Google advierte del escaparate que suponen las guerras en Ucrania y Gaza para los hackers

En 2023 se producía un ciberataque cada 39 segundos, lo que, al día, se traduce en más de 2.200 casos. Estos datos, recogidos por Cybersecurity Ventures —la lanzadera de start-ups creada por el Instituto Nacional de Ciberseguridad (Incibe)—, contrastan con los correspondientes a 2022, cuando subía a 44 segundos el tiempo en el que se sucedían este tipo de delitos.

Más ciberataques cada año, con mayor nivel de sofisticación y con mayores implicaciones. Desde febrero de 2022, momento en el que comenzó la invasión rusa a Ucrania, los hackers han aprovechado la guerra como un nuevo escenario en el que desplegar sus conocimientos y poner en valor su poder.

En este sentido, el equipo de Análisis de Amenazas (TAG por sus siglas en inglés) de Google ha hecho público este miércoles un informe de inteligencia que ofrece un seguimiento de la actividad cibernética observada en torno a la guerra entre Israel y Hamás antes y después del ataque del 7 de octubre de 2023.

El trabajo, realizado junto a Mandiant y Trust & Safety, destaca que, aunque no hay evidencias de que Hamás planeara ciberataques como parte de su ofensiva inicial, numerosos grupos de hackers vinculados a los paramilitares palestinos realizaron varias ciberoperaciones con dos fines.

El primero, recopilar información operativa y estratégica de Israel, Estados Unidos y del propio gobierno palestino; el segundo, demostrar su valor en la guerra usando el mundo cibernético como vector de agresión fuera del campo de batalla.

Las tácticas, técnicas y procedimientos (TTP) favorecidos por estos actores tienden a ser simples, pero efectivos. Sin embargo, una campaña reciente de un grupo vinculado a Hamás muestra avances en sus capacidades cibernéticas, incluidas elaboradas campañas de ingeniería social para distribuir malware personalizado a objetivos israelíes de alto valor.

Según el TAG de Google, en septiembre de 2023, Blackatom, un grupo con sede en Palestina probablemente vinculado a Hamás atacó a través de un malware a ingenieros de software del ejército y la industria espacial israelíes haciéndose pasar por empleados de empresas legítimas y se acercaron a través de LinkedIn para invitar a sus objetivos a postularse para oportunidades de desarrollo de software independientes.

El papel de Irán y los “gorriones depredadores”

El informe de Google destaca también que Irán, en los seis meses previos al inicio de la guerra entre Israel y Gaza protagonizó aproximadamente el 80% de toda la actividad de phishing —robo de datos bancarios a través de envíos de correos electrónicos masivos— respaldada por el gobierno y dirigida a usuarios con sede en Israel.

Este es un eslabón más de toda la actividad que la república islámica viene realizando contra Estados Unidos e Israel, ya que parece que el recrudecimiento del conflicto no ha cambiado fundamentalmente los objetivos más amplios de Teherán. Sin embargo, después de los ataques, Irán se ha centrado en socavar el apoyo público a la guerra a través de ciberataques destructivos contra organizaciones israelíes clave, operaciones de piratería y filtración y operaciones de información dirigidas a desmoralizar a los ciudadanos israelíes.

Como respuesta a las acciones del gobierno iraní, el 10 de octubre del año pasado, el grupo Gonjeshke Darande (Gorrión Depredador en persa) publicó un mensaje en Telegram afirmando haber vuelto a la actividad. Gorrión Depredador se atribuyó la responsabilidad de múltiples ataques en Irán entre octubre de 2021 y enero de 2023 a través de Telegram y X (antes conocida como Twitter).

En diciembre de 2023, el grupo reivindicó otro ataque importante, diciendo que habían desconectado la mayoría de las gasolineras en Irán. El ministro de Petróleo de Irán, que culpó a Israel y Estados Unidos por los ataques, confirmó el impacto.

En las publicaciones donde reivindican estos ataques, Gonjeshke Darande dijo: “Este ciberataque surge en respuesta a la agresión de la República Islámica y sus representantes en la región”. Los hackers reclamaron moderación, enfatizando que sus operaciones se diseñaron para perturbar y demostrar capacidad, en lugar de causar daños duraderos.

Irán ha declarado que cree que Israel está detrás de los ataques de Gorrión Depredador, pero desde Google afirman no tener pruebas suficientes para atribuir la actividad de este grupo a ninguna entidad gubernamental.

Ataques más importantes en Ucrania

Por otra parte, el TAG de Google ha resaltado las diferencias existentes entre el conflicto de Israel y Gaza y la invasión rusa de Ucrania. En la franja gazatí no se observó un aumento en las operaciones cibernéticas contra objetivos israelíes antes del ataque. Sin embargo, en Ucrania, la actividad de amenazas cibernéticas rusas dirigidas a Kiev en el período previo a la invasión aumentó considerablemente.

Además, la actividad cibernética no parece integrada en las operaciones en el campo de batalla de Hamás, o que la ciberactividad se utilizara para permitir movimientos en el campo de batalla. Por su parte, varios actores asociados al Kremlin han lanzado ciberataques coordinados contra objetivos ucranianos antes de atacarlos con misiles, como los apagones producidos en varias ciudades ucranianas en octubre de 2022 antes del impacto de los proyectiles rusos.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días