El activismo mediante hacking, o hacktivismo, se define por la realización de ataques cibernéticos con finalidad ideológica o cultural.

Históricamente, algunas de estas acciones podían compararse con protestas en el mundo real, "congestionando" la red con ataques de denegación de servicio (DDoS) de la misma forma que las protestas toman las calles y avenidas de las ciudades. Sin embargo, esta actividad ya no puede abordarse de esta manera.

Aunque los ataques DDoS hacktivistas continúan siendo recurrentes, muchas de las acciones de hacktivismo ahora involucran la invasión de sistemas e incluso la recopilación de inteligencia. La consecuencia de esto es que estos hackers frecuentemente exponen datos con valor militar o político.

La tensión política en Medio Oriente, que ya dura décadas, creó las condiciones ideales para un gran semillero de grupos hacktivistas. Estos grupos actúan de forma ideológica, muchas veces reaccionando a acontecimientos en el mundo real.

En este contexto, una complicación emergente es la sofisticación de estos grupos de hacktivismo y la ampliación de los objetivos considerados válidos por estos grupos. El primer punto de atención es que los hacktivistas pueden elegir un objetivo únicamente por la presencia de ejecutivos vinculados a un país o etnia, aunque la empresa no tenga sede u oficina en la región de interés.

Una cuestión aún mayor que esta, sin embargo, es la imposición de la necesidad de recursos financieros para sostener las operaciones de hacktivismo, lo que viene cambiando profundamente las características de estos grupos.

Financiamiento más allá del hacktivismo

Cuando acciones de hacktivismo son realizadas por algunos pocos individuos, ellos normalmente necesitan acceso a infraestructura de TI y a otros recursos que, de manera general, necesitan ser adquiridos con dinero.

Para financiar esta infraestructura necesaria para alcanzar sus objetivos ideológicos, ciertos hacktivistas han aceptado actuar como "mercenarios", alquilando su capacidad de ataque a terceros interesados en obtener resultados rápidos.

En el caso de grupos más sofisticados, los hacktivistas actúan incluso invadiendo empresas y revendiendo ese acceso inicial a otros grupos criminales que no hacen distinción ideológica alguna en sus ataques. La venta de ese acceso también ayuda a financiar el hacktivismo, incluyendo la compra de códigos para explotar vulnerabilidades.

Aunque es preciso reconocer y señalar la existencia de estos actores más sofisticados, aún es cierto que muchos grupos de hacktivismo se dedican principalmente a la realización de ataques de denegación de servicio distribuida (DDoS). En el caso de estos grupos, el alquiler de infraestructura de DDoS y la formación de alianzas con otros colectivos de hackers son los principales métodos para ampliar el alcance de sus actividades.

Un grupo o individuo conocido como Mr.Hamza ejemplifica este tipo de actividad.

También es posible que los grupos de hacktivismo reciban incentivos financieros de otros grupos o de entidades organizadas, pero este tipo de apoyo es más difícil de rastrear.

De todos modos, existen ejemplos de grupos con recursos expresivos. Por ejemplo, el grupo conocido como Blackfield ya ofreció 500 mil dólares para adquirir un código para explotar una vulnerabilidad (exploit), lo que evidencia la robustez financiera de los hacktivistas.

Grupo Blackfield vendiendo información sobre individuos y cuentas bancarias a otros hackers en un foro frecuentado por operadores de ransomware.

Resumen del financiamiento de los grupos hacktivistas

• Crowdfunding: los grupos atraen simpatizantes ideológicos y se alían con otras entidades organizadas
• Extorsión: Los grupos de hacktivismo pueden exigir que empresas e individuos paguen para cesar ataques específicos
• Servicios de hacking: (como DDoS e invasiones)
• Venta de datos y herramientas: Durante sus acciones, los grupos de hacktivismo obtienen acceso a datos y sistemas que pueden ser vendidos a otros grupos criminales ayudando a financiar las próximas acciones.

Involucramiento con ransomware

La expansión de las actividades y alianzas de los grupos de hacktivismo hizo que se aproximaran también a operadores de ransomware.

Esto fue observado especialmente en el grupo Cyber Fattah, que divulgó herramientas vinculadas a una operación de ransomware.

Mensajes del grupo Cyber Fattah demostrando alianza con la operación de ransomware BQTlock/BaqiyatLock

El uso de ransomware como operación de hacktivismo es un ejemplo bastante claro de cómo las actividades de estos grupos ganaron un enfoque financiero para sostener el avance de ataques cibernéticos de cuño ideológico, tanto en volumen como en sofisticación.

Grupos de hacktivismo

El mundo cibernético fácilmente crea asimetrías. Esto significa que el impacto de las acciones no siempre es proporcional a la cantidad de agentes involucrados o del poder de las entidades representadas por estas acciones.

En este sentido, es importante comprender que no existe una fuerza necesariamente "equilibrada" entre los dos lados del enfrentamiento. A pesar de esto, tampoco es posible afirmar de forma definitiva que un lado será necesariamente más efectivo que el otro.

En el caso de los enfrentamientos en Medio Oriente involucrando a Israel, la motivación ideológica no siempre es la misma. Por ejemplo, puede ser más fácil encontrar grupos contrarios a Irán (identificamos 15) que favorables a Israel (identificamos 10).

Esta divergencia ideológica puede o no ser relevante, dependiendo del contexto de cada momento.

En el caso de Palestina e Irán, hay una gran convergencia ideológica. En parte, esto puede explicarse por la solidaridad religiosa. Muchos países de la región son de mayoría musulmana, aumentando la probabilidad de que residentes de estos países sientan alguna afinidad con Irán y los palestinos, aunque no estén directamente involucrados en el conflicto.

Por lo tanto, hay más de 100 grupos que pueden ser considerados pro-Irán, dispersos geográficamente por los países de mayoría musulmana en el norte de África y Asia.

Debido a la convergencia de intereses, ciertos análisis señalan que parte de estos grupos puede estar vinculada a estructuras militares y de inteligencia nacionales, sea a través de financiamiento o por la coordinación de las actividades. Sin embargo, raramente un país reconoce las acciones que realiza en el mundo digital.

De cualquier forma, debido al número expresivo de actores, las técnicas varían considerablemente entre uno y otro. Hay grupos como Pink Sandstorm, que es especializado en la instalación de malwares del tipo wiper, que destruyen los sistemas invadidos. De la misma forma, hay hacktivistas especializados en espionaje a largo plazo o en la explotación de vulnerabilidades de forma oportunista.

Recomendaciones

Aunque las empresas más visadas por los grupos hacktivistas sean aquellas que tienen algún vínculo con los países involucrados en los enfrentamientos que motivan este tipo de acción, la ampliación del alcance de estos grupos, motivada por la necesidad de financiar sus acciones, llevó a algunos grupos de hacktivismo a tener una actuación más diversa.

Por eso, todas las empresas deben contar con Cyber Threat Intelligence para mantenerse conscientes de las técnicas empleadas por los hacktivistas, tratándolos de la misma forma que otros adversarios.

Axur indica principalmente las siguientes medidas de mitigación:

• Monitoreo de credenciales filtradas para invalidar contraseñas y otros códigos de acceso que pueden haber caído en manos de invasores
• Monitoreo de marca y menciones para identificar cuando grupos de hacktivismo demuestran interés en atacar empresas específicas, incluyendo aquellas que son relevantes para la cadena productiva de determinados sectores
• Acceso a datos de inteligencia sobre los grupos y sus acciones
• Uso de herramientas de investigación y Threat Hunting con acceso a información de grupos de hacktivismo para investigar incidentes y determinar cuándo pueden estar vinculados a grupos de hacktivismo

La Plataforma Axur ofrece una solución completa con todos estos recursos. Hable con uno de nuestros especialistas y descubra cómo Axur puede aumentar su visibilidad sobre estas y otras amenazas cibernéticas.