Un ataque a Internet en Londres pone de relieve el confuso movimiento del hacktivismo
Anonymous Sudán se ha atribuido la responsabilidad del ataque fallido al London Internet Exchange, pero quedan dudas.
Un grupo hacktivista autodenominado Anonymous Sudán se ha atribuido el mérito de un ataque aparentemente fallido al London Internet Exchange (LINX), en una acción en respuesta al apoyo británico a Israel. Según una publicación en X –antigua Twitter– de la entidad de investigación CyberKnow de OSINT, LINX permaneció operativo en todo momento, y el grupo “proporcionó menos pruebas de lo habitual” para realizar esas afirmaciones.
El grupo dijo que el motivo del ciberincidente fueron los recientes ataques aéreos realizados contra los rebeldes hutíes respaldados por Irán en Yemen. “Esperábamos que este fuera una oportunidad demasiado bueno para que los ciberdelincuentes no intentaran promocionarse”, escribía CyberKnow.
¿Qué es Anonymous Sudán?
Los informes de empresas de ciberseguridad indican que Anonymous Sudán puede no ser una organización puramente ideológica antisionista. Uno de esos informes de Cloudflare decía que el grupo ha estado vinculado a Killnet, un notorio grupo de piratería prorruso. También se sabe que emite comunicaciones en ruso y su infraestructura de ataque sugiere que se ha originado en ese país o cuenta con el apoyo de sus ciudadanos. La Oficina de Seguridad de la Información del Departamento de Salud y Servicios Humanos de Estados Unidos describe a Killnet como un grupo hacktivista que ha realizado activamente ataques DDoS contra Ucrania y los países que lo apoyan desde enero de 2022.
“Aunque los vínculos de Killnet con organizaciones oficiales del Gobierno ruso no están confirmados, el grupo debe considerarse una amenaza para el Gobierno y las organizaciones de infraestructura crítica”, señalaba la Oficina en un informe.
La naturaleza confusa de las raíces de Anonymous Sudán no es una sorpresa, según los expertos, que creen que todo el movimiento de hacktivismo está plagado de desinformación y malas direcciones. Fran Dickson, vicepresidente del grupo de ciberseguridad y confianza de IDC, dice que incluso validar la atribución de alguna actividad hacktivista puede resultar difícil.
Atribuir ataques hacktivistas es difícil
"Cuando hablas con gente que es buena en esto, lo primero que te dirán es que la atribución válida es realmente difícil", diceDickson. “Especialmente porque DDoS es un ataque volumétrico. ¿Podría haber sido este grupo? Seguro. ¿Podría haber sido alguien más? Absolutamente."
Además, según el profesor Stuart Madnick del MIT, los ataques DDoS y otros tipos utilizados en el hacktivismo (sobre todo los ataques de limpieza, en los que los sistemas comprometidos simplemente se limpian de todos sus datos) son un “arma contundente”. A menudo son difíciles de rastrear incluso teniendo acceso a detalles técnicos sobre un ataque determinado. "Si lanzas un misil, con las tecnologías y los satélites que tenemos hoy, podemos decir bastante bien desde dónde se lanzó el misil. Si lanzas un ciberataque, si haces un poco de tarea… nadie sabe de dónde vino”.
En un caso, recordó Madnick, un grupo cibernético ruso comprometió una instalación iraní y lanzó un ciberataque desde allí, lo que significa que la evidencia apuntaba al gobierno iraní, no a Rusia. "Si crees que sabes de quién vino el ataque, lo más probable es que estés equivocado", afirmó. "Porque un atacante realmente bueno dejará todas las pruebas apuntando en una dirección diferente".
Para las bases de las empresas, mantenerse seguro significa comprender sus niveles de riesgo y mantener una defensa en profundidad. "Debido a que el hacktivismo tiene sus raíces no sólo en protegerse a uno mismo desde una perspectiva [de ciberseguridad], sino también desde una perspectiva geopolítica, lo primero que hay que hacer es ser consciente de que alguien está enojado con usted", dijo Dickson, señalando que las organizaciones más grandes, y aquellos más íntimamente involucrados con la infraestructura nacional, son objetivos más probables.
Una defensa en profundidad es clave para limitar el daño de los ataques de hacktivismo
Madnick dijo que muchos de los ataques cibernéticos más dañinos de los últimos años han sido tan graves debido a una arquitectura de seguridad deficiente y una mala configuración, no necesariamente debido a la habilidad de los atacantes. Una defensa en profundidad, que garantice que todos los sistemas estén protegidos contra ataques, es clave para limitar el daño de un sistema que se vea comprometido.
"Hemos realizado una serie de estudios sobre ciberataques relativamente importantes", dijo. "Y lo que encontramos es que... en la mayoría de los casos, hay más de una docena de cosas mal", no sólo una o dos.
