Seguridad empresarial El hacktivismo no es nada nuevo, pero las líneas cada vez más difusas entre el hacktivismo tradicional y las operaciones respaldadas por el Estado lo convierten en una amenaza más potente 19 de junio de 2024 • , 5 min. leer El hacktivismo volvió a surgir en la conciencia general con la invasión rusa de Ucrania en febrero de 2022. Menos de dos años después, grupos e individuos con motivaciones políticas volvieron a salir con fuerza, esta vez aparentemente para expresar su punto de vista en medio del conflicto entre Israel y Hamas. Es preocupante que se haya descubierto que los hacktivistas utilizan tácticas cada vez más sofisticadas y agresivas para llamar la atención del público sobre sus agendas. Quizás aún más desconcertante sea la probabilidad de que muchos grupos estén, de hecho, respaldados por actores del Estado-nación o incluso formados por ellos. De hecho, las líneas entre las operaciones cibernéticas patrocinadas por el Estado y el hacktivismo tradicional se han vuelto borrosas. En un mundo cada vez más caracterizado por la inestabilidad geopolítica y la erosión del antiguo orden basado en reglas, las organizaciones, especialmente aquellas que operan en infraestructura crítica, deberían considerar incorporar la amenaza hacktivista en su modelado de riesgos. ¿Qué hay de nuevo en el hacktivismo? En su forma más básica, el hacktivismo es el acto de lanzar ciberataques por motivos políticos o sociales. Como indicación de la seriedad con la que ahora se lo considera, el año pasado la Cruz Roja emitió ocho reglas para los “hackers civiles” que operan durante tiempos de guerra, al tiempo que señala que los hacktivistas están causando cada vez más perturbaciones en objetivos no militares como hospitales, farmacias y bancos. LEA TAMBIÉN: Informe de actividad de ESET APT del cuarto trimestre de 2023 al primer trimestre de 2024 Como era de esperar, ha habido pocas señales de que los hacktivistas se adhieran a las pautas emitidas por la Cruz Roja. De hecho, como la atribución sigue siendo difícil en línea, las ventajas de participar en actividades hacktivistas todavía superan en gran medida las desventajas, especialmente si los ataques cuentan con el respaldo secreto de estados nacionales. Lo viejo y lo nuevo El actual conflicto entre Israel y Hamas ha atraído a un número sin precedentes de activistas a las calles de todo el mundo. Y, al mismo tiempo, ha provocado un aumento de la actividad en línea. Mucho de esto es similar a las tácticas que hemos visto en campañas hacktivistas anteriores, incluyendo: Ataques DDoS: Según algunas fuentes, la actividad DDoS impulsada por hacktivistas el año pasado alcanzó su punto máximo en octubre a “niveles récord, luego del conflicto entre Israel y Hamas”. » Esto convirtió a Israel en el país más atacado por los hacktivistas; con 1.480 ataques DDoS registrados en 2023, incluidas algunas organizaciones de renombre. Desfiguración de la web: Más de 100 hacktivistas lanzaron más de 500 ataques de desfiguración de la web en sitios web israelíes en la semana posterior a las redadas del 7 de octubre, según investigadores de la Universidad de Cambridge. Desfiguraciones web similares de bajo nivel continúan hasta el día de hoy. Datos robados: algunos grupos afirmaron haber robado y publicado datos de Israel y organizaciones aliadas. En otras palabras, los hacktivistas pueden infiltrarse en los sistemas corporativos para robar información confidencial antes de publicarla para avergonzar o dañar al objetivo. Sin embargo, también hay señales de que el hacktivismo se está volviendo más selectivo y sofisticado: un informe sugirió que el grupo hacktivista AnonGhost explotó una vulnerabilidad de API en la aplicación “Red Alert”, que proporciona alertas de misiles en tiempo real para ciudadanos israelíes. El grupo «interceptó con éxito solicitudes, expuso servidores y API vulnerables y empleó scripts de Python para enviar mensajes de spam a algunos usuarios de la aplicación», señaló. El grupo incluso logró enviar mensajes falsos a civiles sobre una bomba nuclear. Otros informes señalaron que los hacktivistas habían publicado capturas de pantalla que indicaban que tenían acceso a los dispositivos SCADA de los sistemas de agua israelíes. Los investigadores no pudieron verificar estas afirmaciones, pero sugirieron que los hacktivistas podrían haber estado realizando operaciones de reconocimiento dirigidas al sector. Cuando los estados nacionales se involucran, los hacktivistas con conocimientos técnicos más avanzados y/o acceso a herramientas y conocimientos sobre el cibercrimen clandestino pueden haber estado detrás de estos últimos ataques. Sin embargo, no se puede descartar el respaldo del Estado nación. Muchos países tienen razones geopolíticas e ideológicas para atacar a otros países y a sus aliados bajo el camuflaje del hacktivismo. De hecho, los grupos sospechosos de estar afiliados a Rusia parecen tener un largo historial de hacerlo, incluso bajo el apodo de Anonymous Sudan, que ha eliminado muchos objetivos en Occidente. El grupo reivindicó el ataque contra The Jerusalem Post y varios otros dirigidos a sistemas de control industrial (ICS), incluidos los sistemas globales de navegación por satélite israelíes, las redes de control y automatización de edificios y Modbus ICS. Otro grupo prorruso, Killnet, afirmó haber eliminado un sitio web del gobierno israelí y el sitio web de la agencia de seguridad Shin Bet. Si bien estos ataques son notablemente notorios, hay indicios de esfuerzos más insidiosos respaldados por el Estado disfrazados de hacktivismo. Los esfuerzos de desinformación incluyen el uso de imágenes generadas por inteligencia artificial que pretenden mostrar ataques con misiles, tanques avanzando por vecindarios en ruinas o familias buscando sobrevivientes entre los escombros. El objetivo aquí es generar imágenes que creen una fuerte reacción emocional, como la de un bebé llorando en medio de los restos de una bomba, que se volvió viral a finales del año pasado. Las cuentas falsas de redes sociales y Telegram amplifican la desinformación. En un caso, el propietario de X, Elon Musk, aparentemente promovió una publicación de una cuenta falsa que fue vista 11 millones de veces antes de eliminarla. Los investigadores de seguridad han observado una actividad sospechosamente coordinada después del ataque de Hamás, lo que posiblemente sugiere la participación del Estado. Un estudio afirmó que al menos 30 grupos hacktivistas inmediatamente dirigieron su actividad al conflicto en 48 horas. Cómo pueden las organizaciones gestionar los riesgos hacktivistas En muchos sentidos, ya sea que la amenaza hacktivista provenga de grupos genuinos, de aquellos alineados con intereses estatales o de agentes encubiertos de estados nación, la amenaza sigue siendo la misma. Estos grupos se dirigen cada vez más a organizaciones del sector privado con la audacia de hablar sobre cuestiones políticas delicadas. En algunos casos, pueden hacerlo simplemente si existe la percepción de que la organización está alineada con un lado u otro. O como una cortina de humo para objetivos más sombríos de los estados nacionales. Cualquiera que sea el motivo, las organizaciones pueden seguir estos pasos básicos de alto nivel para mitigar el riesgo de los hacktivistas: Haga las preguntas correctas: ¿Somos un objetivo? ¿Qué activos están en riesgo? ¿Cuál es la extensión de nuestra superficie de ataque? ¿Son suficientes las medidas existentes para mitigar el riesgo de hacktivismo? Aquí es donde puede resultar útil una evaluación exhaustiva del riesgo cibernético de la infraestructura externa. Cerrar cualquier brecha revelada por dicha evaluación, incluidas vulnerabilidades o configuraciones incorrectas; idealmente, esto debería hacerse de manera continua y automatizada. Asegúrese de que los activos estén protegidos contra amenazas en una capa de correo electrónico, endpoint, red y nube híbrida y monitoree continuamente las amenazas con herramientas XDR/MDR. Mejore la gestión de identidad y acceso con arquitectura de confianza cero y autenticación multifactor (MFA) y esté atento a patrones de acceso a datos sospechosos. Utilice inteligencia de amenazas para recopilar, analizar y actuar en función de información sobre amenazas actuales y emergentes. Aplique un cifrado sólido, tanto en reposo como en tránsito, para proteger los datos confidenciales contra la lectura o modificación por parte de partes no autorizadas. Ejecutar programas continuos de educación y sensibilización de los empleados. Asóciese con un tercero confiable para la mitigación de DDoS. Cree y pruebe un plan integral de respuesta a incidentes. El hacktivismo no es nada nuevo. Pero las líneas cada vez más borrosas entre los grupos motivados ideológica y políticamente y los intereses gubernamentales la convierten en una amenaza más potente. Puede que sea el momento de repensar su planificación de gestión de riesgos.