El hacktivismo se refiere a ataques cibercriminales que a menudo implican la interrupción de sistemas con fines políticos o sociales, normalmente para hacer una declaración en apoyo de una causa o contra gobiernos u organizaciones.
Derivado de la combinación de las palabras "hack" y "activismo", el término "hacktivismo" fue acuñado por primera vez en 1996 por Omega, un miembro del colectivo de hackers Cult of the Dead Cow.
En el pasado, las acciones hacktivistas se comparaban con el grafiti digital simbólico. Hoy en día, los grupos hacktivistas se asemejan a las pandillas urbanas. Estos grupos, que anteriormente estaban formados por personas con habilidades bajas, han evolucionado hasta convertirse en equipos de habilidades medias a altas, a menudo más pequeños en tamaño, pero mucho más capaces. La escalada de habilidades ha aumentado directamente los riesgos que suponen para las organizaciones.
Los grupos hacktivistas se definen por distintas creencias políticas reflejadas tanto en la naturaleza de sus ataques como en sus objetivos. A diferencia de los cibercriminales, los hacktivistas normalmente no buscan obtener ganancias financieras, aunque hemos observado solapamientos con los cibercrimen. En su mayoría, estos grupos se centran en avanzar en sus agendas políticas, que varían en transparencia. En términos generales, sus motivaciones se pueden clasificar en cuatro grupos distintos: ideológico, político, nacionalista y oportunista. Mientras que algunos grupos se alinean estrictamente con una categoría, otros persiguen múltiples agendas, a menudo con un enfoque principal complementado por causas secundarias.
Las motivaciones ideológicas impulsan la actividad más hacktivista. Estos grupos se dirigen a entidades que desafían sus visiones del mundo, a menudo centrándose en creencias religiosas o conflictos geopolíticos. Los conflictos recientes revelan profundas divisiones ideológicas.
Por ejemplo, el grupo prorruso “NoName057(16)” acusa a aquellos que ayudan a Ucrania de “apoyar a los nazis ucranianos”, mientras que los críticos rusos “GlorySec” afirman “apoyar a la sociedad occidental en todos los sentidos” y, por lo tanto, “se oponen al régimen ruso”. GlorySec, posiblemente un grupo venezolano autodescrito como anarquicapitalistas, “cree en la libertad individual y en los mercados libres” y, por lo tanto, se opone a países como Rusia y China, así como a lo que denominan “sus regímenes de representación” como Cuba, Nicaragua, Houthi, Hezbollah y Hamas.
Algunos grupos hacktivistas buscan influir en las políticas gubernamentales o en los resultados políticos, aunque estos ataques son menos frecuentes que los ideológicos.
Por ejemplo, “SiegedSec” se dirigió al Proyecto 2025, una iniciativa que promueve políticas conservadoras. Justificaron un hackeo y la consiguiente filtración de una base de datos de 200GB al afirmar que el proyecto “amenaza el derecho de aborto sanitario y las comunidades LGBTQ+ en particular”. SiegedSec también ha estado activa en #OpTransRights, dirigida a organizaciones que perciben como opuestas a los derechos transgénero y transsexual en EE. UU.
Figura 1. SiegedSec explicando su imagen de motivaciones políticas
Los ataques hacktivistas nacionalistas son menos comunes y a menudo incorporan símbolos culturales y retórica patriótica para justificar sus acciones. Por ejemplo, el grupo indio “Team UCC” afirma “amplificar las voces hindúes” al “exponer narrativas falsas que afirman que los hindúes están seguros en Bangladés”. Se posicionan como defensores de los hindúes en todo el mundo, especialmente en Bangladés. Atacan sitios web y organizaciones gubernamentales pakistaníes como esfuerzos para “defensar el ciberespacio indio”.
Del mismo modo, muchos grupos prorrusos muestran motivaciones nacionalistas. Los anuncios de sus ataques suelen incluir banderas rusas, osos como símbolos de orgullo nacional y expresiones sobre la defensa de Rusia.
Algunos grupos de hacktivistas actúan de forma puramente oportunista, dirigiéndose a las organizaciones simplemente porque son fáciles de hackear. Por ejemplo, SiegedSec hackeó el sitio web de una aplicación de mensajería, citando que “no es seguro en absoluto”. La aplicación que se está “fabricando en China” podría haber agravado su motivación, pero el grupo mencionó que obtener “acceso a sus buckets de AWS S3”, lo que sugiere que el ataque requería un esfuerzo mínimo en lugar de una justificación. Estos grupos a menudo parecen estar formados por personas más jóvenes impulsadas por la ira justa, que se manifiesta como derecho y la creencia de que cualquier hackeo es justo.
Figura 2. SiegedSec describe su ataque al sitio web de una aplicación de mensajería
Los grupos hacktivistas modernos suelen estar dirigidos por un pequeño núcleo de personas de confianza, a menudo amigos o conocidos en línea que comparten capacidades técnicas y una ideología política o religiosa común que define la alineación del grupo.
Por ejemplo, el supuesto propietario de GlorySec, utilizando el alias “Charon Wheezy”, describe los principios del grupo en una publicación que incluye un selfie con otros en una sala llena de ordenador. El fundador de SiegedSec, conocido como “Vio”, describe al grupo como “piratas informáticos peludos homosexuales” e identifica como “un antiguo miembro de GhostSec y Sudán anónimo”. Estas presentaciones son un punto de partida común para reclutar a otros hackers que comparten la misma ideología e inclinación.
Figura 3. Perfil personal del fundador de SiegedSec
Las estrategias de reclutamiento varían. Algunos grupos como CyberVolk se anuncian abiertamente para miembros, asociaciones y promociones pagadas. Otros, como GlorySec, buscan personas con información privilegiada (“moles”) de naciones rivales como China, Venezuela o Rusia para acceder a “sistemas de gestión gubernamentales o de empresas”. Mencionan que tienen 200 000 USD para pagar esto, lo que también ofrece que el lunar “se puede reasignar” (entendemos que esto significa reubicarse) “si surge algún problema”.
Los líderes de los grupos, que parecen ser muy pocos, examinan a los miembros personalmente y contratan directamente a través de canales de anuncios. Perciben sus acciones como ideales de defensa en lugar de cometer delitos. Sin embargo, el miedo a las repercusiones legales es frecuente. Los grupos a menudo disuelven, cambian de marca o toman medidas evasivas cuando se someten a un escrutinio, especialmente si tienen su sede en EE. UU. o Europa. SiegedSec, por ejemplo, se disolvió en julio de 2024, reconociendo sus acciones como cibercriminales y citando el miedo a “el ojo del FBI”.
Los grupos hacktivistas suelen confiar en ataques de DDoS y de desfiguración web, que son orquestados por el grupo y ejecutados por voluntarios utilizando herramientas de estrés HTTP. Diseñadas originalmente para que los administradores web prueben la capacidad del servidor, estas herramientas se utilizan para inundar servidores con tráfico malicioso, lo que provoca interrupciones.
Eliminar un sitio web objetivo es una táctica preferida debido a su simplicidad, aunque su impacto a menudo es limitado. Los ataques DDoS tienen un tiempo limitado y sus efectos en los sitios web de la organización suelen ser de corta duración. Si bien los ataques sostenidos en sitios que generan ingresos (p. ej., tiendas online, casinos), durante los momentos de máxima actividad pueden causar un daño significativo, la mayoría de los objetivos son sitios web gubernamentales o corporativos, lo que resulta en un daño mínimo a la reputación.
Figura 4. Fuerzas cibernéticas indias dirigidas a un sitio de Hamas con DDoS
Los ataques de malware son raros entre los grupos hacktivistas, probablemente porque crear e implementar malware es más complejo que los ataques rápidos centrados en la reputación. Aun así, algunos grupos desarrollan ransomware para financiar sus actividades.
Un ejemplo es el "Doce" pro-Ucrania que supuestamente funciona como un grupo de ransomware. A diferencia de los ciberdelincuentes que piden un rescate, el malware que utilizan cifra, elimina y exfiltra datos, con la información robada compartida en un canal de Telegram. Sin embargo, no hemos encontrado este canal ni verificado las motivaciones más profundas del grupo.
En otro caso, GlorySec colocó malware en memorias USB en una ciudad venezolana y supuestamente obtuvo acceso a sistemas en “100 empresas diferentes”.
Figura 5. GlorySec explicando su ataque de malware
El doxing, que es la abreviatura de “dóxing dox” (“dox” en inglés de documentos), es la práctica maliciosa de recopilar y divulgar públicamente la información personal de alguien, como sus direcciones particulares, números de teléfono, información financiera u otros datos personales, sin el consentimiento de la víctima.
Con el auge de las redes sociales y los datos online fácilmente accesibles, el doxing se ha convertido en una táctica popular que a menudo se utiliza para acosar, intimidar o dañar a las personas. Esto suele estar motivado por venganzas personales, conflictos ideológicos o el deseo de causar daño a la víctima.
Los grupos hacktivistas de hoy en día se involucran cada vez más en ataques de «hackeo y fuga», que son más sofisticados que DDoS, y en defectos web. Pican redes y servidores para filtrar datos, que luego se comparten públicamente a través de plataformas de intercambio de archivos. Estos ataques se promocionan con frecuencia en el canal de Telegram del grupo. La naturaleza avanzada de estas operaciones sugiere un proceso de contratación más complejo, priorizando a los miembros con habilidades de piratería más ofensivas.
Los críticos rusos «GlorySec» afirman que «apoyan a la sociedad occidental en todos los sentidos» y, por lo tanto, «se oponen al régimen ruso». GlorySec, posiblemente un grupo venezolano autodescrito como anarquicapitalistas, “cree en la libertad individual y en los mercados libres” y, por lo tanto, se opone a países como Rusia y China, así como a lo que denominan “sus regímenes de representación” como Cuba, Nicaragua, Houthi, Hezbollah y Hamas.
GlorySec también se alineó con Taiwán en sus esfuerzos por desvincularse de China, iniciando la #OpPRC para atacar a las empresas chinas. Afirmaron que “la PRC es un país falso; debería ser la ROC”, haciendo referencia a las autodesignaciones de China (PRC) y Taiwán (ROC). GlorySec no es chino ni taiwanés. Irónicamente, los hackers rusos han llevado a cabo #OpTaiwan por la razón opuesta, apoyando a China.
Probablemente haya oído hablar del grupo conocido como Anonymous, un colectivo de hackers clandestinos y, sí, anónimos que han derribado e infiltrado sistemas informáticos pertenecientes a empresas y gobiernos con los que tienen desacuerdos políticos.
De 2008 a 2012, Anonymous consiguió ejecutar una serie de hackeos, con efectos que iban desde inconsecuente a crítico. Una de sus más infames y conocidas como “Operación de Túnez”, implicó el reclutamiento de varios hackers tunecinos para ayudar a eliminar ocho sitios web gubernamentales utilizando ataques DDoS (Ataques distribuidos de denegación de servicio) en apoyo de los movimientos de la Primavera Árabe en 2010.
Esta tabla compiló algunos grupos de hacktivismo que abarcaban múltiples conflictos:
Figura 6. Grupos hacktivistas con motivaciones coincidentes
Investigaciones relacionadas