Los investigadores de Kaspersky han publicado el nuevo informe, ‘Signal in the Noise, What hashtags reveal about 2025 hacktivism in the Middle East’, en el que se analizan más de 120 grupos hacktivistas y más de 11.000 publicaciones compartidas en la web abierta y la darknet durante 2025. El estudio revela que los hashtags se han convertido en el eje central de las campañas hacktivistas, actuando como identificadores, marcadores de coordinación y señales de autoría. Los ataques de denegación de servicio distribuido (DDoS) siguen siendo el método más habitual.

La investigación muestra que la actividad hacktivista tiene un alcance global que va mucho más allá de las zonas de conflicto en Oriente Medio y el norte de África, extendiéndose a objetivos en Europa, Asia y América. Otra característica destacada es la rapidez con la que actúan: una vez que los hacktivistas anuncian públicamente su intención de atacar, suelen cumplir sus amenazas en cuestión de días.

Este auge del hacktivismo ya había sido anticipado por los analistas Kaspersky en su informe de predicciones para 2024, ICS and OT threat predictions for 2024, del Equipo de Respuesta ante Emergencias de Sistemas de Control Industrial (ICS CERT). En aquel estudio se alertaba de que el hacktivismo geopolítico y el llamado “eco-hacktivismo” aumentarían su actividad y complejidad, ampliando el impacto de las campañas más allá de los conflictos regionales.

Principales hallazgos del informe:

• Hashtags como herramientas operativas: en 2025 se rastrearon más de 2.000 hashtags únicos, de los cuales 1.484 aparecieron por primera vez este año. Aunque la mayoría tienen una vida útil de apenas dos meses, los más populares se mantienen activos durante más tiempo gracias a las alianzas entre grupos.
• Objetivos globales: las víctimas se distribuyen por regiones tan diversas como Europa, Estados Unidos, India, Vietnam y Argentina, lo que confirma que los hacktivistas buscan visibilidad e impacto global antes que un enfoque geográfico concreto.
• Dominio del DDoS: el 61% de los ataques registrados estuvo relacionado con DDoS, y el 90% de los enlaces maliciosos analizados apuntaban a herramientas externas utilizadas para verificar la caída de los servicios.
• Ventanas de amenaza a corto plazo: los hacktivistas suelen actuar pocos días o semanas después de emitir sus amenazas públicas, lo que refuerza la importancia de una monitorización y respuesta rápidas.
• Las alianzas marcan el ritmo: los grupos hacktivistas colaboran con frecuencia, combinando recursos para amplificar el impacto de sus campañas. Estas alianzas suelen anunciarse mediante nuevos hashtags que simbolizan la unión y la acción conjunta.

“Los grupos hacktivistas prosperan gracias a la visibilidad, no al sigilo, a diferencia de los ciberdelincuentes convencionales. Sin embargo, esa necesidad de protagonismo puede volverse en su contra. Al monitorizar de forma continua la actividad de estos grupos, las empresas y las instituciones públicas pueden anticipar posibles ataques antes de que ocurran. Por eso es crucial contar con herramientas como Kaspersky Digital Footprint Intelligence, que permiten transformar estas señales en inteligencia práctica y accionable”, afirma Kseniya Kudasheva, analista de Digital Footprint en Kaspersky.

Para adelantarse a estas ciberamenazas, Kaspersky recomienda a empresas y organismos públicos de todo el mundo:

• Priorizar la mitigación de ataques DDoS mediante defensas escalables y planes de respuesta probados.
• Invertir en la monitorización continua de los ecosistemas de la web abierta y la darknet para identificar rápidamente anuncios de alianzas, publicaciones de amenazas y pruebas compartidas de ataques.
• Tratar las amenazas hacktivistas como advertencias a corto plazo y preparar las defensas en consecuencia.
• Reconocer la exposición global: incluso las organizaciones fuera de las zonas de conflicto deben asumir un riesgo potencial, ya que las campañas hacktivistas buscan atención mediática más que precisión geográfica.