Hackers estatales iraníes violaron el sistema de transporte de Los Ángeles y eliminaron datos para prolongar la disrupción

Hackers respaldados por el estado iraní vulneraron la Autoridad de Transporte Metropolitano del Condado de Los Ángeles (LACMTA) en marzo de 2026. Robaron datos y luego los eliminaron deliberadamente para maximizar la disrupción, una táctica que obligó a la agencia a una recuperación de varias semanas, según reportó TechCrunch de la mano de Lorenzo Franceschi-Bicchierai. El ataque fue atribuido al Ministerio de Inteligencia y Seguridad del Estado de Irán (MOIS) por la firma israelí de ciberseguridad Gambit Security, que operaba bajo la falsa personalidad hacktivista 'Ababil of Minab'.

Esta revelación añade un objetivo importante de infraestructura pública estadounidense a la creciente lista de operaciones cibernéticas iraníes, que se han intensificado en 2026 tras los ataques militares de EE. UU. e Israel contra Irán a principios de año. LA Metro es el segundo sistema de transporte público más grande de Estados Unidos, con más de 300,000 pasajeros diarios en autobuses, tren ligero y líneas de metro.

Cómo se desarrolló el ataque

La intrusión comenzó en marzo de 2026. Los atacantes accedieron a los sistemas de LACMTA, exfiltraron datos y luego borraron los archivos sustraídos de la propia infraestructura de la agencia. Una táctica de doble impacto diseñada no solo para robar información, sino para degradar la capacidad operativa de la agencia y alargar el tiempo de recuperación. LACMTA confirmó la brecha en abril de 2026. La agencia no reveló públicamente el alcance completo de lo robado o eliminado, pero la recuperación tras la destrucción de datos llevó varias semanas.

El grupo detrás del ataque usó el nombre 'Ababil of Minab', una referencia a un bombardeo estadounidense contra una escuela en la ciudad iraní de Minab que mató a más de 175 personas, en su mayoría niños, durante el enfrentamiento militar entre EE. UU. e Irán a principios de 2026. El uso de una falsa persona con carga geopolítica es una táctica recurrente en operaciones patrocinadas por el estado iraní: permite al MOIS perseguir objetivos ciberestratégicos mientras crea una negación plausible y amplifica el valor propagandístico de las intrusiones exitosas.

Atribución y el patrón más amplio

La atribución del ataque a operativos del MOIS por parte de Gambit Security encaja en un patrón documentado. Los actores de amenazas iraníes, incluidos grupos que operan bajo el paraguas del MOIS, han adoptado cada vez más tácticas de 'hackear y filtrar' y 'hackear y destruir' contra infraestructuras críticas estadounidenses, superando las operaciones centradas en el espionaje que caracterizaban la actividad iraní anterior para pasar a operaciones diseñadas para la disrupción y el impacto psicológico.

El mismo manual se usó a principios de 2026 contra Stryker, la empresa estadounidense de tecnología médica, por un grupo que operaba bajo un encubrimiento hacktivista similar. En ambos casos, la intrusión inicial fue seguida de exfiltración de datos, eliminación y una reivindicación pública de la falsa persona para maximizar la atención y dificultar la atribución rápida. La táctica crea un desfase entre la disrupción observada y la confirmación del patrocinio estatal, ganando tiempo y sembrando confusión en la fase de respuesta.

El gobierno estadounidense ya había señalado esta tendencia directamente. En abril de 2026, el FBI, la CISA y agencias asociadas emitieron un aviso conjunto advirtiendo a los operadores de infraestructuras críticas de EE. UU. sobre la escalada de los objetivos cibernéticos iraníes, señalando específicamente los sectores de transporte, salud y servicios públicos como objetivos prioritarios. El aviso siguió a una serie de incautaciones del FBI de sitios web operados por grupos de hackers proiraníes a principios de año.

Por qué se ataca a los sistemas de transporte

Las agencias de transporte público son un objetivo atractivo para operaciones de disrupción patrocinadas por estados por varias razones. Operan redes de tecnología operativa (OT) anticuadas que no fueron diseñadas teniendo en cuenta los requisitos modernos de ciberseguridad. Dependen en gran medida de sistemas interconectados de TI y OT para la programación, emisión de billetes, comunicaciones y seguridad. Y como atienden a grandes poblaciones urbanas, las disrupciones exitosas generan una visibilidad pública significativa, que es el objetivo para un actor estatal que busca impacto psicológico en lugar de una recopilación de inteligencia silenciosa.

El componente de destrucción de datos del ataque a LACMTA es particularmente notable. A diferencia del ransomware, donde la recuperación es en principio posible tras el pago de un rescate, la eliminación deliberada de datos es irreversible sin copias de seguridad funcionales. Si los sistemas de respaldo de LACMTA también se vieron comprometidos, el tiempo de recuperación de varias semanas refleja el tiempo necesario para reconstruir sistemas a partir de copias parciales o desde cero, un resultado mucho más dañino que un incidente típico de ransomware.

Qué deberían aprender otros operadores de infraestructuras

El ataque a LACMTA refuerza varias lecciones que se aplican ampliamente a los operadores de infraestructuras críticas. Primero, los actores de amenazas iraníes están utilizando eventos geopolíticos —los ataques militares de EE. UU. en Irán— como desencadenantes operativos para campañas cibernéticas que se materializan rápidamente. Las organizaciones en sectores previamente advertidos por avisos federales deberían tratar el entorno geopolítico actual como un período de amenaza elevada, no como una línea de base.

Segundo, la integridad de las copias de seguridad es ahora una preocupación de primer orden en la defensa contra ransomware y ataques destructivos. La efectividad de un ataque de eliminación de datos depende completamente de si el objetivo puede recuperarse a partir de copias de seguridad fuera de línea, inmutables y aisladas (air-gapped). Las organizaciones que no hayan probado su proceso de restauración de copias de seguridad en condiciones simuladas de pérdida de infraestructura deberían tratar esa carencia como urgente.

Tercero, el patrón de falsa persona hacktivista significa que las reivindicaciones públicas iniciales de grupos desconocidos no deben tomarse al pie de la letra. La atribución lleva tiempo, y el retraso entre un ataque y la atribución estatal confirmada es una característica del diseño de la operación, no un error.