El hacktivismo volvió a estar de actualidad con la invasión rusa de Ucrania en febrero de 2022. Menos de dos años después, grupos e individuos con motivaciones políticas volvieron a salir a la palestra, esta vez para hacer oír su voz en el conflicto entre Israel y Hamás. Preocupantemente, los hacktivistas han sido vistos utilizando tácticas cada vez más sofisticadas y agresivas para llevar sus agendas a la atención pública.
Tal vez lo más desconcertante sea la posibilidad de que muchos grupos estén, de hecho, respaldados por actores estatales o incluso formados por ellos. De hecho, los límites entre las operaciones cibernéticas patrocinadas por el Estado y el hacktivismo tradicional se han vuelto difusos. En un mundo cada vez más caracterizado por la inestabilidad geopolítica y la erosión del antiguo orden basado en normas, las organizaciones, especialmente las que operan en infraestructuras críticas, deberían considerar la incorporación de la amenaza hacktivista a su modelo de riesgos.
¿Qué hay de nuevo en el hacktivismo?
En su forma más básica, el hacktivismo es el acto de lanzar ciberataques por motivos políticos o sociales. Como muestra de la seriedad con la que se considera ahora, la Cruz Roja publicó el año pasado ocho normas para los “hackers civiles” que operan en tiempos de guerra, al tiempo que señalaba que los hacktivistas están causando cada vez más trastornos a objetivos no militares, como hospitales, farmacias y bancos.
LEA TAMBIÉN: Reporte de actividad APT del cuarto trimestre de 2023 al primer trimestre de 2024
Como era de esperar, ha habido pocas señales de que los hacktivistas se adhieran a las directrices publicadas por la Cruz Roja. De hecho, dado que la atribución sigue siendo difícil en Internet, las ventajas de participar en actividades hacktivistas siguen superando con creces a los inconvenientes, especialmente si los ataques están respaldados en secreto por Estados nación.
Lo viejo y lo nuevo
El actual conflicto entre Israel y Hamás ha sacado a las calles de todo el mundo a un número sin precedentes de activistas. Y, al mismo tiempo, ha provocado un aumento de la actividad en Internet. Gran parte de esto es similar a las tácticas que hemos visto en anteriores campañas hacktivistas, incluyendo:
- Ataques DDoS: Según algunas fuentes, la actividad DDoS impulsada por los hacktivistas el año pasado alcanzó un máximo en octubre con “niveles récord, tras el conflicto entre Israel y Hamás”, lo que convirtió a Israel en el país más atacado por los hacktivistas, con 1.480 ataques DDoS registrados en 2023, incluidas algunas organizaciones de renombre.
- Desfiguración de páginas web: Más de 100 hacktivistas lanzaron más de 500 ataques de desfiguración web contra sitios web israelíes en la semana posterior a las redadas del 7 de octubre, según investigadores de la Universidad de Cambridge. En la actualidad se siguen produciendo ataques similares de bajo nivel.
- Datos robados: Algunos grupos afirmaron haber robado y publicado datos de Israel y organizaciones aliadas. En otras palabras, los hacktivistas pueden infiltrarse en sistemas corporativos para robar información sensible antes de hacerla pública para avergonzar o perjudicar al objetivo.
Sin embargo, también hay indicios de que el hacktivismo se está volviendo más selectivo y sofisticado:
- Un informe sugiere que el grupo de hacktivistas AnonGhost explotó una vulnerabilidad de la API en la aplicación “Red Alert”, que proporciona alertas de misiles en tiempo real a los ciudadanos israelíes. El grupo “interceptó con éxito peticiones, expuso servidores y API vulnerables, y empleó scripts de Python para enviar mensajes de spam a algunos usuarios de la aplicación”, señalaba. El grupo consiguió incluso enviar mensajes falsos a civiles sobre una bomba nuclear.
- Otros informes señalaban que los hacktivistas habían publicado capturas de pantalla que indicaban que tenían acceso a los dispositivos SCADA de los sistemas de agua israelíes. Los investigadores no pudieron verificar estas afirmaciones, pero propusieron que los hacktivistas podrían haber estado realizando operaciones de reconocimiento dirigidas al sector.
Cuando intervienen los Estados nación
Los hacktivistas con habilidades técnicas más avanzadas y/o con acceso a herramientas y conocimientos de la ciberdelincuencia, pueden haber estado detrás de estos últimos ataques. Sin embargo, no puede descartarse el respaldo de un Estado nación. Muchos países tienen razones geopolíticas e ideológicas para atacar a otros países y a sus aliados bajo el camuflaje del hacktivismo.
LECTURA RELACIONADA: State-sponsored or financially motivated: Is there any difference anymore?
De hecho, los grupos sospechosos de estar afiliados a Rusia parecen tener un largo historial de hacerlo, incluso bajo el apodo de Anonymous Sudan, que ha derribado muchos objetivos en Occidente. El grupo reivindicó el ataque contra The Jerusalem Post y varios otros dirigidos contra sistemas de control industrial (ICS), incluidos los israelíes Global Navigational Satellite Systems, Building Automation and Control Networks y Modbus ICS. Otro grupo prorruso, Killnet, reivindicó la caída de un sitio web del gobierno israelí y del sitio web de la agencia de seguridad Shin Bet.
Aunque estos ataques son los más destacados, hay indicios de actividades más insidiosas respaldadas por el Estado que se disfrazan de hacktivismo. Los esfuerzos de desinformación incluyen el uso de imágenes generadas por IA que supuestamente muestran ataques con misiles, tanques rodando por barrios en ruinas o familias buscando supervivientes entre los escombros.
El objetivo es generar imágenes que provoquen una fuerte reacción emocional, como la de un bebé llorando entre los restos de una bomba, que se hizo viral a finales del año pasado. Las redes sociales falsas y las cuentas de Telegram amplifican la desinformación. En un caso, Elon Musk, propietario de X, parece que promovió una publicación desde una cuenta falsa que fue vista 11 millones de veces antes de borrarla.
Los investigadores de seguridad han observado una actividad sospechosamente coordinada tras el atentado de Hamás, lo que podría sugerir una implicación estatal. Según un estudio, al menos 30 grupos de hacktivistas reorientaron su actividad hacia el conflicto en menos de 48 horas.
Cómo pueden gestionar las organizaciones los riesgos de los hacktivistas
En muchos sentidos, tanto si la amenaza hacktivista procede de grupos auténticos, de los alineados con intereses estatales o de los propios agentes encubiertos de un Estado nación, la amenaza sigue siendo la misma. Estos grupos tienen cada vez más en su punto de mira a organizaciones del sector privado que se atreven a pronunciarse sobre cuestiones políticamente delicadas. En algunos casos, pueden hacerlo simplemente si existe la percepción de que la organización está alineada con uno u otro bando. O como cortina de humo para objetivos más oscuros del Estado nación.
Sea cual sea el motivo, las organizaciones pueden seguir estos pasos básicos de alto nivel para mitigar el riesgo hacktivista:
- Formular las preguntas adecuadas: ¿Somos un objetivo? ¿Qué activos están en peligro? ¿Cuál es el alcance de nuestra superficie de ataque? ¿Son suficientes las medidas existentes para mitigar el riesgo hacktivista? Aquí es donde puede ayudar una evaluación exhaustiva de los riesgos cibernéticos de la infraestructura de cara al exterior.
- Cubra las lagunas que revele dicha evaluación, incluidas las vulnerabilidades o los errores de configuración; lo ideal es que esto se haga de forma continua y automatizada.
- Asegúrese de que los activos están protegidos frente a las amenazas en los niveles de correo electrónico, punto final, red y nube híbrida, y controle continuamente las amenazas con herramientas XDR/MDR.
- Mejore la gestión de identidades y accesos con una arquitectura de confianza cero y autenticación multifactor (MFA) y esté atento a los patrones de acceso a datos sospechosos.
- Utilice la inteligencia sobre amenazas para recopilar, analizar y actuar en función de la información sobre amenazas actuales y emergentes.
- Aplique un cifrado robusto, tanto en reposo como en tránsito, para proteger los datos confidenciales de la lectura o modificación por parte de terceros no autorizados.
- Implemente programas continuos de formación y concienciación de los empleados.
- Asociarse con un tercero de confianza para la mitigación de DDoS.
- Elabore y ponga a prueba un plan integral de respuesta a incidentes.
El hacktivismo no es nada nuevo. Pero las líneas cada vez más difusas entre grupos con motivaciones ideológicas/políticas e intereses gubernamentales lo convierten en una amenaza más potente. Puede que haya llegado el momento de replantearse la planificación de la gestión de riesgos.