Antes, el hacktivismo se centraba en un número limitado de individuos que realizaban ataques DDoS a pequeña escala, pero ahora es un movimiento organizado, con estructura y mucho más sofisticado

Check Point Research señala que el nuevo modelo de hacktivismo comenzó en zonas de conflicto en Oriente Medio y Europa del Este y ha proliferado en otras zonas durante este año

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha encontrado un nuevo modelo de ciberactivismo que es tendencia. Por ejemplo, el grupo hacktivista Killnet, detalla sus ataques por países y la cronología de los mismos. Check Point Research también advierte de que este tipo de movimientos originados en zonas en conflicto tiene el potencial de escalar a nivel mundial.

El nuevo modelo de hacktivismo está mejor organizado, estructurado y es más sofisticado en comparación con el anterior y se ha pasado de grupos reducidos que realizaban organizaciones coordinadas a grupos organizados a escala mundial.

Características clave:

• Ideología política coherente
• Jerarquía de liderazgo
• Proceso formal de contratación
• Herramientas que los grupos proporcionan a sus miembros
• Acciones sólidas de relaciones públicas

¿Por qué ahora?

Check Point sospecha que el cambio en el modelo de hacktivismo comenzó hace aproximadamente dos años, con varios grupos de ciberactivismo como Hackers of Savior, Black Shadow y Moses Staff que se centraron exclusivamente en atacar a Israel.

La guerra ruso-ucraniana ha hecho proliferar este nuevo modelo de hacktivismo de forma significativa. Por ejemplo, el gobierno ucraniano movilizó a su Ejército Informático para atacar a Rusia. El nuevo ciberactivismo cuenta con grupos que apoyaron la narrativa geopolítica rusa, como Killnet, Xaknet, From Russia with Love (FRwL), NoName057(16), entre otros.

Estudio de caso: Killnet, de este a oeste

En abril de este año, el grupo cambió completamente su enfoque para apoyar los intereses geopolíticos rusos en todo el mundo y firmó la autoría de más de 550 ataques entre finales de febrero y septiembre de este año. Sólo 45 de ellos fueron contra Ucrania, menos del 10% del número total de ataques.

Figura 1. Distribución de los ataques de Killnet por países

Cronología de Killnet – acontecimientos destacados

1. Marzo: el grupo ejecutó un ataque DDoS contra el Aeropuerto Internacional Bradley de Connecticut (EE.UU.)
2. Abril: sitios web pertenecientes al Gobierno rumano, como el Ministerio de Defensa, la Policía de Fronteras, la Compañía Nacional de Transporte Ferroviario y un banco comercial, quedaron inaccesibles durante varias horas
3. Mayo: se ejecutaron ataques DDOS masivos contra dos importantes países de la UE, Alemania e Italia
4. Junio: se ejecutaron dos olas de ataques muy importantes contra Lituania y Noruega en respuesta a los graves acontecimientos geopolíticos entre esos países y Rusia
5. Julio: Killnet centró sus esfuerzos en Polonia y provocó la indisponibilidad de varios sitios web gubernamentales
6. Agosto: se desplegaron ciberataques contra Letonia, Estonia e instituciones de Estados Unidos
7. Septiembre: el grupo apuntó a Asia por primera vez y centró sus esfuerzos en Japón, debido al apoyo de este país a Ucrania

“Hay características clave que marcan el nuevo modelo de ciberactivismo, incluyendo una ideología política consistente, una clara jerarquía de liderazgo, procesos formales de contratación, un sofisticado conjunto de herramientas y sólidas capacidades de relaciones públicas”, explica Sergey Shykevich, director del grupo de inteligencia de amenazas de Check Point Software. “Aunque el cambio comenzó en regiones geográficas específicas relacionadas con el conflicto, ahora se ha extendido hacia el oeste e incluso más lejos. Las principales empresas y gobiernos de Europa y Estados Unidos están siendo objeto de este tipo de hacktivismo emergente.”