CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 2 Edita:© Centro Criptológico Nacional, 2020 Fecha de Edición: Marzo de 2020 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.AVISO LEGAL Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicosN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 3 Índice 1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL 04 2. RESUMEN EJECUTIVO 05 3. HACKTIVISMO EN ESPAÑA 08 3.1 ESTRUCTURA HACKTIVISTA EN ESPAÑA 08 3.1.1 PERFILADO GENÉRICO DE LAS IDENTIDADES EN 2019 08 3.1.2 NUEVAS IDENTIDADES INDIVIDUALES OPERANDO EN 2019 10 3.2 CAMPAÑAS Y CIBERATAQUES HACKTIVISTAS EN ESPAÑA 12 3.2.1 #OPCATALUNYA, #OPCATALONIA, #OPSPAIN 12 3.2.2 LA 9ª COMPAÑÍA DE ANONYMOUS 14 3.2.3 CIBERATAQUES POR ENTIDADES EXTERNAS A ESPAÑA 16 3.2.4 ATAQUES HACKTIVISTAS SOBRE INSTITUCIONES PÚBLICAS 19 3.2.4.1 VULNERACIÓN DE PERFILES INSTITUCIONALES EN TWITTER 214. HACKTIVISMO EN IBEROAMÉRICA 23 4.1 PANORÁMICA HACKTIVISTA EN IBEROAMÉRICA 23 4.2 CIBERATAQUES HACKTIVISTAS DESTACADOS EN IBEROAMÉRICA 25 4.2.1 VULNERACIÓN DE PERFILES INSTITUCIONALES EN TWITTER 28 4.3 MARCOS NARRATIVOS HACKTIVISTAS EN IBEROAMÉRICA 31 5. HACKTIVISMO EN NORTE DE ÁFRICA Y ORIENTE MEDIO 32 5.1 PANORÁMICA HACKTIVISTA EN NORTE DE ÁFRICA Y ORIENTE MEDIO 32 5.2 CIBERATAQUES HACKTIVISTAS DESTACADOS EN NORTE DE ÁFRICA Y ORIENTE MEDIO 34 5.3 MARCOS NARRATIVOS HACKTIVISTAS EN NORTE DE ÁFRICA Y ORIENTE MEDIO 38 6. HACKTIVISMO EN ÁMBITO INTERNACIONAL 39 6.1 PANORÁMICA HACKTIVISTA EN RESTO INTERNACIONAL 39 6.2 IDENTIDADES HACKTIVISTAS AVANZADAS 44 6.3 MARCOS NARRATIVOS HACKTIVISTAS EN RESTO INTERNACIONAL 47 7. HACKTIVISMO PROISLAMISTA O PROYIHADISTA 48 7.1 PANORAMA HACKTIVISTA PROISLAMISTA O PROYIHADISTA 48 7.2 HACKTIVISMO PARÁSITO DE SIMBOLOGÍA PROISLAMISTA 49 8. TENDENCIAS 2020 52CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 4 1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPICN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 5 2. RESUMEN EJECUTIVO Durante 2019 el escenario hacktivista internacional ha proseguido la tendencia degenerativa observada en los últimos años en cuanto a paulatina desideologización, atomización en identidades individuales desorganizadas y sin conciencia alguna de movimiento colectivo, y motivadas casi exclusivamente por afán de notoriedad. Los vertebradores ideológicos antisistema y contestatarios que configuraron al movimiento hacktivista antes de la década de 2010, casi diez años después están prácticamente desaparecidos, sustituidos por atacantes individuales cuyo propósito general es desfigurar sitios web para firmarlos con su alias. De esta forma, el hacktivismo de 2010 acabará convirtiéndose en 2020 en una clase de cibergraffitismo . En cuanto a tácticas, técnicas y procedimientos, este panorama internacional definido por un hacktivismo oportunista está configurado por identidades individuales la mayor parte de las veces desconectadas entre sí que desfiguran con el cibergraffiti de sus alias sitios web; en más del 90% de los incidentes, la desfiguración correlacionaba con el equipamiento por parte de las webs victimizadas de software desactualizado presentando vulnerabilidades comunes fácilmente explotables. CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 6 En España está presente la misma realidad hacktivista internacional pero muy devaluada en cuanto a identidades dotadas de habilidades técnicas para suponer una ciberamenaza. Con alguna excepción (La 9ª Compañía), prácticamente todos los atacantes hacktivistas sobre los que se puede inferir que operan desde el interior de España atacando a webs en el mismo país presentaban perfiles de muy baja peligrosidad debido a su carencia de un mínimo de habilidades técnicas ciberofensivas; una minoría de esas identidades es capaz de utilizar software de usuario disponible en paquetes de libre circulación empleados en auditoría y seguridad informáticas, para llevar a cabo ciberataques rudimentarios generalmente ejecutados con impericia sobre webs de alta vulnerabilidad. La mayor parte de los ataques hacktivistas sobre webs alojadas en infraestructura en España se llevan a cabo por identidades presumiblemente en el exterior del país, cuyo perfil responde al del hacktivismo oportunista cibergraffitero ya apuntado. La degradación ideológica y colectiva del escenario hacktivista internacional conlleva así mismo una muy baja producción de marcos narrativos motivacionales para desarrollar campañas de ciberataque en los distintos países. Las que se llevan a cabo suelen estar privadas de una retórica militante elaborada, tener muy débil colectivización, recibir el apoyo de identidades sin habilitación técnica y de baja peligrosidad, carecer de impacto e influencia atractiva, y de nuevo caracterizar a sus promotores por la intención de obtener menciones en redes sociales, deseo que logran muy marginalmente. Trasladada a España, esta insuficiencia ideológica, narrativa y técnica de un hacktivismo oportunista sólo ha tenido en la #OpCatalunya un llamamiento a llevar a cabo ciberataques. Este marco narrativo ha tenido en 2019 un desarrollo irregular, configurado por unas pocas identidades desorganizadas y realizando ataques de baja peligrosidad (generalmente por denegación de servicio, o inyecciones SQL deficitarias) con una cronología discontinua. A fin de lograr notoriedad en redes sociales, algunas de las identidades participantes falsificaban reivindicaciones simulando ciberataques que en realidad no habían realizado. También en el marco de la #OpCatalunya pudiera estarse dando el caso de que se llevan a cabo divulgaciones de información sensible al dominio público por parte de alguna identidad amparada en una táctica de falsa bandera: simular ser un militante hacktivista que por otro lado no muestra indicio de poseer ningún tipo de habilidad técnica, para divulgar a través de redes sociales información sensible que reivindica haber obtenido por medio de ataques cibernéticos, cuando en realidad pudiera tratarse de una identidad simpatizante prosecesionista en el contexto de Cataluña que se hace pasar por hacktivista para hacer pública información que obtendría no necesariamente por medios cibernéticos ofensivos, o que le sería suministrada por terceras partes con intereses en la #OpCatalunya. Por otro lado, de una manera muy incipiente y a escala internacional, representando en España un 32% de los incidentes, continúan observándose incidentes por desfiguración de web en donde, además del alias del atacante, se inyecta contenido en forma de código software no CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 7 deseado que conduce a los visitantes de la web victimizada a contenidos comerciales sobre los que el atacante pretende, fraudulentamente, incrementar su peso referencial en el algoritmo de buscadores web. Esta práctica fraudulenta se conoce con el nombre de SEO Spam, y es practicada desde hace al menos tres años por un porcentaje de momento menor de atacantes hacktivistas mostrando rasgos o iconografía en idioma turco. No obstante este diagnóstico, internacionalmente todavía operan menos de media docena de identidades a la que se puede atribuir afiliación ideológica hacktivista, y que tienen habilidades técnicas suficientes como para presentar un riesgo de nivel moderado o alto, dependiendo del objetivo al que decidan atacar. Este tipo de identidades, de las cuales Phineas Fisher sería el prototipo, puede traducirse en una amenaza operativa en cualquier momento y contra cualquier objetivo que tenga sistemas tecnológicos conectados a Internet. Del mismo modo, aunque el hacktivismo oportunista que configura la realidad internacional presente en general una baja peligrosidad, no conviene pasar por alto que supone una ciberamenaza irregular y de compleja predicción, pues al estar operado por motivadores individuales y de búsqueda de notoriedad, aunque en general débilmente dotado técnica e intelectualmente en ocasiones puede resultar en cibertaques de impacto: ya sea porque puntualmente alguna identidad con mayor habilidad técnica entre en acción atacando un objetivo de relevancia; ya sea porque un ciberataque menor sea sobredimensionado por la evaluación imprecisa de medios de comunicación o profesionales de la ciberseguridad, resultando en impacto reputacional o mediático. En lo que tiene que ver con el ciberyihadismo, 2019 se ha desarrollado y concluye del mismo que el año anterior: ausencia de evidencia directa o indicadores indirectos que sugieran que exista alguna estructura o identidad atacantes afiliadas a organizaciones islamistas o yihadistas. Sin embargo, permanece la actividad, disminuida respecto del año previo, de identidades hacktivistas oportunistas que desfiguran webs de alta vulnerabilidad y baja visibilidad inyectando en ellas iconografía o mensajes parasitados de contenidos islamistas, sin que de esas actuaciones pueda deducirse implicación ideológica sino intención meramente provocadoraN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 8 3. HACKTIVISMO EN ESPAÑA 3.1 ESTRUCTURA HACKTIVISTA EN ESPAÑA 3.1.1 PERFILADO GENÉRICO DE LAS IDENTIDADES EN 2019 En 2019 se cumplen cinco años consecutivos de carencia de una infraestructura hacktivista en España con capacidad coordinada de planear y ejecutar ciberataques con un mínimo de peligrosidad. Al contrario, la realidad hacktivista en España está conformada por identidades individuales de nula o baja capacitación técnica como ciberamenazas, con débil o inexistente colectivización o identidad de grupo, y motivadas fundamentalmente por lograr notoriedad mediante menciones en redes sociales, redes en las que no obstante carecen de influencia, de canales informativos de referencia con un seguimiento que pueda considerarse mínimamente significativo. La nulidad operativa de las identidades individuales que se apropian de iconografía y lemas hacktivistas para tratar de destacar en redes sociales está explicada por la deficiente capacitación técnica de los individuos que adoptan esas identidades digitales. Por lo que respecta a la incapacidad de generar colectivización o sentimiento de pertenencia a un colectivo hacktivista, así como la ausencia de influencia en redes sociales, están así mismo determinadas por el abandono de motivadores ideológicos en el hacktivismo, que tanto en España como internacionalmente está dominado por intenciones exclusivamente egocéntricas y autoreferenciales de obtener visibilidad en redes sociales circulando cualquier tipo de contenido que “suene” a hacktivista, incluso si para ello hay que falsear reivindicaciones de ciberataques o impostar llamamientos a la acción en determinados escenariosN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 9 Esa impostura en cuanto a la implicación hacktivista en escenarios de protesta social, junto a la individualización autoreferencial de los implicados, se traduce en un marcado déficit narrativo a la hora de componer llamamientos al activismo cibernético. En España, al igual que sucede en otros países, los escenarios de tensión social o política no logran ser traducidos en narrativas motivacionales de implicación hacktivista más allá de la fabricación de una etiqueta meramente simbólica que difundir en redes sociales. El ejemplo más evidente de esta degeneración hacktivista en España, hasta convertirse en una impostura, es la denominada #OpCatalunya, en donde a pesar de correlacionar con un escenario de conflictividad y contestación sociales en una determinada realidad política, la implicación hacktivista no ha pasado de ser una etiqueta en redes sociales, aderezada a veces por reivindicaciones sobredimensionadas en esas mismas redes sociales o en medios de comunicación, y en definitiva caracterizada por: 1. Ausencia de una narrativa con una mínima redacción motivacional; 2. Ausencia de un núcleo activo de identidades con capacidades operativas cibernéticas; 3. Ausencia de colectivización, donde incluso los ataques por denegación de servicio -tradicionalmente un asunto colectivo- han sido individuales; 4. Predominio de actores utilizando software automático, que no requiere habilidades técnicas en el atacante, para llevar a cabo inyecciones SQL, la mayoría defectuosas; 5. Incremento de las reivindicaciones falsificadas o amañadas para dar apariencia de credibilidad; 6. Apropiación de iconografía y rasgos hacktivistas para llevar a cabo exfiltraci