2019年关于黑客行为和网络圣战的年度报告（英文版）.pdf

CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 2 Edita: Centro Criptolgico Nacional, 2020 Fecha de Edicin: Marzo de 2020 LIMITACIN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.AVISO LEGAL Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las sanciones establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del mismo mediante alquiler o prstamo pblicosN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 3 ndice 1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL 04 2. RESUMEN EJECUTIVO 05 3. HACKTIVISMO EN ESPAA 08 3.1 ESTRUCTURA HACKTIVISTA EN ESPAA 08 3.1.1 PERFILADO GENRICO DE LAS IDENTIDADES EN 2019 08 3.1.2 NUEVAS IDENTIDADES INDIVIDUALES OPERANDO EN 2019 10 3.2 CAMPAAS Y CIBERATAQUES HACKTIVISTAS EN ESPAA 12 3.2.1 #OPCATALUNYA, #OPCATALONIA, #OPSPAIN 12 3.2.2 LA 9 COMPAA DE ANONYMOUS 14 3.2.3 CIBERATAQUES POR ENTIDADES EXTERNAS A ESPAA 16 3.2.4 ATAQUES HACKTIVISTAS SOBRE INSTITUCIONES PBLICAS 19 3.2.4.1 VULNERACIN DE PERFILES INSTITUCIONALES EN TWITTER 214. HACKTIVISMO EN IBEROAMRICA 23 4.1 PANORMICA HACKTIVISTA EN IBEROAMRICA 23 4.2 CIBERATAQUES HACKTIVISTAS DESTACADOS EN IBEROAMRICA 25 4.2.1 VULNERACIN DE PERFILES INSTITUCIONALES EN TWITTER 28 4.3 MARCOS NARRATIVOS HACKTIVISTAS EN IBEROAMRICA 31 5. HACKTIVISMO EN NORTE DE FRICA Y ORIENTE MEDIO 32 5.1 PANORMICA HACKTIVISTA EN NORTE DE FRICA Y ORIENTE MEDIO 32 5.2 CIBERATAQUES HACKTIVISTAS DESTACADOS EN NORTE DE FRICA Y ORIENTE MEDIO 34 5.3 MARCOS NARRATIVOS HACKTIVISTAS EN NORTE DE FRICA Y ORIENTE MEDIO 38 6. HACKTIVISMO EN MBITO INTERNACIONAL 39 6.1 PANORMICA HACKTIVISTA EN RESTO INTERNACIONAL 39 6.2 IDENTIDADES HACKTIVISTAS AVANZADAS 44 6.3 MARCOS NARRATIVOS HACKTIVISTAS EN RESTO INTERNACIONAL 47 7. HACKTIVISMO PROISLAMISTA O PROYIHADISTA 48 7.1 PANORAMA HACKTIVISTA PROISLAMISTA O PROYIHADISTA 48 7.2 HACKTIVISMO PARSITO DE SIMBOLOGA PROISLAMISTA 49 8. TENDENCIAS 2020 52CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 4 1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se cre en el ao 2006 como CERT Gubernamental Nacional espaol y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulacin del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misin, por tanto, es contribuir a la mejora de la ciberseguridad espaola, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rpida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinacin a nivel pblico estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin ltimo de conseguir un ciberespacio ms seguro y confiable, preservando la informacin clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la informacin sensible, defendiendo el Patrimonio Tecnolgico espaol, formando al personal experto, aplicando polticas y procedimientos de seguridad y empleando y desarrollando las tecnologas ms adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Rgimen Jurdico del Sector Pblico es competencia del CCN-CERT la gestin de ciberincidentes que afecten a cualquier organismo o empresa pblica. En el caso de operadores crticos del sector pblico la gestin de ciberincidentes se realizar por el CCN-CERT en coordinacin con el CNPICN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 5 2. RESUMEN EJECUTIVO Durante 2019 el escenario hacktivista internacional ha proseguido la tendencia degenerativa observada en los ltimos aos en cuanto a paulatina desideologizacin, atomizacin en identidades individuales desorganizadas y sin conciencia alguna de movimiento colectivo, y motivadas casi exclusivamente por afn de notoriedad. Los vertebradores ideolgicos antisistema y contestatarios que configuraron al movimiento hacktivista antes de la dcada de 2010, casi diez aos despus estn prcticamente desaparecidos, sustituidos por atacantes individuales cuyo propsito general es desfigurar sitios web para firmarlos con su alias. De esta forma, el hacktivismo de 2010 acabar convirtindose en 2020 en una clase de cibergraffitismo . En cuanto a tcticas, tcnicas y procedimientos, este panorama internacional definido por un hacktivismo oportunista est configurado por identidades individuales la mayor parte de las veces desconectadas entre s que desfiguran con el cibergraffiti de sus alias sitios web; en ms del 90% de los incidentes, la desfiguracin correlacionaba con el equipamiento por parte de las webs victimizadas de software desactualizado presentando vulnerabilidades comunes fcilmente explotables. CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 6 En Espaa est presente la misma realidad hacktivista internacional pero muy devaluada en cuanto a identidades dotadas de habilidades tcnicas para suponer una ciberamenaza. Con alguna excepcin (La 9 Compaa), prcticamente todos los atacantes hacktivistas sobre los que se puede inferir que operan desde el interior de Espaa atacando a webs en el mismo pas presentaban perfiles de muy baja peligrosidad debido a su carencia de un mnimo de habilidades tcnicas ciberofensivas; una minora de esas identidades es capaz de utilizar software de usuario disponible en paquetes de libre circulacin empleados en auditora y seguridad informticas, para llevar a cabo ciberataques rudimentarios generalmente ejecutados con impericia sobre webs de alta vulnerabilidad. La mayor parte de los ataques hacktivistas sobre webs alojadas en infraestructura en Espaa se llevan a cabo por identidades presumiblemente en el exterior del pas, cuyo perfil responde al del hacktivismo oportunista cibergraffitero ya apuntado. La degradacin ideolgica y colectiva del escenario hacktivista internacional conlleva as mismo una muy baja produccin de marcos narrativos motivacionales para desarrollar campaas de ciberataque en los distintos pases. Las que se llevan a cabo suelen estar privadas de una retrica militante elaborada, tener muy dbil colectivizacin, recibir el apoyo de identidades sin habilitacin tcnica y de baja peligrosidad, carecer de impacto e influencia atractiva, y de nuevo caracterizar a sus promotores por la intencin de obtener menciones en redes sociales, deseo que logran muy marginalmente. Trasladada a Espaa, esta insuficiencia ideolgica, narrativa y tcnica de un hacktivismo oportunista slo ha tenido en la #OpCatalunya un llamamiento a llevar a cabo ciberataques. Este marco narrativo ha tenido en 2019 un desarrollo irregular, configurado por unas pocas identidades desorganizadas y realizando ataques de baja peligrosidad (generalmente por denegacin de servicio, o inyecciones SQL deficitarias) con una cronologa discontinua. A fin de lograr notoriedad en redes sociales, algunas de las identidades participantes falsificaban reivindicaciones simulando ciberataques que en realidad no haban realizado. Tambin en el marco de la #OpCatalunya pudiera estarse dando el caso de que se llevan a cabo divulgaciones de informacin sensible al dominio pblico por parte de alguna identidad amparada en una tctica de falsa bandera: simular ser un militante hacktivista que por otro lado no muestra indicio de poseer ningn tipo de habilidad tcnica, para divulgar a travs de redes sociales informacin sensible que reivindica haber obtenido por medio de ataques cibernticos, cuando en realidad pudiera tratarse de una identidad simpatizante prosecesionista en el contexto de Catalua que se hace pasar por hacktivista para hacer pblica informacin que obtendra no necesariamente por medios cibernticos ofensivos, o que le sera suministrada por terceras partes con intereses en la #OpCatalunya. Por otro lado, de una manera muy incipiente y a escala internacional, representando en Espaa un 32% de los incidentes, continan observndose incidentes por desfiguracin de web en donde, adems del alias del atacante, se inyecta contenido en forma de cdigo software no CCN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 7 deseado que conduce a los visitantes de la web victimizada a contenidos comerciales sobre los que el atacante pretende, fraudulentamente, incrementar su peso referencial en el algoritmo de buscadores web. Esta prctica fraudulenta se conoce con el nombre de SEO Spam, y es practicada desde hace al menos tres aos por un porcentaje de momento menor de atacantes hacktivistas mostrando rasgos o iconografa en idioma turco. No obstante este diagnstico, internacionalmente todava operan menos de media docena de identidades a la que se puede atribuir afiliacin ideolgica hacktivista, y que tienen habilidades tcnicas suficientes como para presentar un riesgo de nivel moderado o alto, dependiendo del objetivo al que decidan atacar. Este tipo de identidades, de las cuales Phineas Fisher sera el prototipo, puede traducirse en una amenaza operativa en cualquier momento y contra cualquier objetivo que tenga sistemas tecnolgicos conectados a Internet. Del mismo modo, aunque el hacktivismo oportunista que configura la realidad internacional presente en general una baja peligrosidad, no conviene pasar por alto que supone una ciberamenaza irregular y de compleja prediccin, pues al estar operado por motivadores individuales y de bsqueda de notoriedad, aunque en general dbilmente dotado tcnica e intelectualmente en ocasiones puede resultar en cibertaques de impacto: ya sea porque puntualmente alguna identidad con mayor habilidad tcnica entre en accin atacando un objetivo de relevancia; ya sea porque un ciberataque menor sea sobredimensionado por la evaluacin imprecisa de medios de comunicacin o profesionales de la ciberseguridad, resultando en impacto reputacional o meditico. En lo que tiene que ver con el ciberyihadismo, 2019 se ha desarrollado y concluye del mismo que el ao anterior: ausencia de evidencia directa o indicadores indirectos que sugieran que exista alguna estructura o identidad atacantes afiliadas a organizaciones islamistas o yihadistas. Sin embargo, permanece la actividad, disminuida respecto del ao previo, de identidades hacktivistas oportunistas que desfiguran webs de alta vulnerabilidad y baja visibilidad inyectando en ellas iconografa o mensajes parasitados de contenidos islamistas, sin que de esas actuaciones pueda deducirse implicacin ideolgica sino intencin meramente provocadoraN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 8 3. HACKTIVISMO EN ESPAA 3.1 ESTRUCTURA HACKTIVISTA EN ESPAA 3.1.1 PERFILADO GENRICO DE LAS IDENTIDADES EN 2019 En 2019 se cumplen cinco aos consecutivos de carencia de una infraestructura hacktivista en Espaa con capacidad coordinada de planear y ejecutar ciberataques con un mnimo de peligrosidad. Al contrario, la realidad hacktivista en Espaa est conformada por identidades individuales de nula o baja capacitacin tcnica como ciberamenazas, con dbil o inexistente colectivizacin o identidad de grupo, y motivadas fundamentalmente por lograr notoriedad mediante menciones en redes sociales, redes en las que no obstante carecen de influencia, de canales informativos de referencia con un seguimiento que pueda considerarse mnimamente significativo. La nulidad operativa de las identidades individuales que se apropian de iconografa y lemas hacktivistas para tratar de destacar en redes sociales est explicada por la deficiente capacitacin tcnica de los individuos que adoptan esas identidades digitales. Por lo que respecta a la incapacidad de generar colectivizacin o sentimiento de pertenencia a un colectivo hacktivista, as como la ausencia de influencia en redes sociales, estn as mismo determinadas por el abandono de motivadores ideolgicos en el hacktivismo, que tanto en Espaa como internacionalmente est dominado por intenciones exclusivamente egocntricas y autoreferenciales de obtener visibilidad en redes sociales circulando cualquier tipo de contenido que “suene” a hacktivista, incluso si para ello hay que falsear reivindicaciones de ciberataques o impostar llamamientos a la accin en determinados escenariosN-CERT IA 04/20. Informe Anual 2019. Hacktivismo y Ciberyihadismo 9 Esa impostura en cuanto a la implicacin hacktivista en escenarios de protesta social, junto a la individualizacin autoreferencial de los implicados, se traduce en un marcado dficit narrativo a la hora de componer llamamientos al activismo ciberntico. En Espaa, al igual que sucede en otros pases, los escenarios de tensin social o poltica no logran ser traducidos en narrativas motivacionales de implicacin hacktivista ms all de la fabricacin de una etiqueta meramente simblica que difundir en redes sociales. El ejemplo ms evidente de esta degeneracin hacktivista en Espaa, hasta convertirse en una impostura, es la denominada #OpCatalunya, en donde a pesar de correlacionar con un escenario de conflictividad y contestacin sociales en una determinada realidad poltica, la implicacin hacktivista no ha pasado de ser una etiqueta en redes sociales, aderezada a veces por reivindicaciones sobredimensionadas en esas mismas redes sociales o en medios de comunicacin, y en definitiva caracterizada por: 1. Ausencia de una narrativa con una mnima redaccin motivacional; 2. Ausencia de un ncleo activo de identidades con capacidades operativas cibernticas; 3. Ausencia de colectivizacin, donde incluso los ataques por denegacin de servicio -tradicionalmente un asunto colectivo- han sido individuales; 4. Predominio de actores utilizando software automtico, que no requiere habilidades tcnicas en el atacante, para llevar a cabo inyecciones SQL, la mayora defectuosas; 5. Incremento de las reivindicaciones falsificadas o amaadas para dar apariencia de credibilidad; 6. Apropiacin de iconografa y rasgos hacktivistas para llevar a cabo exfiltraci