Home Guerra Cómo el conflicto global convirtió la molestia hacktivista en una amenaza de...

Cómo el conflicto global convirtió la molestia hacktivista en una amenaza de seguridad

54
0

Mencionar hacktivismo a los CISO de hoy causa que la mayoría de ellos muevan los ojos. Pueden tener un punto. Muchos años después de que se acuñara por primera vez el término hacktivismo, este tipo de cibercrimen sigue siendo a menudo visto como una amenaza de nivel básico llevada a cabo por grupos marginales de bromistas digitales frustrados en sótanos.

Ahí es donde comenzó el hacktivismo, pero no es donde está ahora. El hacktivismo ha evolucionado desde entonces en una dirección muy diferente, una evolución que continúa su curso. No es un riesgo que la mayoría de los CISO pondrán en su lista de las cinco principales preocupaciones cibernéticas, pero es un fenómeno al que aún deberían prestar mucha atención porque se dirige en una dirección peligrosa.

El punto de inflexión fue la guerra de 2022 entre Ucrania y Rusia. Probablemente ayudó que Rusia ya fuera una superpotencia mundial en conocimientos de cibercrimen comercial. Los ataques hacktivistas aumentaron. El arma principal de elección desde entonces ha sido DDoS, alquilado a bajo costo de los abundantes servicios de DDoS para contratar.

Si bien no necesariamente mejor financiado hoy, el hacktivismo está impulsado más por la motivación que por el dinero y, sin embargo, ha metastatizado. Está en todas partes, abarcando cientos de grupos en todo el mundo que parecen casi inmunes al arresto convencional y a la interrupción de la infraestructura.

Radware ahora rastrea hasta 150 grupos diferentes basados en reclamos de ataque DDoS hechos en Telegram, la mayoría de los cuales están respaldados por enlaces de verificación de host que muestran la disponibilidad de sitios web. En la primera mitad de 2025 solamente, esto representó 7,488 reclamos de ataques únicos, con Europa y Medio Oriente afectados de manera desproporcionada.

La guerra de 2026 con Irán ha continuado el patrón, con Radware registrando 1,128 reclamos de ataques DDoS realizados en Telegram, dirigidos principalmente a países aliados de los EE.UU. e Israel. Entre el 28 de febrero y el 24 de marzo, esto resultó en 346 organizaciones afectadas, alrededor de la mitad en el gobierno.

En términos de números de ataques, un pequeño grupo de “supergroups” domina los ataques, incluidos NoName057(16), Keymous+, Hezi Rash (Dark Power) y Mr Hamza.

El más famoso de estos, NoName057(16), fue objetivo de una importante operación de Europol en julio, lo que llevó a dos arrestos y a la emisión de órdenes de arresto internacionales para otra media docena de personas basadas en la Federación Rusa.

Aunque la operación probablemente falló – NoName057(16) volvió a estar en funcionamiento en gran parte en cuestión de días – ofreció una rara visión de la estructura y escala más profunda del hacktivismo. NoName057(16) ha acumulado 1,000 participantes activos, incluidos 15 administradores, en al menos 12 países. Su arsenal estaba compuesto por 100 servidores, probablemente una subestimación dada la rapidez con la que se resucitó a sí mismo.

NoName057(16) está claramente bien organizado, reclutando un flujo constante de nuevos simpatizantes, a quienes se les instruye sobre cómo lanzar ataques utilizando servicios de DDoS para contratar. La motivación se mantiene con recompensas en criptomonedas y tablas de clasificación gamificadas vinculadas a un mensaje ideológico.

Cuando NoName057(16) se activó en 2022, probablemente era un puñado de personas. Sin embargo, en tres años, se convirtió en una operación capaz de lanzar miles de ataques DDoS, incluidos ataques al gobierno local del Reino Unido y al sistema ferroviario de Alemania. Así que adiós a la imagen del hacktivismo como un crimen de bromistas.

Contrarrestar el Hacktivismo

NoName057(16) sugiere que el hacktivismo se está fusionando con los ataques de los estados-nación. Los actores estatales son grupos altamente secretos que eligen sus objetivos cuidadosamente para adaptarse a objetivos a largo plazo. El hacktivismo, en cambio, es ruidoso, oportunista y se enfoca en explotar eventos mundiales en tiempo real.

El hacktivismo híbrido con conexiones a estados-nación está cerrando la brecha entre estos dos ámbitos. El objetivo de estos grupos neo-hacktivistas a menudo es llevar a cabo una guerra psicológica a través del bochorno público: “tan poderoso como parezcas, nuestros ataques muestran que no eres invulnerable”.

Esta estrategia es poderosa porque la afirmación a menudo es cierta: incluso los pequeños ataques DDoS cuidadosamente dirigidos a menudo logran algún éxito. Lejos de ser marginal, cifras de ENISA reportan que el hacktivismo ahora representa alrededor del 80% de los ataques DDoS que afectan a organizaciones de la UE.

La pregunta es cómo deberían reaccionar las organizaciones ante la creciente amenaza del hacktivismo. Una lección clave es no desestimar a estos grupos como inofensivos o asumir que tu empresa no será atacada. Cada uno puede verse pequeño en comparación con un actor importante de ransomware, pero hay muchos de ellos y cada vez están más organizados.

Es por eso que seguir las campañas de hacktivismo en Telegram o en la dark web es imprescindible para una inteligencia de amenazas completa. Si tu empresa u organización del sector público está en la mira de los hacktivistas – especialmente durante guerras o momentos de alta tensión – aquí es donde obtendrás una advertencia temprana.

Defenderse contra una amenaza tan impredecible es un desafío. Hoy en día, el término ataque DDoS aún evoca la idea de grandes ataques de tráfico sostenido que hacen caer sitios web. En realidad, el DDoS de hoy es igual de probable que sea mucho más pequeño y corto, cambiando protocolos y vectores en minutos mientras los atacantes exploran puntos débiles.

Por eso, la protección DDoS debe ser automatizada, una tecnología que analiza el tráfico en términos de intención en lugar de simplemente buscar una firma predefinida. Realizado a la velocidad de la máquina, esto también evita el problema de la fatiga del defensor en campañas de DDoS que pueden durar días.

Solo una fracción de los incidentes de hacktivismo causan grandes interrupciones, pero el efecto es tanto psicológico como técnico. Cualquiera podría ser el siguiente. La lección de todo esto es simple: el hacktivismo ya no es un movimiento de protesta juvenil. Ha evolucionado hacia un tipo de amenaza madura que merece respeto.

Crédito de la imagen: Cineberg / Shutterstock.com