El Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) ha presentado el informe IA-04/24 Ciberamenazas y Tendencias. Edición 2024, que analiza las principales amenazas y tendencias del ciberespacio a nivel nacional e internacional, y una de las conclusiones que se han obtenido ha sido que «España es uno de los países más atacados por los hacktivistas prorrusos por su apoyo a Ucrania» en la guerra que mantiene con Rusia.
«El amplio espectro de amenazas que opera en el ciberespacio -explican desde el CCN– se puede clasificar en función de la motivación detrás de sus ataques y la actividad que llevan a cabo, identificando tres tipos principales: actores estatales, colectivos hacktivistas y grupos cibercriminales».
En relación con los hacktivistas, mientras que en el caso de la guerra ruso-ucraniana su motivación es política e ideológica, en el conflicto entre Israel y Hamás dicha motivación tiene tintes religiosos, según consta en el informe.
Su forma de actuar está basada en realizar ciberataques para defender los intereses del bando al que apoyan y, por consiguiente, atacan objetivos del bando opuesto.
El método preferido por los hacktivistas, colapsar páginas web o servidores para provocar pérdidas económicas y de prestigio
Según explican desde el CCN, «el método preferido de ataque ha sido la denegación de servicio distribuida (DDoS)». Desde el Instituto Nacional de Ciberseguridad (el Incibe) precisan que una denegación de servicio «tiene como objetivo inhabilitar el uso de un sistema, una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado».
En el caso de la DDoS, «se generan una cantidad masiva de peticiones al servicio desde una misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que llega un momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones, esto es cuando se materializa la denegación del servicio», añaden desde el Incibe.
Básicamente es cuando el ciberatacante sobrecarga un sitio web, un servidor, etc. y lo hace colapsar para provocar un perjuicio, tanto a los usuarios que se abastecen del servicio como al administrador que lo ofrece, inhabilitando su funcionalidad y provocando pérdidas, tanto económicas, como de prestigio.
«En el contexto del conflicto ruso-ucraniano, los grupos prorrusos no sólo superan en número a los proucranianos, sino que además tratan de mejorar sus capacidades para poder alcanzar sus ambiciosos objetivos», sentencian en el CCN.
En cuanto a los canales de comunicación empleados, Telegram es con diferencia el canal preferido de los grupos hacktivistas para coordinar sus ataques. De hecho, es donde reclutan voluntarios para la realización de sus ataques, a cambio de premios o recompensas, y donde informan de sus éxitos, mostrando pantallazos de las webs caídas y dando pruebas de su éxito.
El grupo hacktivista prorruso NoName057(16), el más activo
Según se refleja en el informe del CCN, el grupo hacktivista prorruso NoName057(16), activo desde marzo de 2022 -explican desde la Agencia de Ciberseguridad de la Ertzaintza-, ha sido, con diferencia, el más activo en términos de número de ataques realizados.
De hecho, ha llevado a cabo cientos de ataques de DDoS contra objetivos en países críticos con la invasión rusa de Ucrania, enfocándose principales en sectores como el energético, transportes, infraestructuras críticas, financiero o gubernamental.
NoName057(16) también destaca por el desarrollo de la plataforma DDoSIA, utilizada por los integrantes del grupo para lanzar los ataques de denegación de servicio.
Según el manifiesto del grupo -y así lo refleja la Ertzaintza-, sus ciberataques son una reacción contra aquellos que se han mostrado hostiles contra Rusia, y afirman tener la capacidad y los conocimientos técnicos necesarios para hacer frente a estos enemigos y buscan restituir lo que consideran justo.
Además, el grupo aclara que no persiguen un beneficio económico con sus acciones y están abiertos a colaborar con otros colectivos que compartan su perspectiva y tengan ideas afines a ellos.
Ataques de NoName057(16) contra España
Según la Ertzaintza, el primer ataque exitoso registrado en el canal de Telegram de Noname057(16) contra paginas oficiales del Gobierno español fue el 26 de febrero de 2023 y estuvo motivado por el envío de material militar a Ucrania y la visita de Pedro Sánchez a la capital ucraniana.
Desde entonces, NoName057(16) realiza ataques de manera intermitente contra activos españoles, con el objetivo de inutilizar temporalmente su actividad.
Según los éxitos que el grupo hacktivista se atribuye en su canal de Telegram, figuran ataques contra las páginas webs de: Moncloa, Hacienda, Renfe, la Agencia Tributaria, servicios turísticos de Madrid o Granada, webs del Metro de Valencia, Málaga o Madrid, Junta Electoral Central, Paradores, Ministerio de Justicia, empresas de Defensa como Navantia, Tribunal Constitucional y un lago etcétera.
Las acciones siempre van vinculadas a una motivación: normalmente el envío de material militar a ucrania, pero NoName057(16) también se ha ‘movilizado’ y lanzado ataques, por ejemplo, en solidaridad con las protestas de los agricultores españoles o con los Bomberos de Galicia.