El CNI registró una caída del 30% en los ciberataques independentistas en 2020

El ‘hacktivismo’ está de capa caída. El 2020 no fue un buen año por este fenómeno de hackers que actúan no a sueldo de un estado, sino por motivos políticos, ideológicos, religiosos...

Así lo ha constatado el Centro Criptológico Nacional, un servicio dependiente del Centro Nacional de Inteligencia (CNI) dedicado a “contribuir a la mejora de la ciberseguridad española” y que actúa como centro de alerta y respuesta nacional ante ciberataques.

Confidencial Digital ha consultado el “Informe anual 2020 CCN-CERT. Hacktivismo + Ciberyihadismo”, que evalúa las amenazas, movimientos y actividad del movimiento ‘hacktivista’.

El ‘hacktivismo’, a la baja

El informe comienza dibujando el panorama general, a nivel mundial, del ‘hacktivismo’: “Durante 2020 se mantuvo la tendencia, ya reportada en años previos, de un hacktivismo desideologizado y oportunista, actuando preferentemente motivado por el exhibicionismo egocéntrico de atacantes que vulneran sitios web para inyectar sobre ellos su firma”.

Además de perder ideología, estos ataques informáticos se están reduciendo: “Continuando la tendencia de los años previos, los ataques hacktivistas en 2020 han descendido numéricamente respecto del año anterior, y correlacionado en un 97% con la presencia de software vulnerable y/o desactualizado en las webs atacadas, que puede considerarse el primer factor de riesgo para la victimización por hacktivismo”.

El Centro Criptológico Nacional constata que “este conjunto de ataques hacktivistas oportunistas y motivados por el exhibicionismo se lleva a cabo, principalmente, por identidades individuales sin conciencia de colectivo, quedando reducido actualmente el papel del antaño movimiento hacktivista ‘Anonymous’ a canales testimoniales en redes sociales decorados con iconografía hacktivista y dedicados a buscar notoriedad y obtener ‘me gusta’ de sus seguidores”.

“OpCatalunya”

Específicamente en España, en los últimos años se han producido campañas de ataques informáticos de tipo ‘hacktivista’ de distinto signo. Por ejemplo, destacan las acciones de personas que dicen actuar como parte de ‘Anonymous’, en muchos casos robando y difundiendo datos de policías, o atacando a instituciones públicas.

Otro fenómeno de los últimos años es el que se enmarca bajo el nombre genérico de “OpCatalunya” u “OpCatalonia”.

En esta campaña participan ‘hacktivistas’ alineados con el independentismo catalán. Desde la intentona secesionista del otoño de 2017, con el referéndum del 1-O como punto culminante, una red de hackers dentro de España y fuera de ella actúan contra organismos oficiales, reivindicando el derecho de los catalanes a la independencia.

Todos estos movimientos no tuvieron un año muy boyante en 2020: “El panorama del hacktivismo de raíz autóctona en España durante 2020 no ha mostrado variación sustantiva con respecto a la pauta ya descrita para el año anterior de ausencia de un tejido hacktivista propiamente español o actuando desde España, que tenga un mínimo de capacidad operativa más allá de mensajes ocasionales de autocomplacencia en redes sociales, excepción hecha de la identidad conocida como ‘La 9ª Compañía’”, alineada con Anonymous.

32 ciberataques ‘independentistas’

Pese a que han pasado los años, aún se mantiene viva la “OpCatalunya”, de ciberataques reivindicados por hackers alineados con el independentismo catalán.

El informe del CNI, de su Centro Criptológico Nacional, dedica un punto a “#OpCatalunya, #OpCatalonia, #OpSpain” como una de las campañas ‘hacktivistas’ del año pasado.

En el documento se explica que “durante los doce meses de 2020, se llevaron a cabo 32 ciberataques bajo los marcos narrativos de la #OpSpain o la #OpCatalunya/#OpCatalonia, la primera una denominación genérica y recurrente de protesta hacktivista centrada en España, y la segunda una etiqueta que identidades hacktivista comienzan a utilizar en el último trimestre de 2017 en paralelo a la complicación de la situación política en Cataluña”.

Esas etiquetas a menudo “aparecen mezcladas en contenidos reivindicativos o en amenazas hacktivistas”.

Y en 2020 se unieron las etiquetas #FreeXelj u #OpFreeXelj, por “un intento de visibilizar el descontento hacktivista por el encausamiento judicial de una persona residente en la provincia de Tarragona, que desde 2018 ha sido arrestada policialmente en un par de ocasiones por su presunta participación en actividades ilícitas ligadas a ciberataques en el contexto de la #OpCatalunya/#OpSpain”. En el último tercio de 2020 “varios ciberataques fueron llevados a cabo contra webs en España reivindicándolos mediante la etiqueta #FreeXelj, generalmente asociándolos a #OpSpain”.

Los ataques caen un 30%

Pese a estos casos, los ciberataques de esta categoría cayeron en número den 2020 respecto al año anterior: “El volumen de acciones afiliadas a estos marcos narrativos [en referencia a #OpCatalunya, #OpCatalonia, #OpSpain] durante 2020 ha caído un 30% respecto de 2019, cuando a su vez había descendido un 25% con relación al año anterior, lo que confirma el descenso paulatino de la actividad ciberofensiva hacktivista vinculada a estas narrativas concretas en España”.

Los ataques hackers en el marco “OpCatalunya” fueron en un 34% de los casos acciones por denegación de servicio. Principalmente tuvieron lugar en el mes de abril de 2020 y su origen fue el grupo denominado ‘Nama Tikure’, que atacó “un par de webs de la Administración Pública española, en ataques puntuales sin colectivización y sin sostenimiento en el tiempo”.

Contra el Departamento de Seguridad Nacional

Destaca otro ataque, en julio de 2020, llevado a cabo por “otra entidad” que “ejecutó un ataque individual por denegación de servicio sobre la web del Departamento de Seguridad Nacional”, dependiente de Presidencia del Gobierno.

Además, en noviembre se produjo otra acción similar sobre la web de la Agencia Tributaria.

Casi la mitad de estos ataques “consistieron en desfiguraciones de webs menores, concentradas en noviembre de 2020 y principalmente reivindicadas por ‘Crystal_MSF’ y su alias colectivo ‘sin1pecrew’. En realidad, se trató de acciones de oportunidad no directamente motivadas por la #OpCatalunya, sino adscritas a la actividad sistemática de comprometimiento de sitios web provistos de software desactualizado y/o vulnerable por todo el mundo que llevaba a cabo ‘Crystal_MSF’ en conductas de pequeña cibercriminalidad para la inyección en esas webs de contenido SEO Spam”.

Las inyecciones sobre bases de datos SQL, “que el año previo habían tenido un moderado protagonismo”, se limitaron en 2020 a un solo intento de muy baja peligrosidad, concentrado en noviembre de 2020 sobre una web menor de noticias en Torremolinos.

Otro actor ‘hacktivista’, denominado ‘unlawz’, reivindicó en noviembre de 2020 haber logrado vulnerar un punto de acceso individual al subdominio de hospederías alojado en la web de la Guardia Civil: adjuntó “capturas de pantalla que sugerirían que el acceso ilegítimo se habría producido, probablemente empleando claves de autenticación con acceso limitado obtenidas ilícitamente de algún operador de hospederías registrado en la web”.

La identidad ‘uw’, adscrita al alias colectivo brasileño ‘HighTech Brazil’, difundió en Twitter el mensaje en portugués “libertad para mis hermanos presos” una captura de pantalla de lo que parecía ser una bandeja de entrada de correo electrónico donde se observaban mensajes entre noviembre de 2019 y febrero de 2020, relacionados con la Guardia Civil y el Instituto Nacional de la Administración Pública, que podrían corresponderse con la bandeja de entrada, vulnerada, de algún asistente a un curso de capacitación.

Supuesta filtración de datos de policías

Además hubo anuncios de supuestas acciones de hacking que en realidad no se produjeron según lo reivindicado.

Señala el Centro Criptológico Nacional que la más notoria fue la divulgación en mayo de 2020 por ‘Nama Tikure’”, ya mencionado, de “una supuesta base de datos conteniendo un centenar de registros de lo que parecían ser credenciales de autenticación con denominaciones de dirección de correo electrónico y contraseña bajo dominio web policia.es”, es decir, la Policía Nacional, una de las “bestias negras” del independentismo radical desde el 1 de octubre de 2017.

Este organismo del CNI explica que “en realidad, tal como pudo acreditarse a partir del análisis del contenido exfiltrado, los datos difundidos sobre cuentas de correo de policia.es se correspondían mayoritariamente con una exfiltración de 2016 conocida como “anti public combo list”, donde se situaron en el dominio público 458 millones de registros de credenciales de autenticación de cuentas de un conjunto de dominios web por todo el mundo; con otra del dominio exploit.in también de 2016, donde se divulgaron 593 millones de registro; con una lista de 2019 conocida como “Collection#1”, que es una combinación de diversas exfiltraciones con 2.700 millones de registros; y con la resultante de PLD Customer de 2019; y secundariamente con otros conjuntos de exfiltraciones, desde la correspondiente a Linkedin de 2016 pasando por la de Adobe en 2013”.

La hipótesis que se maneja es que esa identidad, ‘Nama Tikure’, o una identidad que le suministrara datos, “hubiera obtenido o compuesto artesanalmente el listado referido a policia.es adquiriéndolo en un paquete, o configurándolo a partir de varios paquetes de datos, hasta “montar” un listado de centenar de registros compuesto a través de una búsqueda selectiva en un servicio de venta que tenga un repositorio común de grandes exfiltraciones de datos”.

El resumen es que “durante 2020 la #OpSpain y la #OpCatalunya continuaban sin actividad anual, limitándose a momentos muy puntuales, sin colectivizarse y, tras reactivarse mínimamente en noviembre de 2020, discurriendo en ritmo decreciente, tanto en operativa como en menciones, hasta decaer en el último tercio del mismo mes”.

El análisis del Centro Criptológico Nacional es que “la ausencia de colectivización y el bajo flujo de mensajes en redes sociales respecto de #OpSpain/#OpCatalunya se ha dejado notar especialmente en los ataques por denegación de servicio, tipología preferente en este tipo de marcos narrativos hacktivistas, que en la oleada de la #OpSpain de 2020 han sido ocasionales, no se han sostenido en el tiempo, y han congregado a un bajo número de identidades”.

Otro dato es que “en cuanto a la adhesión a #OpSpain de identidades que pudieran aportarle mayor peligrosidad operativa ha sido, por ahora, testimonial, contribuyendo ocasionalmente algunos atacantes con desfiguraciones o accesos ilegítimos para adscribirlos a la #OpSpain/#OpCatalunya, pero sin dejar traslucir un interés concreto o una afiliación continuada al marco narrativo”.

‘La Nueve de Anon’

Por parte de ‘La Nueve de Anon’, un grupo de hackers que se encuadra en el movimiento ‘Anonymous’, de corte ácrata, en un principio amenazó con llevar a cabo grandes ataques en 2020. Hacia mitad de año aseguró en un mensaje en Twitter que el 21 de junio, al decaer el estado de alarma, “finalizaría la tregua que La Nueve ha mantenido durante la pandemia”.

A partir de entonces, advirtió, “bancos, empresas del Ibex, y asociaciones fascistas van a hacer horas extras con los teclados”.

Pero “a pesar de estos contenidos de amenaza, el único ciberataque reivindicado por ‘La 9ª Compañía’ durante 2020 se produjo el 2 de agosto, cuando vulneraba el acceso al sitio web del servicio de préstamos financieros AvalMadrid6 de la Comunidad de Madrid. Así mismo, desfiguraban la web con el mensaje ‘la seguridad es un unicornio rosa: muy bonito, pero un fraude. Como la partitocracia de este país. Ellos se ríen desde los Parlamentos, nosotras nos reímos desde dentro de sus sistemas’”.

El ciberyihadismo, casi desaparecido

Otro fenómeno de activismo hacker en el mundo es el del “ciberyihadismo”, es decir, el de piratas informáticos encuadrados en grupos terroristas yihadistas, sobre todo el Daesh.

Asegura el Centro Criptológico Nacional que “el capítulo de los fenómenos ciberyihadistas, catalogados en este informe como hacktivismo de simbología proislamista, permanece en 2020 como en 2019, sin que se haya documentado mediante evidencia directa o indicadores indirectos la existencia de estructuras o identidades cibernéticas atacantes afiliadas a organizaciones islamistas o yihadistas”.

Sólo hubo “actividad de identidades hacktivistas oportunistas que desfiguran webs de alta vulnerabilidad y baja visibilidad inyectando en ellas iconografía o mensajes con apariencia islamista, sin que de esas actuaciones pueda deducirse implicación ideológica sino intención meramente provocadora o incluso de disfraz u ocultamiento”.

Es decir, “al igual que ocurrió en 2018 y 2019, durante 2020 no detectó ningún incidente que sea calificable de ciberyihadismo”, de ahí que “la información de incidentes cibernéticos durante 2020 confirma la inexistencia de evidencias que sugieran que el Daesh (Estado Islámico) haya desarrollado una división ciberarmada específica destinada a la comisión de atentados terroristas por medios cibernéticos”.

Lo que sí se produjo en algunos lugares del mundo fueron “ciberataques ocultando la identidad del agresor tras una falsa bandera islamista no es ajena al ciberespacio en ninguna de las tipologías de ciberamenazas: el caso prototípico lo representa la ciberamenaza persistente avanzada de presumible origen ruso ‘Fancy Bear’ en su ciberataque sobre sistemas tecnológicos de la televisión francesa TV5 en 2015, donde se inyectó contenido para simular que el ataque lo llevaba a cabo el “CiberCalifato”; y ya en el ecosistema del hacktivismo de postureo actual, el falseamiento de identificativos proislamistas se sugiere en la actividad de 'Marwan007' o 'Mrwn007', supuestamente un nacional de Irán que se dedica a la desfiguración de sitios web para llevar a cabo una actividad cibercriminal probablemente movida por ánimo de lucro ilícito”.