Gorrión Depredador y otras armas sin gatillos de las guerras híbridas: baratas, rápidas, indetectables y eficaces
Las empresas de seguridad alertan del incremento de ciberataques con diferentes estrategias, actores, intensidades y objetivos
La guerra híbrida es un término novedoso para una estrategia tan antigua como los conflictos militares. Hace referencia a la combinación de la fuerza convencional con cualquier otro medio, como la insurgencia, la migración, el terrorismo, la propaganda o la limitación de recurso básicos. Las tecnologías de la información han sumado un elemento más, complejo y desafiante: la ciberguerra. Los equipos de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, han completado un informe, coincidente con otros trabajos similares de S21sec o Kaspersky, sobre su uso en los dos conflictos más recientes y han detectado que, aun siendo las mismas armas, las estrategias en las guerras en Gaza y Ucrania muestran diferencias sustanciales en los tiempos, los actores, la intensidad y los objetivos que, lejos de circunscribirse a los escenarios bélicos, se expanden por todo el planeta con grupos como Gorrión Depredador (Gonjeshke Darande en persa).
El arte de la guerra, la obra atribuida al estratega chino Sun Tzu hace unos 2.500 años, ya se refería a la combinación de recursos ajenos a la fuerza para afirmar que “someter al enemigo sin luchar es el apogeo de la habilidad”. El militar ya hablaba de la importancia de la información y el engaño, dos vertientes fundamentales de la ciberguerra. Ambos están presentes en los conflictos de Gaza y Ucrania, pero con diferentes modelos, según el análisis de Google, que coincide con el de otras entidades de seguridad en la red.
La invasión de Ucrania fue precedida por un gran incremento de las amenazas y ataques cibernéticos contra Kiev con el fin de debilitar previamente las capacidades de defensa. Por el contrario, antes de la incursión de Hamás el 7 de octubre, que se saldó con 1.200 muertos y 240 rehenes en un solo día, estas acciones en la red mantuvieron una intensidad habitual. “Los riesgos de seguridad operativa de una operación cibernética superaban el beneficio potencial, por lo que no vimos algo como en Ucrania, donde, en los días y semanas anteriores a la invasión, se observó un gran aumento en la actividad”, explica Sandra Joyce, vicepresidenta de Mandiant Intelligence. Es decir, para Hamás, un incremento de los ataques en la web podría haber evidenciado la acción y no hubiera aportado beneficios.
Con los dos frentes abiertos, la ciberguerra se ha convertido en un arma más. Mientras Rusia mantiene su actividad en la red en todos los ámbitos y coordina los ciberataques con los lanzamientos de misiles, en Gaza, la ciberguerra se centra más en recopilar información, interrumpir servicios esenciales y desplegar todo tipo de propaganda.
En ambos casos, las tecnologías de la información han demostrado características singulares: las capacidades cibernéticas pueden ser desplegadas rápidamente a un costo mínimo, por lo que se han convertido en un recurso primario. Estas herramientas brindan la capacidad de recopilar información o difundir propaganda rápidamente y perturbar la vida cotidiana mientras se mantienen por debajo del nivel de la acción militar directa. “Rápido como el viento, silencioso como el bosque, raudo y devastador como el fuego, inmóvil como una montaña”, escribió Sun Tzu sobre las cualidades de un atacante en El arte de la guerra
“Estos actores”, comenta Joyce, “históricamente han dependido de herramientas, técnicas y procedimientos simples, pero muy efectivos. Pero hay signos de evolución y, potencialmente, se han desarrollado algunas capacidades más avanzadas, como una ingeniería social bastante elaborada para atacar a los ingenieros de programación con sede en Israel”.
John Hultquist, analista jefe de Mandiant, añade que algunas estrategias ya no van dirigidas a la progresiva infección de un sistema sino a la interrupción de sus funcionalidades sin dejar huella, como sucedió durante un apagón intencionado en una región completa de Ucrania: “La ventaja es que no estás introduciendo malware [programa malicioso] que lleva firma y se puede buscar e identificar. Esencialmente, es actuar como administrador del sistema y es realmente difícil de encontrar”
Los actores también difieren. En la guerra de Ucrania, Rusia utiliza su propia fuerza, tanto en la guerra convencional como en la informática, aunque Kiev ha denunciado el apoyo de China. Sin embargo, en la de Gaza, el actor principal está fuera del territorio en conflicto: Irán ha participado activamente en el 80% de los ataques contra Israel y países aliados, según los datos de Google. Los analistas de la compañía han detectado ataques individuales y a servicios esenciales, como sistemas de distribución de agua, así como el empleo de sofisticada ingeniería social para tomar el control de elementos críticos a través de sus responsables. También se han infectado móviles y los sistemas de alerta de ataques con misiles o las páginas de servicios como las de la policía o de hospitales para sembrar el desconcierto y el terror en la población. Por su parte, Irán atribuye a Israel la actividad del grupo Gorrión Depredador que, entre otras acciones, anuló las gasolineras del país del golfo Pérsico.
Este modelo de guerra no conoce fronteras. A medida que el conflicto continúa, aumenta la posibilidad de una inestabilidad regional más amplia. Infraestructuras críticas de EE UU y Europa han sido objetivos de ciberataques y a estos se han sumado Líbano y Yemen. “Son actores globales y eso significa que lo que está sucediendo aquí [el territorio en conflicto] tiene implicaciones en el mundo”, afirma Shane Huntley, director del TAG de Google, quien señala como dianas los próximos procesos electorales o acontecimientos de relevancia internacional, como los Juegos Olímpicos.
Otros informes
Los resultados de Google son coincidentes con los informes de otras entidades de seguridad en la red, como S21sec, de Thales Group. El Threat Landscape Report de esta compañía señala la proliferación de activistas de la red para ataques de denegación de servicios (DDoS), contra la integridad de sitios web y para la filtración de datos, la infiltración en sistemas, el despliegue de ransomware (secuestros informáticos) y la participación en espionaje.
Su actividad, según la investigación, se ha desplegado por canales como Telegram y foros de la Dark Web (sitios que no están indexados y a los que solo se puede acceder a través de navegadores especializados) como BreachForums, Dread Forum, Cracked, Nulled y Leakbase. Una cuarta parte de los actores apoya a Israel mientras el resto pretende favorecer a Palestina.
“La mayoría de estos grupos de amenaza están motivados ideológica o religiosamente, atacando selectivamente tanto a entidades israelíes como palestinas, así como a otras ubicadas en países no relacionados con el conflicto, incluyendo América, Europa, Asia y África”, afirma Sonia Fernández, responsable del equipo de Threat Intelligence de S21sec.
Los expertos de la empresa de ciberseguridad Kaspersky coinciden en que el conocido como hacktivismo de motivación geopolítica se intensificará y contribuirá a un panorama de amenazas más complejo y desafiante. “El ransomware sigue siendo un gran problema y los hackers están mejorando para atacar a empresas grandes y rentables con métodos más avanzados; los hacktivistas motivados por cuestiones sociales también son cada vez más activos, generando un aumento de posibles amenazas; y el sector del transporte y la logística es especialmente vulnerable a estos cambios por sus sistemas cada vez más digitales. Esta combinación de ciberdelincuencia y delincuencia tradicional constituye una grave amenaza para las cadenas de suministro mundiales”, asegura Evgeny Goncharov, responsable de Kaspersky ICS CERT
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.
Sobre la firma
