Pardal Depredador y otras armas sin gatillos de las guerras híbridas: baratas, rápidas, indetectables y eficaces | Tecnología

La aniquilamiento híbrida es un término novedoso para una táctica tan antigua como los conflictos militares. Hace narración a la combinación de la fuerza convencional con cualquier otro medio, como la insurgencia, la migración, el terrorismo, la propaganda o la restricción de memorial básicos. Las tecnologías de la información han sumado un medio ambiente más, enredado y desafiante: la ciberguerra. Los equipos de Examen de Amenazas (TAG, por sus siglas en inglés) de Google, han completado un mensaje, coincidente con otros trabajos similares de S21sec o Kaspersky, sobre su uso en los dos conflictos más recientes y han detectado que, aun siendo las mismas armas, la táctica en las guerras en Lazo y Ucrania muestran diferencias sustanciales en los tiempos, los actores, la intensidad y los objetivos que, allá de circunscribirse a los escenarios bélicos, se expanden por todo el planeta con grupos como Pardal Depredador (Gonjeshke Darande en persa).

El arte de la aniquilamiento, la obra atribuida al estratega chino Sun Tzu hace unos 2.500 abriles, ya se refería a la combinación de capital ajenos a la fuerza para afirmar que “someter al enemigo sin combatir es el apogeo de la astucia”. El marcial ya hablaba de la importancia de la información y el simulación, dos vertientes fundamentales de la ciberguerra. Uno y otro están presentes en los conflictos de Lazo y Ucrania, pero con diferentes modelos, según el exploración de Google, que coincide con el de otras entidades de seguridad en la red.

La invasión de Ucrania fue precedida por un gran incremento de las amenazas y ataques cibernéticos contra Kiev con el fin de debilitar previamente las capacidades de defensa. Por el contrario, ayer de la incursión de Hamás el 7 de octubre, que se saldó con 1.200 muertos y 240 rehenes en un solo día, estas acciones en la red mantuvieron una intensidad habitual. “Los riesgos de seguridad operativa de una operación cibernética superaban el beneficio potencial, por lo que no vimos poco como en Ucrania, donde, en los días y semanas anteriores a la invasión, se observó un gran aumento en la actividad”, explica Sandra Joyce, vicepresidenta de Mandiant Intelligence. Es opinar, para Hamás, un incremento de los ataques en la web podría activo evidenciado la energía y no hubiera aportado beneficios.

Con los dos frentes abiertos, la ciberguerra se ha convertido en un pertrechos más. Mientras Rusia mantiene su actividad en la red en todos los ámbitos y coordina los ciberataques con los lanzamientos de misiles, en la aniquilamiento de Lazo, la ciberguerra se centra más en resumir información, interrumpir servicios esenciales y desplegar todo tipo de propaganda.

En uno y otro casos, las tecnologías de la información han demostrado características singulares: las capacidades cibernéticas pueden ser desplegadas rápidamente a un costo exiguo, por lo que se han convertido en un memorial primario. Estas herramientas brindan la capacidad de resumir información o difundir propaganda rápidamente y perturbar la vida cotidiana mientras se mantienen por debajo del nivel de la energía marcial directa. “Rápido como el rumbo, silencioso como el bosque, rápido y devastador como el fuego, inmóvil como una montaña”, escribió Sun Tzu sobre las cualidades de un atacante en El arte de la aniquilamiento

“Estos actores”, comenta Joyce, “históricamente han dependido de herramientas, técnicas y procedimientos simples, pero muy efectivos. Pero hay signos de crecimiento y, potencialmente, se han desarrollado algunas capacidades más avanzadas, como una ingeniería social asaz elaborada para atacar a los ingenieros de programación con sede en Israel”.

John Hultquist, analista principal de Mandiant, añade que algunas estrategias ya no van dirigidas a la progresiva infección de un sistema sino a la interrupción de sus funcionalidades sin dejar huella, como sucedió durante un corte intencionado en una región completa de Ucrania: “La preeminencia es que no estás introduciendo malware [programa malicioso] que lleva firma y se puede despabilarse e identificar. Esencialmente, es interpretar como administrador del sistema y es efectivamente difícil de encontrar”

Los actores además difieren. En la aniquilamiento de Ucrania, Rusia utiliza su propia fuerza, tanto en la aniquilamiento convencional como en la informática, aunque Kiev ha denunciado el apoyo de China. Sin incautación, en la de Lazo, el actor principal está fuera del distrito en conflicto: Irán ha participado activamente en el 80% de los ataques contra Israel y países aliados, según los datos de Google. Los analistas de la compañía han detectado ataques individuales y a servicios esenciales, como sistemas de distribución de agua, así como el empleo de sofisticada ingeniería social para tomar el control de utensilios críticos a través de sus responsables. Asimismo se han infectado móviles y los sistemas de alerta de ataques con misiles o las páginas de servicios como las de la policía o de hospitales para sembrar el desconcierto y el terror en la población. Por su parte, Irán atribuye a Israel la actividad del asociación Pardal Depredador que, entre otras acciones, anuló las gasolineras del país del rada Pérsico.

Este maniquí de aniquilamiento no conoce fronteras. A medida que el conflicto continúa, aumenta la posibilidad de una inestabilidad regional más amplia. Infraestructuras críticas de EE UU y Europa han sido objetivos de ciberataques y a estos se han sumado Líbano y Yemen. “Son actores globales y eso significa que lo que está sucediendo aquí [el territorio en conflicto] tiene implicaciones en el mundo”, afirma Shane Huntley, director del TAG de Google, quien señala como dianas los próximos procesos electorales o acontecimientos de relevancia internacional, como los Juegos Olímpicos.

Otros informes

Los resultados de Google son coincidentes con los informes de otras entidades de seguridad en la red, como S21sec, de Thales Group. El Threat Landscape Report de esta compañía señala la proliferación de activistas de la red para ataques de denegación de servicios (DDoS), contra la integridad de sitios web y para la filtración de datos, la infiltración en sistemas, el despliegue de ransomware (secuestros informáticos) y la billete en espionaje.

Su actividad, según la investigación, se ha desplegado por canales como Telegram y foros de la Dark Web (sitios que no están indexados y a los que solo se puede ceder a través de navegadores especializados) como BreachForums, Dread Forum, Cracked, Nulled y Leakbase. Una cuarta parte de los actores apoya a Israel mientras el resto pretende defender a Palestina.

“La mayoría de estos grupos de amenaza están motivados ideológica o religiosamente, atacando selectivamente tanto a entidades israelíes como palestinas, así como a otras ubicadas en países no relacionados con el conflicto, incluyendo América, Europa, Asia y África”, afirma Sonia Fernández, responsable del equipo de Threat Intelligence de S21sec.

Los expertos de la empresa de ciberseguridad Kaspersky coinciden en que el conocido como hacktivismo de motivación geopolítica se intensificará y contribuirá a un panorama de amenazas más enredado y desafiante. “El ransomware sigue siendo un gran problema y los hackers están mejorando para atacar a empresas grandes y rentables con métodos más avanzados; los hacktivistas motivados por cuestiones sociales además son cada vez más activos, generando un aumento de posibles amenazas; y el sector del transporte y la abastecimiento es especialmente débil a estos cambios por sus sistemas cada vez más digitales. Esta combinación de ciberdelincuencia y delincuencia tradicional constituye una bajo amenaza para las cadenas de suministro mundiales”, asegura Evgeny Goncharov, responsable de Kaspersky ICS CERT

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para tomar nuestra newsletter semanal.

_