Hacktivismo y la nueva era de la ciberguerra

El hacktivismo se ha asociado tradicionalmente con entidades y colectivos cuya administración está descentralizada - como Anonymous, por ejemplo- que suelen estar formados por individuos que cooperan en apoyo de una variedad de agendas, contando muchos de ellos con una política de puertas abiertas para el reclutamiento. Sin embargo, durante el último año, y siguiendo los desarrollos del conflicto bélico entre Rusia y Ucrania, el ecosistema hacktivista está mostrando signos de madurez en orígenes y motivaciones.

Ahora, los grupos hacktivistas han reforzado su nivel de organización y control, pasando a llevar un modelo de operaciones de tipo militar en el que se incluyen tareas de reclutamiento y entrenamiento, intercambio de herramientas e inteligencia, o la asignación de objetivos.

Como ejemplo, el “ejército TI de Ucrania", un movimiento sin precedentes que se creó tras los ataques rusos a la infraestructura TI ucraniana al comienzo de la guerra. A través de un canal de Telegram, cuentan con más de 350.000 voluntarios internacionales en su campaña contra objetivos rusos. En el otro lado del campo de batalla, Killnet, un grupo afiliado a Rusia, con una estructura organizativa de tipo militar y una clara jerarquía consiste en múltiples escuadrones especializados que realizan ataques y responden a sus ‘comandantes’ principales.

Según Check Point Research en la segunda mitad de 2022, Killnet atacó a más de 650 organizaciones o individuos, curiosamente solo el 5% de los cuales eran ucranianos. No solo se cree que Rusia está utilizando recursos del Gobierno para ayudar a realizar ciberataques, sino que los grupos supuestamente en Irán, Israel y China también pueden tener vínculos con ellos.

La mayoría de los nuevos grupos hacktivistas tienen una ideología política clara y consistente que está afiliada a las narrativas gubernamentales. Así pues, aunque todavía existen colectivos menos motivados políticamente, se puede apreciar un cambio hacia un estilo más profesional y organizado a través de campañas dirigidas con motivos más sociales que económicos.

Según la Universidad de Notre Dame, el hacktivismo patrocinado por el Estado está formado por “armas y ataques en el campo cibernético destinados a lograr efectos políticos similares a los que generalmente se buscan con el uso convencional de la fuerza”. De hecho, el tipo de ciberguerra actual no se centra solo en infligir daño. Ahora es importante contar con la cobertura de los medios de comunicación, y utilizar sus canales de comunicación para anunciar todos los ataques exitosos con el objetivo de alcanzar la máxima redifusión y aumentar el miedo.

Actualmente, Killnet cuenta con un grupo de Telegram con más de 91.000 suscriptores, a través del cual publican información de sus ataques, reclutan miembros, e incluso comparten herramientas para la creación de nuevos ciberataques. Concretamente para este grupo, también hay una amplia cobertura de su actividad en los principales medios de comunicación rusos, en los que se promueven sus logros.

Tanta es su repercusión y alcance, que se puede apreciar ya una tendencia al alza en los grupos que reclaman la autoría de ciberataques en los que no tienen ninguna participación. A principios de 2023, Lufthansa, la aerolínea insignia de Alemania, experimentó un grave problema informático que dejó a miles de pasajeros sin servicio en varios aeropuertos, como resultado de los daños en el cableado causados por los trabajos de construcción en el país.

Sin embargo, el grupo hacktivista prorruso no tardó en atribuirse la responsabilidad alegando que se trataba de una represalia ante el apoyo de Alemania a su enemigo. No obstante, no hubo pruebas que evidenciasen la participación de Killnet, ni la existencia de un ciberataque. Por ello es imprescindible destacar que hay una gran diferencia entre reclamar responsabilidad y ser responsable.

Antes de la invasión rusa de Ucrania, el hacktivismo era un término poco utilizado en un contexto serio y podría decirse que estaba en declive. Sin embargo, la guerra ha provocado un aumento en la actividad de grupos conocidos y desconocidos. Apenas pasadas las primeras 48 horas posteriores a la invasión rusa de Ucrania, se registró un aumento del 800% en presuntos ataques cibernéticos con origen en este país. La frecuencia y sofisticación de las amenazas planteará preguntas sobre sus orígenes, motivaciones y ganancias. Lo que está claro es que el próximo año, será cada vez más difícil identificar qué es un ataque gubernamental, hacktivista o de ciberdelincuentes.

Al dirigirse a componentes de infraestructura crítica como instituciones financieras o sanitarias, edificios gubernamentales, proveedores de energía o servicios de emergencia, los ataques tienen como objetivo causar la máxima interrupción. Aunque con un respaldo tan significativo, las secuelas de un ataque como este podrían estar a la par con aquellas en las que se había utilizado la fuerza. A medida que las tensiones geopolíticas continúen dominando la agenda mundial, esta nueva era de guerra cibernética solo empeorará.

Por Mario García, director general de Check Point Software para España y Portugal.