todo en la misma bolsa es cómodo, pero pobre.

La modularidad es una de las claves de esta evolución. Los grupos ya no necesitan funcionar siempre como organizaciones cerradas con jerarquías claras. Pueden aparecer como nodos de campaña, salas de coordinación, grupos auxiliares, canales de difusión o alianzas. Bajo este escenario, el valor de un actor no siempre está en lo que puede hacer solo, sino en la función que cumple dentro de un circuito más amplio.

Por eso las alianzas se volvieron tan visibles. Había cooperación antes, claro. Nadie descubrió la pólvora, apenas dejamos de mirar el mapa con una lupa empañada. Lo interesante es que ahora la alianza también es mensaje. Comunica fuerza, atrae atención, da sensación de escala y permite que actores pequeños parezcan parte de algo más grande. A veces hay coordinación real. A veces solo hay coincidencia de causa y ganas de figurar. En ambos casos, la señal puede servirle al ecosistema.

Pero algunas alianzas también muestran algo más concreto: una división funcional del trabajo. El caso Z-Pentest y AlfaNet, dentro de Z-Alliance, es útil como referencia reciente. Allí, el anuncio público no se limitó a una declaración de simpatía o cooperación general. Planteó una separación de funciones: AlfaNet como capa de reconocimiento, recolección y desarrollo de objetivos; Z-Pentest como componente técnico de intrusión, soporte de backdoors y consolidación de acceso. En otras palabras, una parte alimenta el targeting y la inteligencia operativo-estratégica; la otra aporta la ejecución técnica. Si ese modelo se sostiene en la práctica, la alianza deja de ser solo una foto conjunta y pasa a parecerse más a una cadena de actividad repetible.

Ese ejemplo no pertenece al eje político-religioso de Medio Oriente, pero ayuda a entender una lógica que sí se está viendo en muchos entornos hacktivistas más serios donde el factor común es estratégico y no apunta a una simple alianza entre grupos, sino que se centra en repartir funciones. Un actor puede producir narrativa mientras que otro puede curar blancos. Otro ejecutar y otro puede publicar. Y todos, juntos o separados, pueden sostener la sensación de campaña activa.

Esa lógica no es exclusiva de Medio Oriente, pero allí encuentra un terreno especialmente sensible. Confluyen conflictos abiertos, disputas religiosas, rivalidades estatales, memorias de ocupación, intervenciones extranjeras, competencia regional, diásporas activas y audiencias globales muy movilizadas. Cuando una comunidad ya está emocionalmente cargada, una operación menor puede circular como prueba de fuerza. Una filtración limitada puede sentirse como castigo. Un sitio caído durante pocos minutos puede ser presentado como victoria. Y una amenaza publicada con estética militante puede actuar como herramienta de intimidación aunque no venga acompañada de una capacidad técnica destacable.

Esa elasticidad explica por qué algunas estructuras sobreviven mejor de lo que su capacidad técnica sugeriría. También explica por qué hay que mirar más que la telemetría técnica. Saber si hubo DDoS, defacement, acceso a datos o simple propaganda sigue siendo necesario. Pero no alcanza. Hay que observar quién valida a quién, qué nombres se repiten, qué símbolos se conservan, qué alianzas aparecen, qué lenguaje se recicla, qué objetivos se vuelven útiles y qué causas activan más rápido. Aunque no lo parezca, la vida social del ecosistema dice tanto como los indicadores técnicos.

El hacktivismo político-religioso en Medio Oriente no parece haberse transformado en algo completamente nuevo. Más bien fue acomodándose a un entorno donde la acción técnica, la propaganda y la comunidad digital se mezclan con más naturalidad. Hay herencias claras de la década marcada por ISIS y sus satélites digitales. Hay dinámicas propias de organizaciones político-militares como Hamas y Hezbolá. Hay influencia de actores estatales y paraestatales. Hay grupos pequeños que nacen alrededor de una causa y desaparecen rápido. Y hay coaliciones que importan menos por su solidez que por la percepción de fuerza que logran proyectar.

La lectura más útil quizá sea no buscar siempre el gran actor detrás de cada logo ni reducir todo a “ruido de canal”. Entre una cosa y la otra hay un terreno enorme donde se forman identidades, se ensayan campañas, se reciclan narrativas y se prueban formas de presión digital. Al final, el problema no es solo el ataque. El problema es la combinación entre ataque, propaganda y pertenencia. Y en Medio Oriente, esa combinación lleva por lo menos una década demostrando que puede cambiar de forma muchas veces sin desaparecer.