Cibercriminales, hacktivistas y ciberterrorismo

Cibercriminales, hacktivistas y ciberterrorismo

Tiempo de lectura estimado: 15 minutos


Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer los actores de la amenaza dentro de la ciberseguridad, concretamente de las tendencias de los criminales.

Actores de la amenaza

Los actores de la ciberamenaza son estados, grupos o individuos qué pretenden obtener un acceso no autorizado a los sistemas de información con el fin de acceder a los datos los dispositivos, los sistemas y las redes de las víctimas o afectarlos de alguna manera. 

  • Estado-Nación. Su motivación es el espionaje político económico o militar. Detrás está el propio Estado o una organización con vínculos muy cercanos a este. Algunas de las TTPs comunes son la suplantación de contraseñas, ingeniería social, compromiso directo, exfiltración de datos, troyanos de acceso remoto y malware destructivo. No son lo mismo que los APT, ya que estos no siempre son Estado-Nación.
  • Cibercriminales. Su motivación es el beneficio económico o mejora de la reputación. Pueden ser lobos solitarios aunque también se organizan en grupos. Sus TTPs más utilizadas son el phishing, ingeniería social, estafas de compromiso de correo electrónico empresarial, botnets, contraseña, kits de explotación, malware o ransomware. 
  • Hacktivistas. Actúan bajo una motivación política, social o ideológica. Suelen ser individuos u organizaciones no gubernamentales y atacar con ataques de DDoS, doxing, desfiguración de sitios webs… 
  • Ciberterroristas. Suelen moverse bajo consignas políticas o ideológicas, posiblemente para obtener beneficios económicos, espionaje o como propaganda. Pueden ser individuos, organizaciones o Estados-Nación. Atacan con desactivaciones y supuestas filtraciones.
  • Insiders. Son empleados actuales o antiguos de una organización que busca el beneficio económico o venganza. Pueden tener o no antiguo acceso autorizado y suelen exfiltrar datos o hacer un uso indebido de sus privilegios. 

¿Quiénes son?

La actividad cibercriminal dirigida las organizaciones puede dividirse en tres grandes categorías:

  • Estafas masivas y hackeo automatizado
  • Proveedores de infraestructura criminal
  • Cazadores de caza mayor

Tendencias de ciberamenazas

Las tendencias de ciberamenazas del 2021 las recoge un informe del CCN-CERT. Estas apuntan a un auge de la cibercriminalidad a causa de la pandemia y aumento del teletrabajo. También se ha puesto el foco en organismos públicos e infraestructuras críticas. Además, ha habido un aumento del phishing corporativo y el ransomware es cada vez más efectivo y se decanta como la línea de ataque favorita de los cibercriminales.

Ejemplos de ciberataques

SolarWinds. Los actores de este ataque fueron el propio SolarWinds, supuestamente APT29 y más de 18.000 clientes afectados de SolarWinds. Fue un ataque de cadena de suministro en el que se comprometió al proveedor digital de servicios externos para infiltrarse desde ahí en el objetivo. Pasó desapercibido durante muchos meses y se introdujo en dos actualizaciones oficiales de Orion.

Microsoft Exchange. Un grupo de hackers chinos encontró vulnerabilidades en Microsoft Exchange lo que les permitió acceder unas 30.000 cuentas de correo de organizaciones de Estados Unidos y unas 250.000 en todo el mundo. Otros cibercriminales se aprovecharon de estas vulnerabilidades hasta que el FBI ayudó a arreglarlas. 

Apache Log4j. Es una vulnerabilidad 0 day que se detectó en la biblioteca de registro de Apache Log4j qué se utiliza en la mayoría de servicios empresariales. Al informarse de la vulnerabilidad inmediatamente se comenzó a explotar y recibió un nivel 10/10  de peligrosidad de amenaza. 

Grupos APT

Una amenaza persistente avanzada (APT) es un agente de amenaza sigiloso, normalmente un Estado-Nación o un grupo patrocinado por uno, que obtiene acceso no autorizado a una red informática y permanece sin ser detectado durante un periodo prolongado. Sus motivaciones suelen ser políticas o económicas. 

Hacktivistas

El término “hacktivismo” proviene de la combinación de palabras “hack” y “activismo”. Activismo se puede definir como cualquier movimiento de tipo social,  político, económico,  ecológico o religioso que se produce con el fin de lograr un cambio. Con la incorporación del término “hack” se hace referencia a la ejecución de estas acciones de protesta en el ciberespacio 

No hay que confundir ciberactivista con hacktivista. El primero se refiere a trasladar el activismo al mundo digital aprovechando las nuevas tecnologías e Internet. El segundo va más allá y utiliza habilidades técnicas para ejecutar acciones o ataques sobre sistemas con el fin de propagar y defender unas ideas. Diferenciar algunos perfiles entre los hacktivistas:

Anónimos

  • Actúan de forma independiente o en grupos sin estructura fija
  • Defienden causas locales o a pequeña escala ante ciertos acontecimientos
  • Este perfil no suele contar con muchos medios ni conocimientos técnicos

Ejércitos cibernéticos

  • Grupos organizados que trabajan para estados u organizaciones determinadas
  • Son comunes en estados totalitarios y extremistas aunque comienzan a extenderse
  • Estos grupos cuentan con medios y apoyos suficientes para ejecutar ataques muy sofisticados

Militantes

  • En un punto medio entre ciberactivista y hacktivista
  • Estructura organizada

Oportunistas

  • No tienen una ideología definida y aprovechan cualquier oportunidad para atacar
  • Su motivación es la fama y la ejecución de ataques

Algunos objetivos de los hacktivistas son servicios específicos que tienen relación con una ideología o modo de vida contrarios, sitios con altas tasas de visualización que les permita hacer propaganda para su causa o servicios de países o organizaciones que cometan acciones contrarias o su ideología.

De forma general los ataques que se realizan son denegaciones de servicio distribuidos, robo de datos mediante inyecciones SQL y otras técnicas y filtración de datos. Un ejemplo famoso es el de Phineas Fisher y sus ataques a Hacking Team y al Banco Nacional de las Islas Caimán.

La tendencia del hacktivismo, a diferencia de los ciberataques, presenta una tendencia descendente y se prevé que continúe en este sentido. La mayoría de ataques se producen a objetivos desactualizados o vulnerables y sus técnicas y tácticas empleadas continúan siendo las mismas: denegación de servicio (DoS y DDoS), inyecciones SQL y filtraciones de datos. 

Ciberterrorismo

Este término permite dos acepciones:

  • Ciberataque alentado por fines políticos, económicos, ideológicos o religiosos contra sistemas de redes, computadores, información o datos almacenados, que comporta en daño o intimidación a objetivos civiles por parte de grupos determinados o individuos clandestinos.
  • Toda actividad de un grupo terrorista llevada a cabo a través de Internet y con nuevas tecnologías.

Las operativas de los grupos terroristas de internet ha cambiado respecto a su versión física, pero en esencia son las mismas:

  • Financiación: phishing, ransomware y venta ilegal en DeepWeb. Les permite obtener recursos sin apenas exponerse.
  • Propaganda: Redes sociales y foros. De nuevo, menos exposición y la posibilidad de llegar a mucha más gente.
  • Adoctrinamiento: mediante de servicios de mensajería
  • Adiestramiento: como manuales de armamento y revistas electrónicas
  • Comunicación interna: Servicios de mensajería seguros
  • Ejecución: ciberataques que afecten a estructuras críticas o que infundan terror en la sociedad.

Algunos grupos conocidos son el ISIS y el cibercalifato, que no pertenece directamente al ISIS pero lo integran grupos afines como TeaMp0isoN, Ghost Caliphate Section, Sons Caliphate Army (SCA), Caliphate Cyber Army (CCA) y el Kalashnikov E-Security Team. Desconfiguran sitios web colocando insignias del ISIS, filtración de información y hacen ataques de denegación de servicio.

Diferentes estudios confirman que no se han detectado incidentes de ciberterrorismo en forma de ciberataques y se ha confirmado la inexistencia de una división ciberarmada del ISIS.

En el futuro aumentarán el uso de las redes sociales, servicios de mensajería privados siguiendo la tendencia de años pasados y su financiación seguirá siendo en criptomonedas. Actualmente se está trabajando en soluciones que permitan detectar la presencia de perfiles terroristas en la red.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponentes: Manuel López Pérez y Pablo Martínez Plaza

Manuel pertenece al grupo de investigación BISITE, es analista en ciberseguridad y profesor en el máster de ciberseguridad de la USAL. Además, es miembro de la selección española de ciberseguridad (INCIBE).

Pablo es analista de ciberseguridad en BISITE, miembro de la Selección Española de Ciberseguridad, profesor del Máster en Ciberseguridad de la USAL y participante en CTFs a nivel nacional e internacional.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/