Cuando aumentan las tensiones geopolíticas, la mayor parte de la atención se centra en los conflictos físicos, los trastornos económicos y las consecuencias políticas. Lo que a menudo es menos visible, pero ya se está desarrollando en paralelo, es un aumento de la actividad cibernética.

En este blog, Richard Ford, Director Técnico de Integrity360, explica cómo los conflictos mundiales están provocando un aumento del riesgo cibernético, por qué el hacktivismo está ganando terreno y qué deben comprender las organizaciones para reducir su exposición.

¿Qué es el hacktivismo y por qué es importante ahora?

El hacktivismo se ha convertido en un rasgo definitorio de los conflictos cibernéticos modernos, especialmente durante los periodos de inestabilidad geopolítica. A diferencia de la ciberdelincuencia tradicional, estos grupos no tienen motivaciones económicas. Sus objetivos son ideológicos.

Richard Ford lo explica:

El término hacktivismo se refiere a los grupos de hackers que tienen una motivación política o social, impulsados por la ideología o el deseo de justicia social o cambio político, en lugar de tener una motivación financiera.

Según el grupo y/o la motivación, los objetivos suelen ser gobiernos o grandes empresas. En este caso concreto, se trata de grupos de hacktivistas vinculados a Irán o que simpatizan con este país, y que han sido desencadenados por los acontecimientos de las últimas semanas. En este caso, los hacktivistas iraníes tratarán de perturbar las organizaciones gubernamentales, los servicios y la población de los países objetivo, en parte para presionarles, pero sobre todo como represalia".

Esto marca un cambio en la forma en que se utiliza la ciberactividad durante los conflictos. En lugar de incidentes aislados, los ataques están cada vez más coordinados y diseñados para crear un impacto social más amplio.

Richard prosigue:

El temor actual es que los objetivos probables de cualquier ataque, para maximizar el impacto, sean las Infraestructuras Nacionales Críticas (CNI). Se ha prestado mucha atención a la seguridad de las CNI, con la adopción de la Directiva NIS2 en la UE y el próximo proyecto de ley sobre ciberseguridad y resistencia en el Reino Unido, que establece los requisitos de seguridad para los proveedores y operadores de CNI.

Esta atención se debe, en primer lugar, a las enormes repercusiones que pueden tener las infracciones, que en casos extremos pueden provocar incluso la muerte, y, en segundo lugar, a que estos entornos han sido tradicionalmente muy inseguros y han funcionado centrándose más en las operaciones y la disponibilidad que en la seguridad".

 

 

Los métodos utilizados por los grupos hacktivistas

En el panorama actual, los grupos que simpatizan con causas geopolíticas lanzan a buen ritmo operaciones cibernéticas perturbadoras. Su objetivo no es sólo la visibilidad. Es la presión. Al atacar organizaciones que sustentan la vida cotidiana, pretenden influir indirectamente en los gobiernos a través de la perturbación de la población.

Richard Ford explica cómo se llevan a cabo estos ataques:

Los atacantes suelen utilizar diversos métodos para atacar a sus objetivos. Una técnica de ataque común al hacktivismo, y relativamente fácil y barata de realizar a través de los servicios de la web oscura, son los ataques de denegación de servicio distribuido (DDoS).

La web oscura es una parte oculta, anónima y encriptada de Internet que es famosa por los mercados ilegales, y algunos de ellos ofrecen herramientas y servicios a los atacantes como parte de una "cadena de suministro de atacantes".

Estos servicios han reducido significativamente la barrera de entrada para los atacantes.

Los servicios DDoS proporcionan acceso a las redes de bots existentes, que son máquinas comprometidas a gran escala, y permiten a los atacantes atacar sitios web y servicios con grandes cantidades de tráfico a un precio relativamente bajo, dejándolos fuera de servicio, aunque sea temporalmente".

Sin embargo, aunque los ataques DDoS son muy visibles, rara vez son los más dañinos.

Aunque los ataques DDoS son más sencillos y fáciles de ejecutar, los ataques realmente impactantes son aquellos en los que una organización se ve comprometida y sus sistemas son el objetivo de una interrupción a largo plazo. Se trata más bien de un ataque tradicional, a menudo iniciado por un simple correo electrónico de phishing o la explotación de una vulnerabilidad, antes de abrirse camino hasta los sistemas críticos para lanzar ataques del tipo ransomware, cifrando, inutilizando o alterando los sistemas".

Cómo afectan estos ataques a las organizaciones y a la población

El impacto real de estos ataques depende tanto del método utilizado como del tipo de organización atacada. Mientras que algunos ataques pueden causar trastornos temporales, otros pueden tener consecuencias de largo alcance.

Richard Ford explica:

El objetivo y el tipo de ataque dictarán el impacto que puedan sentir las personas y las organizaciones. Debido a su relativa facilidad de ejecución, y por ser una táctica típica de los hacktivistas y de las actividades vistas hasta ahora, los ataques DDoS son los más probables y podrían hacer caer servicios web públicos. Aunque la mayoría dispondrá de algún tipo de protección y el impacto sólo será temporal".

En el extremo más grave del espectro, las consecuencias se agravan considerablemente.

En el peor de los casos, menos trivial de lanzar y orquestar con éxito, se produciría una brecha en la infraestructura nacional crítica, como la electricidad, el suministro de agua, los servicios sanitarios y el suministro de alimentos. Esto podría tener innumerables efectos y supondría el mayor impacto para la población".

Los recientes incidentes cibernéticos en el sector comercial proporcionan una indicación útil de cómo pueden intensificarse las perturbaciones.

El ataque a Marks & Spencer en el Reino Unido es un buen ejemplo de ciberataque, sobre todo en términos de gravedad e impacto, ya que las estanterías quedaron vacías y los clientes no pudieron hacer pedidos. Aunque se trata de un ataque de ransomware con motivación económica, el planteamiento podría ser muy similar en ataques contra proveedores de CNI.

Además, el ataque a JLR que siguió en los meses posteriores a M&S, vinculado a los mismos atacantes, fue citado como un impacto en el crecimiento económico del trimestre. Así que no es necesario que se trate de CNI para que tenga un impacto significativo".

Panorama general: el oportunismo cibernético en los conflictos mundiales

Aunque la actividad hacktivista domine los titulares, es sólo una parte de una tendencia más amplia. Los conflictos mundiales crean oportunidades en todo el panorama de las amenazas.

Mientras la atención se centra en actores o regiones específicos, otros grupos operan en paralelo. Actores alineados con las naciones, ciberdelincuentes y atacantes oportunistas aprovechan el aumento de la distracción y la complejidad. Esto conduce a la superposición de amenazas, un mayor volumen de ataques y una mayor probabilidad de éxito.

Para las organizaciones, esto significa que los niveles de amenaza cambian rápidamente en respuesta a los acontecimientos mundiales, a menudo sin previo aviso.

Qué deben hacer las organizaciones

En este entorno, un enfoque reactivo ya no es suficiente. Las organizaciones deben asumir que las ciberamenazas aumentarán durante los periodos de inestabilidad geopolítica y prepararse en consecuencia.

Esto requiere

  • Capacidades sólidas de detección y respuesta
  • Supervisión continua de los sistemas y las cadenas de suministro
  • Evaluación periódica de los riesgos en los entornos tecnológicos operativos y de TI.
  • La capacidad de responder rápidamente a múltiples amenazas simultáneas.

Y lo que es más importante, las organizaciones deben ir más allá de la mera prevención y centrarse en la resistencia. La capacidad de detectar, responder y recuperarse rápidamente es lo que, en última instancia, determina el impacto de un ataque.

 

Cyberfire ESP CTA

 

Los conflictos mundiales actuales no se limitan a los ámbitos físico o político. Se extienden y a menudo comienzan en el ciberespacio, donde múltiples actores operan simultáneamente con diferentes motivaciones pero a menudo con objetivos que se solapan.

El oportunismo cibernético prospera en la incertidumbre, y los periodos de tensión geopolítica crean las condiciones ideales para que aumenten los ataques. Al igual que se incrementa la seguridad física durante estos periodos, también es necesario reforzar la ciberseguridad.

Las organizaciones que reconozcan este patrón y se preparen para un panorama de amenazas más complejo y cambiante estarán mucho mejor posicionadas para resistir el impacto. Las que no lo hagan corren el riesgo de que les pille desprevenidas, ya que los conflictos cibernéticos siguen evolucionando a la par que los acontecimientos en la escena mundial.

Si le preocupa alguna de las amenazas descritas en este blog o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con nosotros para averiguar cómo puede proteger su organización.

 

Contáctanos