Hacktivismo al servicio de la inteligencia: cómo los Estados disfrazan los ciberataques

En las últimas décadas, el hacktivismo se limitaba principalmente a la desfiguración de sitios web y ataques DDoS, que llamaban la atención pero no tenían consecuencias a largo plazo. Sin embargo, en los últimos años, la situación ha cambiado. Una investigación de Check Point Research mostró que estos grupos están cambiando de táctica, dificultando su identificación, pero precisamente su propia actividad puede convertirse en su punto débil.

Los especialistas analizaron miles de mensajes de decenas de grupos hacktivistas mediante el uso de aprendizaje automático y análisis lingüístico. Los investigadores se centraron en identificar conexiones entre grupos, rastrear cambios en sus motivaciones y buscar pruebas de asociaciones con estructuras estatales. Uno de los enfoques clave del estudio fue determinar los temas que discuten los hacktivistas y encontrar rasgos comunes en sus mensajes.

En los últimos años, el hacktivismo se ha convertido en una herramienta de influencia geopolítica. Si antes los hacktivistas actuaban por convicciones ideológicas, ahora los actores estatales disfrazan sus operaciones como ciberataques espontáneos. Estas estructuras crean decenas de grupos para ocultar su implicación y desacreditar a los auténticos movimientos activistas. La dificultad en la atribución les permite mantener el anonimato, pero el uso repetido de los mismos métodos puede llevar a su revelación.

El análisis de los ataques muestra una clara correlación con eventos políticos. Además, la repentina aparición de numerosas cuentas nuevas que utilizan métodos de ataque similares puede indicar una actividad coordinada por parte de los servicios de inteligencia.

Para detectar estas anomalías, los expertos utilizaron el modelado de temas (Topic Modeling) y la estilometría (Stylometry). El primer método permitió identificar los temas clave manejados por los grupos hacktivistas, mientras que el segundo ayudó a determinar los estilos lingüísticos únicos presentes en sus mensajes. Utilizando aprendizaje automático, los investigadores lograron encontrar coincidencias en los textos, lo que sugiere posibles vínculos entre distintos grupos.

Para recopilar datos, se analizaron redes sociales como X y Telegram, donde los hacktivistas suelen publicar sus mensajes. Como resultado, se examinaron aproximadamente 20,000 publicaciones de 35 cuentas activas que, según los investigadores, están vinculadas a estructuras estatales.

Por ejemplo, entre los temas principales se encontraron ataques a sitios web de Israel, Irán y otros países, así como filtraciones de documentos y campañas propagandísticas. Este análisis ayudó a comprender cómo cambian los intereses de los grupos en función de los acontecimientos globales. Diferentes grupos suelen utilizar las mismas estructuras lingüísticas, expresiones y hasta errores ortográficos típicos. Esto permitió establecer conexiones entre grupos que se presentaban como independientes.

El análisis también reveló casos de cambios en el estilo de escritura dentro de un mismo grupo. Por ejemplo, el estilo de publicación del IT Army of Ukraine cambió drásticamente en 2022, lo que podría indicar un cambio de autores o un cambio en el control de la cuenta. Variaciones similares en los textos pueden reflejar una transición de liderazgo dentro del grupo o un cambio de enfoque hacia nuevas misiones.

Los patrones identificados ayudan a mejorar la atribución de ciberataques y exponer estructuras que se hacen pasar por hacktivistas. Sin embargo, los investigadores advierten que los actores malintencionados se están adaptando, desarrollando nuevas formas de ocultar sus actividades. No obstante, el uso del aprendizaje automático y el análisis de textos se está convirtiendo en una herramienta crucial para contrarrestar estas amenazas.