Israel y Hamás libran una guerra sin fin en el ciberespacio

Ya habían pasado días de bombardeo de Israel sobre Gaza cuando la app Red Alert, que usan los civiles israelíes para recibir avisos de bombardeo, demostró su vulnerabilidad y envió a las pantallas de millares de usuarios una alarma por aproximación de un ataque nuclear.

No era cierto, pero sí creíble: es una app de uso oficial, el mundo pasa por una racha de alta tensión y en el conflicto de Oriente Próximo hay potencias con armamento atómico o en busca de él.

Esa alerta terrorífica en los móviles ha sido una de las muestras más visibles para el público común de la ciberguerra que se libra en el Mediterráneo oriental. Contendientes: Israel, la milicia palestina de Hamás, Irán a través de Hezbolá y terminales próximas y una pléyade de hackers más o menos independientes. Campo de batalla: el ciberespacio. Arma más común y conocida: el DDoS o ataque de denegación de servicio por saturación. Víctimas: las infraestructuras menos protegidas… y la reputación de cada bando.

Frente hacker

El 8 de octubre, un día después del masivo ataque terrorista de Hamás contra Israel, al grupo de hackers Cyber Avengers, dependiente de Irán, le atribuyeron las autoridades israelíes un ataque contra el sistema informático de la planta de generación eléctrica Dorad, en Ashkelon. El alcance de los daños no se ha difundido.

El 27 de octubre, Israel cerraba el grifo de los datos a Gaza y atacaba gran cantidad de servidores, desencadenando uno de los apagones informáticos más importantes de la historia. Durante 34 horas hubo cobertura cero en la Franja, y desde entonces no se ha recuperado más de un 15%, según denunció la Media Luna Roja. El ataque dejó KO a la compañía telefónica palestina Jawwal.

Entre una fecha y otra tuvo lugar uno de los picos de actividad en una guerra cuyo inicio, en el plano ciber, se remonta a diez años atrás. A raíz de esa sucesión de golpes, diversos observadores internacionales --entre ellos la firma norteamericana SOC Radar-- han contado 70 grupos de hackers propalestinos y 15 que actúan en favor de Israel. En España, expertos del laboratorio de ciberseguridad Arteche han contado 113 grupos de hackers propalestinos, 17 proisraelís y tres no alineados que atacan también en esta guerra.

Entre estos últimos están Silent One, Red Evils y la Israel Cyber Defence. Fuentes militares españolas señalan además un apoyo no israelí en el grupo Indian Cyber Sanatani.

El Estado israelí, que alberga en su territorio a algunas de las más potentes firmas tecnológicas del mundo, no busca tanta ayuda hacker como Hamás. Imitando a Ucrania tras el inicio de la invasión rusa, Ghosts of Gaza y Ghost of Palestine, hacktivistas de la milicia apoyada por Irán, hicieron un llamamiento en octubre pasado a hackers de todo el mundo para que atacaran intereses israelíes.

En ese bando pro-Hamás destacan tres grupos iraníes -Cyber Avengers, Agonizing Serpents y Haghjhoyan-, dos de inspiración rusa -Killnet y Anonimous Sudan- y dos con nombre que puede atraer la atención de nuestras autoridades: Moroccan Ghosts y Moroccan Black Cyber Army.

Sin billetes de bus

Este último grupo --que podría ser tan marroquí como ruso-- se activa en ciberataques a redes de movilidad. El último golpe en el que ha participado tuvo lugar el 15 de febrero. Coordinado con Killnet y Anonymous Sudan, y con Team 1956, se fijaron como objetivo Egged, empresa estratégica del sistema de transporte público de Israel, a la que obligaron a suspender la emisión de billetes por segunda vez en esta guerra.

Los israelíes han golpeado también en el ciberespacio, pero no a los gazatíes, sino a Irán. En diciembre, Red Evils consiguió penetrar y paralizar la red judicial de Irán, publicando además expedientes judiciales con los que acreditar corrupción en el país.

Ese mismo mes, el grupo iraní Cyber Avengers atacó con éxito a la autoridad de aguas de la ciudad norteamericana de Aliquippa, en el estado de Pensilvania, consiguiendo eco meditático.

Camuflados

Son muchos nombres, pero puede que no tantas personas. "Los hacktivistas migran entre grupos, entran en varios a la vez. Con esa polimilitancia dan apariencia de ser muchos", advierte la mencionada fuente militar española.

No está de acuerdo con el término Josep Albors, responsable de investigación y concienciación de ESET España, firma destacada en el campo de la ciberseguridad. No lo llama "ciberguerra" porque "esa guerra no se ha declarado como tal ni tiene como terreno exclusivo el ciberespacio". Prefiere hablar de guerra a secas. Para Albors, lo que se ve en el ciberespacio entre Israel, Hamás y sus proxies es "un conjunto de operaciones híbridas que complementan a la guerra cinética", o "actividades ilícitas en un campo de batalla ciber como preparativo de acciones militares".

Por su actividad en protección de empresas, ESET es un observatorio privado --como SOC Radar-- en el que, dice Albors, "se detectan picos de actividad" hacker en la guerra. Este experto en seguridad informática coincide con el alto oficial militar consultado en advertir de que "muchas de estas campañas pueden ser ataques de falsa bandera".

En otro punto de la trama privada de ciberseguridad española, el observatorio de la Unidad X63, un grupo de expertos que trabaja para Cipher, compañía del grupo Prosegur, también han podido seguir el uso del software malicioso Stone supuestamente por parte del bando gazatí, han confirmado a este diario expertos de la firma.

Guerra híbrida

Hay un trasfondo estratégico en este pulso ciber mucho más amplio que el mero teatro de operaciones de Gaza: una guerra híbrida entre Israel e Irán que comenzó a hacerse más visible en 2014. En el ciberespacio, a Israel lo apoyan Estados Unidos, el Reino Unido, Arabia Saudí y Azerbayán (pese a la orientación chií de su población). Al otro contendiente, Irán, le prestan apoyo RUsia, Venezuela, Cuba, y las milicias de Hezbolá, Hamás y hutíes.

Teherán desarrolla contra Tel Aviv una campaña de ataques a infraestructuras críticas centrada en el sistema eléctrico israelí. Los sabotajes tienen su base en años de captación de información, relatados este sábado en el congreso de hackers y ciberseguridad RootedCon por los expertos y exmiembros de las Fuerzas de Seguridad del Estado Andrés Soriano y Javier Rodríguez.

La recolección de información que hace posibles estos ataques pasa, sobre todo, por la operación Segev del espionaje iraní, que culminó con la captación del ministro israelí de Energía, Gonen Segev, que descubrió todo el sistema eléctrico de su país a los iraníes e incluso proporcionó a la Guardia Republicana acceso al email del jefe del ejército hebreo. La traición fue detectada en 2018 por la inteligencia israelí. Segev cumple ahora 11 años de condena en prisión.

Quién gana

El peligro de golpes a infraestructuras críticas o empresas se ha agudizado tanto en el conflicto que, el pasado 7 de enero, el organismo israelí CiberDirectorio Nacional (INCD, parecido al Centro Criptológico Nacional, que en España depende del CNI) emitió un informe de alerta para sus ciudadanos.

El dosier habla de un "aumento de la intensidad de los ciberataques sobre Israel". Entre ellos, "ataques simples DdoS --que tiran abajo una web saturarándola con peticiones--, ataques a cadenas de suministros, ataques a videocámaras para obtener información de inteligencia...".

El informe del INCD advierte de campañas de phishing, cercos a aplicaciones de móvil y, particularmente, a "equipamientos de Cisco o Juniper dirigidos por internet", así como VPNs de Fortinet y Citrix, y gestores CMS y Wordpress. Entre los sectores elegidos por los hackers pro-Hamás destaca el de las líneas aéreas.

Al tiempo que Israel emitía esta alerta, ha trascendido del frente ciber del conflicto otra forma de lucha: la emisión de mensajes en redes sociales encaminados a que el soldado conteste y revele así su emplazamiento. Entre ellos, saludos de mujeres hermosas y hombres atractivos que dicen querer entablar amistad. Una de estas operaciones, llamada Romeo, está desplegada por Irán sobre mujeres militares israelíes desde 2022 y permanece activa.

En el día 154 de esta guerra no es posible conseguir que un experto se arriesgue a señalar quién está ganando en el ciberespacio. Entre otras razones porque, como comenta el alto oficial del Ejército, "no creo que esta guerra en el ciberespacio acabe con una declaración de paz en el espacio físico". O sea, la continuación de los ataques entre israelíes y palestinos en un plazo inacabable, durante el cual siempre será difícil afirmar quién gana. Albors detiene la divagación: "¿Que quién está ganando en este campo? Define ganar".