Próximamente se celebrará la Conferencia de Seguridad de Múnich (MSC) 2024 que tendrá lugar del 16 al 18 de febrero de 2024, y ofrecerá una vez más una oportunidad única para debates de alto nivel sobre los desafíos de seguridad más apremiantes del mundo. El MSC, fundado en el otoño de 1963, celebrará su 60º aniversario. Seis décadas después de su fundación por Ewald von Kleist, el MSC reunirá una vez más a altos responsables de la toma de decisiones y líderes de opinión de todo el mundo para debatir sobre las preocupaciones de seguridad internacional más apremiantes en febrero de 2024.
Con motivo de dicha conferencia, Google ha organizado en los días previos un encuentro virtual con especialistas de inteligencia de todo el mundo para presentar ante un grupo de periodistas un nuevo informe de inteligencia sobre amenazas que ofrece un análisis de la actividad cibernética observada en torno a la guerra entre Israel y Hamás antes y después del ataque del 7 de octubre, realizado por el Grupo de Análisis de Amenazas (TAG) de Google, Mandiant y Trust & Safety.
Este informe incluye nuevos hallazgos y perspectivas sobre varios grupos y actores de ciberamenazas, operaciones de piratería y filtraciones, entre otros.
Trató también de Perspectivas del frente cibernético en la guerra entre Rusia y Ucrania durante el último año, desde el lanzamiento del informe Fog of War, que también se presentó en este evento.
Y se ofrecieron detalles del empleo de tácticas cibernéticas en estos dos conflictos actuales; cuáles han sido las diferencias y cómo pueden defenderse los gobiernos, las organizaciones y las empresas, así como la sociedad en general. Google se comprometió a luchar y parar este tipo de ataques contra intereses e infraestructuras críticas de Israel, Estados Unidos y también de Europa. Se sacaron algunas conclusiones interesantes sobre los actores involucrados, como los medios cibernéticos utilizados en esta guerra.
Antes del ataque terrorista del 7 de octubre no se observaron movimientos tan significativos como si ocurrieron en los días previos a la invasión rusa de Ucrania donde si fuimos testigos de un importante incremento de ataques cibernéticos de diferente índole a intereses ucranianos. En este caso, los grupos vinculados a Hamas mantuvieron su “ritmo” habitual centrándose en campañas de phishing y uso de malware para android dirigido principalmente hacia entidades israelíes. Pero una vez que se produjo el ataque terrorista, actores cibernéticos sí que atacaron intereses israelíes y norteamericanos principalmente.
Irán, por su parte, ya cometía ataques cibernéticos contra Israel y los Estados Unidos en años anteriores y esto ha seguido así después del ataque, incluyendo ataques cibernéticos destructivos contra organizaciones clave israelíes y actividades de recolección de inteligencia dirigidas a tomadores de decisiones israelíes y estadounidenses. En los seis meses previos a los ataques del 7 de octubre, Irán representaba aproximadamente el 80% de toda la actividad de phishing, respaldada por el gobierno, que se pudo observar dirigida a usuarios en Israel. Después del 7 de octubre, hemos visto un esfuerzo enfocado en socavar el apoyo a la guerra entre el público israelí y la población mundial en general, incluyendo operaciones de hackeo y filtración e operaciones de información para desmoralizar a los ciudadanos israelíes, erosionar su confianza en organizaciones nacionales y presentar las acciones de Israel bajo una luz negativa.
En segundo lugar, los grupos vinculados a Hamas estuvieron activos con operaciones típicas hasta septiembre de 2023, sin un aumento observable en la actividad previa al 7 de octubre, y no hemos observado actividad significativa desde entonces. La actividad antes del conflicto incluyó campañas masivas de phishing dirigidas a Palestina y sus vecinos regionales, malware móvil y esfuerzos persistentes por atacar entidades israelíes con una variedad de capacidades cibernéticas personalizadas y de código abierto. Estas campañas estaban en línea con la actividad cibernética histórica de actores vinculados a Hamas. Las tácticas, técnicas y procedimientos (TTPs) preferidas por estos actores tienden a ser simples pero efectivas; sin embargo, al menos una campaña reciente de un grupo vinculado a Hamas muestra avances en sus capacidades cibernéticas, incluyendo elaboradas campañas de ingeniería social para infiltrar malware personalizado a objetivos israelíes de alto valor.
En tercer lugar, la infraestructura crítica iraní fue interrumpida por un actor que afirmó estar respondiendo a los ataques del 7 de octubre. El actor "Gonjeshke Darande" (Gorrión Predador), al cual Irán ha atribuido a Israel, se atribuyó el mérito de las interrupciones en las estaciones de gas en el país.
Toda la información expuesta en el informe nos lleva a detectar una serie de hechos y proveer unas tendencias a las que seguramente nos enfrentaremos en este recién comenzado año 2024:
- Es probable que los grupos vinculados a Irán continúen llevando a cabo ataques cibernéticos destructivos y disruptivos, particularmente en el caso de cualquier escalada percibida en el conflicto, lo cual puede incluir actividades cinéticas contra grupos proxy iraníes en varios países, como Líbano y Yemen.
- Las operaciones de hackeo y las operaciones de información y desinformación siguen siendo un componente clave en los esfuerzos de estos actores.
- Se provee que la actividad cibernética de Hamas se reanudará, con especial énfasis en el espionaje, para la recolección de inteligencia sobre asuntos palestinos, de Israel, EE. UU y otros actores regionales en el Medio Oriente.
- El conflicto entre Israel y Hamas es muy diferente de otros conflictos, como por ejemplo la invasión rusa de Ucrania. En la región Israel-Gaza, no se observó un aumento en las operaciones cibernéticas contra objetivos israelíes antes del ataque, en marcado contraste con Ucrania, donde vimos un gran aumento en la actividad de amenazas cibernéticas rusas dirigidas a Kiev en la antesala de la invasión.
La guerra entre Israel y Hamas ha puesto de manifiesto el papel crítico que juega el ciberespacio en los conflictos modernos, no solo como un campo de batalla en sí mismo sino como un medio para influir, desestabilizar y recopilar inteligencia. La capacidad de desplegar rápidamente operaciones cibernéticas a bajo coste ofrece a los actores estatales y no estatales en la región una herramienta valiosa para perseguir sus objetivos estratégicos sin escalar a un conflicto armado directo.
Este informe subraya la importancia de una defensa cibernética robusta y la colaboración internacional para anticipar y mitigar las amenazas en este dominio en constante evolución.
La guerra entre Israel y Hamas sirve como un recordatorio crítico de la importancia de la ciberseguridad en el panorama de seguridad global actual.