Blog Blog

Predator Sparrow

June 24, 2025
Nestor Martin Guerra Garcia (Dr. Plaga)
Notas
Predator Sparrow

Predator Sparrow: Anatomía de un APT que redefine la ciberguerra en Oriente Medio

La ciberseguridad global ha sido testigo en los últimos años del surgimiento de actores avanzados que trascienden el mero delito informático para convertirse en piezas clave de la geopolítica internacional. Entre estos grupos destaca Predator Sparrow (también conocido como Predatory Sparrow o Gonjeshke Darande), un colectivo de ciberactivistas cuya actividad ha tenido un impacto directo y devastador sobre infraestructuras críticas iraníes, y cuya sofisticación y vínculos estatales lo posicionan como uno de los APT (Amenazas Persistentes Avanzadas) más relevantes del escenario contemporáneo.

Origen, financiación y alineamiento geopolítico

Predator Sparrow comenzó a operar en 2021 y, aunque durante mucho tiempo se autodefinió como un grupo independiente, investigaciones periodísticas de medios como Jerusalem Post y Le Monde han confirmado su conexión con instituciones de seguridad israelíes. Esta relación sugiere que el grupo cuenta con respaldo estatal, recursos avanzados y acceso a inteligencia estratégica, alineando sus operaciones con los intereses de Israel en la región.

El resurgimiento del grupo ha coincidido con momentos de máxima tensión militar entre Israel e Irán, lo que refuerza la hipótesis de que Predator Sparrow actúa como brazo digital en la estrategia de confrontación multidominio de Israel, integrando la guerra cibernética con operaciones convencionales.

Objetivos y motivaciones

Los ataques de Predator Sparrow tienen un objetivo claro: desestabilizar al régimen iraní, afectar su infraestructura crítica y exponer sus mecanismos de financiamiento, especialmente aquellos relacionados con la elusión de sanciones internacionales y el apoyo a organizaciones consideradas terroristas por Occidente. El grupo ha justificado públicamente sus acciones como una forma de velar por el cumplimiento de sanciones internacionales y responder a supuestos actos de agresión de Irán en la región.

TTPs (Tácticas, Técnicas y Procedimientos)

Predator Sparrow se distingue por la precisión quirúrgica y la coordinación de sus ataques, que suelen coincidir con operaciones militares convencionales israelíes. Entre sus TTPs más destacadas se encuentran:

  • Ataques a infraestructuras críticas: El grupo ha demostrado capacidad para penetrar sistemas industriales (ICS/SCADA), bancos y plataformas de criptomonedas, provocando desde interrupciones de servicios hasta daños físicos.
  • Robo y filtración de datos sensibles: Han expuesto documentos que vinculan a empresas iraníes con los Cuerpos de la Guardia Revolucionaria Islámica (IRGC).
  • Ataques sincronizados y multietapa: Sus operaciones suelen estar cuidadosamente coordinadas con eventos geopolíticos, maximizando el impacto mediático y estratégico.
  • Minimización de daños colaterales: En ataques a fábricas, han programado las acciones en horarios de baja actividad para evitar víctimas humanas, demostrando un enfoque selectivo y calculado.

Ataques más sonados en las noticias

A lo largo de su trayectoria, Predator Sparrow ha protagonizado incidentes que han acaparado titulares internacionales:

  • Junio de 2025: Robo a Nobitex y ataque al Banco Sepah
    En paralelo a una ofensiva aérea israelí contra instalaciones nucleares iraníes, Predator Sparrow reivindicó el hackeo al banco estatal Sepah y, al día siguiente, el robo de aproximadamente 90 millones de dólares de Nobitex, la mayor plataforma de criptomonedas de Irán. El grupo justificó el ataque alegando que Nobitex era “una herramienta del régimen para financiar el terrorismo y eludir sanciones”.
  • Diciembre de 2023: Sabotaje al sistema de combustible iraní
    El grupo interrumpió el sistema de tarjetas de combustible, paralizando gasolineras en todo Irán y generando caos en la distribución de carburantes. En acciones anteriores, también lograron secuestrar vallas publicitarias digitales para difundir mensajes críticos contra el régimen8.
  • Verano de 2022: Incendio en una acería y filtración de documentos
    Predator Sparrow asumió la autoría de un ciberataque que provocó un incendio en una fábrica siderúrgica iraní, un hecho inusual por el daño físico causado a partir de una intrusión digital. El grupo difundió videos de las cámaras de seguridad donde se observa el inicio del fuego y la evacuación de trabajadores, asegurando que la acción fue planificada para evitar víctimas.

Impacto y relevancia

La actividad de Predator Sparrow marca un antes y un después en la guerra cibernética regional. Sus operaciones han logrado:

  • Interrumpir servicios esenciales y causar pérdidas económicas millonarias al régimen iraní.
  • Exponer la vulnerabilidad de infraestructuras críticas ante ataques avanzados.
  • Integrar el ciberespacio como un frente activo y coordinado en conflictos interestatales, sincronizando ataques digitales con ofensivas militares convencionales.

Conclusión

Predator Sparrow es mucho más que un colectivo de hackers: es una APT con respaldo estatal, alineación geopolítica clara y un historial de ataques que han redefinido los límites de la ciberguerra. Su actividad demuestra cómo la frontera entre la guerra física y digital es cada vez más difusa, y cómo la seguridad informática se ha convertido en un pilar fundamental de la seguridad nacional y la política internacional.

Nestor Martin Guerra Garcia (Dr. Plaga)

Nestor Martin Guerra Garcia (Dr. Plaga)

Consultor de Ciberseguridad | Protección de Datos y Gestión de Riesgos | Pentester old school
Volver al blog