El volumen de ataques hacktivistas durante 2020 ha caído un 30%

El hacktivismo en España no ha mostrado grandes variaciones durante 2020

El panorama del hacktivismo en España durante 2020 no ha mostrado variación sustantiva con respecto a la pauta ya descrita para el año anterior de ausencia de un tejido hacktivista propiamente español o actuando desde España, que tenga un mínimo de capacidad operativa más allá de mensajes ocasionales de autocomplacencia en redes sociales, excepción hecha de la identidad conocida como ‘La 9a Compañía’.

Desde esa excepcionalidad, en términos de un posible colectivo hacktivista el escenario en España en 2020 se resume, precisamente, en ausencia de ese colectivo, quedando la realidad hacktivista de raíz autóctona en España representada por identidades constituidas en perfiles en redes sociales con iconografía alusiva al movimiento ‘Anonymous’, que principalmente transmiten desde esos perfiles contenidos de propaganda antisistema general, alusiones a otras identidades, o mayormente referencias autocentradas.

Los intentos de reflotar una #OpSpain como narrativo general de protesta hacktivista en España durante 2020 se han topado con los mismos factores de impotencia:

1. Ausencia de narrativas con intenciones operativas dotadas de una mínima redacción motivacional.
2. Ausencia de un núcleo activo de identidades con capacidades operativas cibernéticas.
3. Ausencia de colectivización, donde incluso los ataques por denegación de servicio son individuales.
4. Predominio de actores utilizando software automático, que no requiere habilidades técnicas en el atacante, para llevar a cabo inyecciones SQL.
5. Incremento de las reivindicaciones falsificadas o amañadas para dar apariencia de credibilidad.
6. Uso de las redes sociales digitales para proferir amenazas que no tienen materialización operativa más allá de las palabras divulgadas.

32 ciberataques de la #OpSpain o #OpCatalunya en España

Durante 2020, se llevaron a cabo 32 ciberataques bajo los marcos narrativos de la #OpSpain o la #OpCatalunya/#OpCatalonia. La primera era una denominación genérica y recurrente de protesta hacktivista centrada en España mientras que la segunda, de identidades hacktivistas que comienzan a utilizar en el último trimestre de 2017 en paralelo a la situación política en Cataluña.

En el último tercio de 2020 varios ciberataques fueron llevados a cabo contra webs en España reivindicándolos mediante la etiqueta #FreeXelj, generalmente asociándolos a #OpSpain.

El volumen de acciones afiliadas a estos marcos narrativos durante 2020 ha caído un 30% respecto de 2019, cuando a su vez había descendido un 25% con relación al año anterior, lo que confirma el descenso paulatino de la actividad ciberofensiva hacktivista vinculada a estas narrativas concretas en España.

El 34% de los ataques eran de denegación de servicio

El 34% de los ataques se correspondieron con acciones por denegación de servicio, realizados principalmente en el mes de abril de 2020 por ‘Nama Tikure’ sobre un par de webs de la Administración Pública española.

Un 43% consistieron en desfiguraciones de webs menores.

Ocasionalmente, en julio de 2020 otra identidad ejecutó un ataque individual por denegación de servicio sobre la web del Departamento de Seguridad Nacional, y en noviembre de 2011 se produjo otra acción similar sobre la web de la Agencia Tributaria.

Un 43% consistieron en desfiguraciones de webs menores, concentradas en noviembre de 2020 y principalmente reivindicadas por ‘Crystal_MSF’ y su alias colectivo ‘sin1pecrew’. En realidad, se trató de acciones de oportunidad no directamente motivadas por la #OpCatalunya, sino adscritas a la actividad sistemática de comprometimiento de sitios web provistos de software desactualizado y/o vulnerable por todo el mundo que llevaba a cabo ‘Crystal_MSF’ en conductas de pequeña cibercriminalidad para la inyección en esas webs de contenido SEO Spam.

Disminución en las inyecciones sobre bases de datos SQL

Las inyecciones sobre bases de datos SQL, que el año previo habían tenido un moderado protagonismo, se limitaron en 2020 a un solo intento de muy baja peligrosidad, concentrado en noviembre de 2020 sobre una web menor de noticias en Torremolinos.

Se trataba de un par de divulgaciones de datos de alcance limitado y de origen incierto, probablemente derivadas de algún compromiso de las credenciales de acceso de un usuario individual.

Los sitios web con IP en España, vulnerados por ataques por desfiguración

En 2020 se mantuvo la pauta de los años anteriores, en la que sitios web con IP en España o dominios web de nivel geográfico para España han sido vulnerados, principalmente en ataques por desfiguración, en el curso de acciones de ciberataque por identidades que al mismo tiempo que afectaban a webs en España lo hacían en otros países.

Estos ataques se corresponden con acciones de oportunidad en donde los atacantes se aprovechan de vulnerabilidades en software generalmente desactualizado e instalado en las webs victimizadas, para explotarlas e inyectar sobre ellas contenido reinvidicativo general o simplemente su alias.

En un porcentaje de estas acciones de oportunidad, que desde mediados de 2020 comenzaba siendo incipiente pero que ha ido creciendo paulatinamente hacia final de 2020 igual en España que en el resto de países del mundo. Además de inyectar su alias en las webs comprometidas, algunos atacantes aprovechan la desfiguración de la web para insertar contenido SEO Spam, scripts redirectores hacia webs de distribución de contenidos no deseados o estructuras dedicadas al phishing.

Un 97% de relación entre los ataques hacktivistas y software vulnerable o desactualizado

Durante 2020, atacantes mostrando rasgos que sugieren su actuación desde fuera de España desfiguraron 731 sitios radicados en el país, un 40% menos en volumetría que el año previo, que ya arrastraba un descenso del 50% con relación al año anterior. Estas cifras marcan una línea de tendencia a la baja del hacktivismo oportunista en España.

Continuando la tendencia de los años previos, los ataques hacktivistas en 2020 correlacionaron en un 97% (comparado con un 93% del 2019) con la presencia de software vulnerable y/o desactualizado en las webs atacadas, que puede considerarse el primer factor de riesgo para la victimización por hacktivismo.

De ese porcentaje total, un 81% de las webs victimizadas la vulnerabilidad en el software estaba relacionada con gestores comerciales de contenidos, siendo Wordpress el más representado con un 63%, seguido de Joomla con un 18%. El descenso porcentual de la presencia de Wordpress en 2020, que el año previo acumulaba un 75% de los casos, se debe a un aumento de 7 puntos porcentuales en las webs equipadas con el habitual paquete de gestión de Microsoft, presente en el 10% de los sitios web desfigurados por entidades hacktivistas en 2020.