El experto en ciberseguridad, José Israel Nadal Vidal, analiza las implicaciones de que los cinco grupos de ciberdelincuentes (ThreatSec, GhostSec, Stormous, Blackforums y SiegedSec) hayan unido fuerzas en el autodenominado grupo de «Las Cinco Familias».
En el vasto universo del cibercrimen, donde el anonimato suele ser el mayor aliado, resulta insólito e inquietante descubrir la formación de alianzas entre diferentes actores. En fechas recientes, se ha revelado la colaboración de cinco prominentes grupos cibercriminales, una situación que ha generado preocupación en la comunidad internacional. Estos grupos organizados dedicados al cibercrimen son:
- ThreatSec
- GhostSec
- Stormous (Ransomware)
- Blackforums
- SiegedSec
*GhostSec y Stormous ya habían colaborado anteriormente de forma exitosa en otras ocasiones.
Esta alianza autodenominada «Las Cinco Familias» tiene la intención de parecerse a la alianza de Inteligencia «Five Eyes» («Cinco Ojos», en español), una coalición de servicios de Inteligencia compuesta por cinco países angloparlantes: Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos. Los miembros de los «Cinco Ojos» cooperan en la recopilación y el intercambio de Inteligencia, particularmente en lo que respecta a la Inteligencia de señales (SIGINT, por sus siglas en inglés).
➡️ Te puede interesar: SIGINT o Inteligencia de señales: definición, usos y herramientas
En este sentido, «Las Cinco Familias» se describen a sí mismas como un «grupo creado para establecer una mejor unidad y conexiones para todos en el mundo subterráneo de Internet, para expandir y hacer crecer nuestro trabajo y operaciones» tomando su apodo inspirándose en las cinco prominentes familias italoamericanas involucradas en la mafia de Nueva York en las décadas de 1950 y 1960.
¿Qué grupos están detrás de “Las Cinco Familias»?
- ThreatSec es un grupo hacktivista altamente organizado, frecuentemente mencionado en sus esfuerzos de colaboración con otros actores de amenazas como KittenSec, SiegedSec y GhostSec. El grupo se ha hecho famoso recientemente, en mayo de este año, con más de una docena de supuestos ciberataques realizados hasta la fecha. Al estilo típico de las operaciones hacktivistas, las acciones de ThreatSec se difunden a menudo en Twitter y Telegram, mostrando cómo los objetivos son objeto de ataques DDoS, intrusión en el sistema, defaces y exposición pública de información filtrada o robada. Sus víctimas suelen ser bancos y gobiernos que considera que están infringiendo los derechos humanos.
➡️ Te puede interesar: Entender las diferencias entre Ciberterrorismo, Ciberguerra y Hacktivismo
- GhostSec es un grupo de hackers que se dedica a la ciberseguridad y la lucha contra el terrorismo en línea. Fue fundado en 2015 como una extensión del grupo de hackers de Anonymous y, desde entonces, ha trabajado en estrecha colaboración con las fuerzas del orden y los gobiernos de todo el mundo para identificar y combatir las amenazas cibernéticas. GhostSec se ha destacado por su trabajo en la identificación y eliminación de cuentas de redes sociales utilizadas por grupos terroristas como ISIS, y ha sido reconocido por su importante contribución a la lucha contra el terrorismo en línea.
➡️ Te puede interesar: Curso de Experto en Hacking Ético
- Stormous ha estado operando como una supuesta banda de ransomware desde 2021, originalmente publicitando ataques y comunicándose con sus seguidores a través de canales de Telegram y de su sitio basado en Tor. El grupo de habla árabe ha afirmado haber comprometido a un gran número de víctimas, en muchos casos supuestamente utilizando ransomware, pero a menudo no ha compartido pruebas de sus intrusiones.
- Stormous se ha alineado oficialmente con Rusia en el actual conflicto del país con Ucrania; esta elección puede reflejar las opiniones políticas de sus miembros.
- Blackforums grupo cibercriminal creado en torno al famoso foro blackforums y en auge este último año. Se le conoce por ejecutar acciones relacionadas con la creación de malware.
➡️ Te puede interesar: Dark Web: riesgos, contenidos y cómo acceder [Guía Práctica]
- SiegedSec surgió unos días antes de la invasión rusa de Ucrania. SiegedSec utiliza eslóganes que hacen hincapié en «asediar» la seguridad de la víctima, según su nombre. Investigadores de ciberseguridad descubrieron que el grupo tiene 7 miembros activos y está liderado por un hacktivista conocido como “YourAnonWolf”. El grupo no muestra preferencia por las industrias o ubicaciones de sus víctimas. Han atacado con éxito a empresas de numerosos sectores en todo el mundo, como el sanitario, el de las tecnologías de la información, el de los seguros, el jurídico y el financiero.
El grupo SiegedSec ha obtenido acceso a datos confidenciales, correos electrónicos filtrados o bases de datos robadas de al menos 30 empresas diferentes desde su inicio en febrero. Han filtrado los datos robados en diversos foros, pero no han utilizado ransomware ni han intentado venderlos. Dado que muchas de las empresas víctimas son pequeñas, casi ninguna ha anunciado públicamente incidentes de ciberseguridad causados por SiegedSec.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
¿Qué ha impulsado a «Las Cinco Familias» a unirse?
Los grupos cibercriminales suelen actuar de manera independiente, movidos por sus propios intereses y técnicas específicas. Sin embargo, la convergencia de estos cinco grupos sugiere una estrategia coordinada para ampliar su alcance y poder. Mientras la información exacta sobre cómo se formó esta coalición es limitada, los expertos sugieren que factores como compartir recursos, tácticas o incluso un enemigo común, podrían haber impulsado esta unión.
Estos grupos podrían haberse especializado en diferentes formas de cibercrimen, desde ransomware hasta robo de datos y ciberespionaje, pudiendo ahora compartir sus conocimientos. Cabe destacar que este no es el primer caso registrado de colaboración y cooperación entre grupos de cibercriminales. Analistas de ciberseguridad de Sophos descubrieron vínculos entre los grupos de ransomware rusos BlackBasta, Hive y Royal y sugirieron que podrían estar compartiendo detalles técnicos de sus actividades o tener afiliados en común.
¿Cuáles son las repercusiones inmediatas de este tipo de alianzas?
- Aumento de los ataques: La colaboración entre estos grupos podría llevar a un aumento en la cantidad y sofisticación de los ataques, aprovechando la experiencia combinada y los recursos de cada entidad.
- Objetivos más grandes: Con más recursos y una mayor coordinación, estos criminales podrían ir tras objetivos más grandes y lucrativos, como instituciones financieras, infraestructuras críticas o incluso gobiernos.
- Ransomware a gran escala: Uno de los mayores temores es la propagación de ataques de ransomware a gran escala que podrían paralizar ciudades enteras o importantes sectores industriales.
➡️ Te puede interesar: Masterclass | Virtual HUMINT: Inteligencia de Fuentes Humanas a través de Internet
¿Qué debemos hacer para estar preparados?
La aparición de esta mega-alianza pone en evidencia la necesidad de reforzar la cooperación internacional en ciberseguridad. Es imperativo que las naciones compartan Inteligencia y recursos para contrarrestar la creciente amenaza. Además, las empresas deben invertir más en ciberseguridad, adoptando medidas proactivas y actualizando constantemente sus sistemas.
La alianza de estos grupos cibercriminales es un recordatorio de que el ciberespacio es un dominio en constante evolución y que las amenazas pueden surgir de maneras inesperadas. Sin embargo, también es una oportunidad para que la comunidad global se una y colabore de formas innovadoras.
Mientras que los cibercriminales pueden haber formado una alianza, la respuesta global muestra que la comunidad de ciberseguridad es resiliente y capaz de adaptarse a nuevos desafíos. Con una combinación de colaboración, inversión en tecnología y educación, podemos esperar un ciberespacio más seguro para todos.
No obstante, es esencial no bajar la guardia y mantenerse siempre informados y preparados. El futuro de la ciberseguridad dependerá de la capacidad de anticiparse y adaptarse a las nuevas tácticas y estrategias de aquellos que buscan hacer daño en el vasto mundo digital.
