El 14 de Abril, el CCN-CERT (@CCNCERT) publicó el informe anual de 2019 sobre hacktivismo y ciberyihadismo afectando tanto a España como al resto del mundo. Desde Ginseg queremos hacer un breve resumen sobre este informe centrándonos en los puntos más relevantes. El presente documento del CCN-CERT, bajo el título de IA-04/20 recoge las diferentes tendencias producidas a lo largo del año 2019 con respecto al hacktivismo y el ciberyihadismo en España, Iberoamérica, África del Norte, Oriente Medio y resto de países internacionales. Para más detalles, podéis acceder al informe completo en la sección “Visualización del informe de Hacktivismo y Ciberyihadismo del CCN-CERT” de este artículo.

Información de la publicación:

  • Título: Hacktivismo y Ciberyihadismo. Informe anual 2019
  • Autor: Centro Criptológico Nacional (CCN-CERT)
  • Sitio Web: https://www.ccn-cert.cni.es/
  • Fecha de publicación: Abril de 2020
  • Idioma: Español
  • Temática: Ciberinteligencia, Hacktivismo y Ciberyihadismo

Tendencias del hacktivismo

El informe indica que en 2019 se mantiene la degeneración del movimiento hacktivista que se lleva observando estos últimos años. Ha habido un cambio en la ideología desde la década anterior al 2010 hasta ahora. Antes del 2010, el movimiento hacktivista se caracterizaba por actuar en colectivos y tener un pensamiento antisistema. Sin embargo, la tendencia ha cambiado y ahora los hacktivistas suelen actuar de forma individual y con afán de protagonismo. El informe menciona que de esta manera, el hacktivismo que conocíamos en el 2010 se transforma en una clase de cibergraffitismo.

El informe utiliza el término cibergraffitismo porque muchos ataques tienen como objetivo el desfigurar sitios web para firmarlos con su alias y así ganar notoriedad.

En cuanto a las TTPs utilizadas por la mayor parte de los hacktivistas, destaca el uso de vulnerabilidades de software fácilmente explotable (WordPress, Joomla, etc). El informe defiende que la mayoría de los hacktivistas no tienen habilidades avanzadas por lo que optan por atacar usando vulnerabilidades conocidas.

Hacktivismo en España

En España, en general, los hacktivistas tienen muy baja peligrosidad ya que no poseen las habilidades técnicas necesarias para suponer una ciberamenaza. Una de las excepciones es el grupo “La 9ª Compañía“, el cual mantiene los orígenes de la ideología hacktivista y es considerado relativamente peligroso. Aun así, “La 9ª Compañía” ha disminuido notablemente su actividad durante 2019 con tres ciberataques llevados a cabo contra El Corte Inglés, la Alhambra en Granada y la agencia de noticias EFE.

La campaña de hacktivismo más significativa llevada a cabo durante el 2019 es la denominada #OPCATALUNYA, (también llamada #OPCATALONIA, #OPSPAIN). Esta operación lleva vigente desde 2017, pero en 2019 el número de ciberataques (43) ha disminuido notablemente respecto al año anterior. El tipo de ciberataques que se llevaron a cabo durante esta operación son:

  • Un 60% fueron inyecciones sobre bases de datos SQL, con un 35% de ataques fracasados. La mayoría tuvieron como objetivos webs privadas menores.
  • El 30% correspondieron a ataques de denegación de servicio (DDoS) principalmente sobre la web de la Administración Pública española.
  • Un 9% consistió en desfiguraciones de webs menores.

Otra de las tendencias que se llevaron a cabo principalmente en el mes de agosto fue la vulneración de perfiles institucionales en Twitter. Los objetivos eran cuentas de Twitter de ayuntamientos e instituciones públicas con la intención de publicar mensajes falsos en esos perfiles. Ejemplos de cuentas de Twitter comprometidas son: Universidad Pública de Navarra, Universitat Jaume I de Castellón, Correos, y Servicio Andaluz de Empleo.

Hacktivismo en Iberoamérica

La desfiguración de contenido de sitios web (defacement) sigue siendo uno de los tipos de ciberataque más relevantes. Los objetivos principales han sido gobiernos locales regionales y federales. En la siguiente imagen, se pueden observar los marcos narrativos llevados a cabo en 2019 en Iberoamérica.

Hacktivismo en Norte de África y Oriente Medio

Se mantiene la tendencia de ataques mediante la desfiguración de sitios web (defacement) llevados a cabo por hacktivistas de manera individual motivados por la búsqueda de notoriedad. Cómo es común en otras parte del mundo, en esta región también se suele utilizar vulnerabilidades de software desactualizado para comprometer el sistema. En la siguiente imagen, se pueden observar los marcos narrativos llevados a cabo en 2019 en el Norte de África y Oriente Medio.

Hacktivismo en el ámbito internacional

En el resto de países (no mencionados anteriormente), se mantiene la misma narrativa que hemos visto en otras regiones en cuanto al hacktivismo. Estos puntos son:

  1. Atomización de identidades hacktivistas y desaparición de configuraciones nacionales tipo ‘Anonymous’
  2. Incapacidad para articular narrativas convincentes de campañas de ciberataques
  3. Cambio de ideología del hacktivismo a una motivación basada en la búsqueda de notoriedad
  4. Ciberataques utilizando vulnerabilidades en software desactualizado
  5. Un de momento bajo volumen de intersección entre pequeña cibercriminalidad hacktivista egocéntricamente motivada por el afán de notoriedad y pequeña cibercriminalidad dedicada al SEO Spam

En la siguiente imagen, se pueden observar los marcos narrativos llevados a cabo en 2019 en el ámbito internacional.

Hacktivismo Proislamista o Proyihadista

El informe define el ciberyihadismo como la utilización de medios cibernéticos para desarrollar ataques sobre la base de una motivación ideológica yihadista. El informe defiende que al igual que en el 2018, no se ha detectado ningún incidente que sea calificable de ciberyihadismo.

Se ha observado una corriente de hacktivistas afines al ‘Cibercalifato’ en el que han desfigurado sitios web para incorporar contenido proislamista o proyihadista. El análisis de estos incidentes descarta en principio que haya una identidad del ‘Cibercalifato’ como tal, sino que los hacktivistas actúan independientemente. La hipótesis que se propone en el informe es que los hacktivistas añaden contenido proyihadista como provocación y para ganar notoriedad. El CCN-CERT califica este tipo de hacktivismo como “hacktivismo parásito de simbología proislamista”.

La imagen siguiente en un ejemplo del “hacktivismo parasito de simbología proislamista”

Tendencias 2020

Terminamos el resumen del informe con las predicciones para 2020 mencionadas en el informe en relación al hacktivismo:

  • Permanencia del movimiento hacktivista ‘Anonymous’ en su estado de desmembramiento internacional en términos operativos.
  • Continuación de la conversión del hacktivismo convencional como movimiento de ciberinsurgencia al hacktivismo individual basado principalmente en la notoriedad.
  • Explotación de vulnerabilidades en webs equipadas con software desactualizado.
  • Casos puntuales de ciberamenazas que se hagan pasar por identidades hacktivistas para llevar a cabo ataques de falsa bandera
  • En 2020 tampoco se observará evidencia sobre la existencia de ciberyihadismo.

Fuente de la notificación del informe por parte del CCN-CERT

La notificación de la publicación del presente informe por parte del CCN-CERT ha sido comunicado por medio de su página oficial a través del siguiente enlace: https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9929-publicado-el-informe-anual-2019-sobre-hacktivismo-y-ciberyihadismo-del-ccn-cert.html, además de su cuenta oficial de Twitter.

Visualización del informe de Hacktivismo y Ciberyihadismo del CCN-CERT

Informe-Anual-04-20-Hacktivismo-y-Ciberyihadismo-2019

Informe Anual de Hacktivismo y Ciberyihadismo del CCN-CERT. Volver a punto anterior

Conclusión

​​Con alguna excepción, el hacktivismo colectivo con ideología antisistema que conocíamos está cambiando estos últimos años a un movimiento individualista que busca la notoriedad.

​​​​​​​​​​​​​​​​​Los ciberataques se han visto reducidos este año con respecto al anterior significativamente. ​ En general, la mayor parte de los hacktivistas utilizan vulnerabilidades en software desactualizado para después añadir contenido falso a la web atacada.​​​​​

En cuanto al ciberyihadismo como tal, el CCN-CERT no ha visto indicios de este movimiento y predice que no aparecerá en este 2020.

Autor del artículo

0 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>