Identificaciones, números de teléfono, datos bancarios, matrículas y, en algunos casos, incluso contraseñas se incluyeron en informes detallados que Hamás había creado sobre más de 2.000 soldados de la Fuerza Aérea Israelí, incluidos algunos en posiciones delicadas
Y. es un técnico jefe en un famoso escuadrón de cazas. O. desempeñó un papel clave en los sistemas de defensa aérea de Israel. S. tiene acceso a tecnologías de vanguardia. K. es piloto. Los cuatro se encuentran entre los más de 2.000 miembros de la Fuerza Aérea de Israel que fueron objeto de expedientes detallados creados por Hamas como parte de las operaciones de recopilación de inteligencia. Los expedientes se filtraron en línea esta semana, y con ellos los detalles del pasado y el presente de los soldados.
El propósito de los informes aparece claramente en su portada: «Como venganza por los asesinos de [los] niños de Gaza». Cada informe incluye el nombre completo del soldado, su base o unidad, número de identificación, número de teléfono móvil, dirección de correo electrónico, cuentas de redes sociales, nombres de miembros de la familia y, en algunos casos, contraseñas, matrículas, números de tarjetas de crédito e información de cuentas bancarias.
Los expedientes sobre los diferentes soldados, que van desde unas pocas hasta más de 200 páginas, han estado circulando en línea durante varios meses. Su existencia se hizo pública de nuevo recientemente y se compartieron con un grupo de periodistas de investigación internacionales, liderados por Paper Trail Media en asociación con Die Zeit y ZDF de Alemania, Der Standard de Austria y Haaretz.
Los informes se componían de una combinación de información que se filtró o se tomó de un hackeo, probablemente en los servidores de un sitio web que no pertenecía a las FDI, con información que también se extraía de las redes sociales, bases de datos públicas y de filtraciones anteriores. Se elaboraron utilizando una herramienta automática conocida como generador de perfiles, que permite recopilar, cruzar y fusionar información de fuentes abiertas (OSINT) para crear un «perfil» detallado sobre los objetivos de inteligencia. De esta manera, se recopiló información personal confidencial de miles de personas que sirven o sirvieron en varias bases de la IAF.
Después de años de hackeos respaldados por Irán y decenas de filtraciones derivadas de prácticas de seguridad cibernética de mala calidad, la web oscura y profunda está plagada de datos israelíes. Los informes ayudan a subrayar cómo tales filtraciones, generalmente tratadas como un problema de privacidad, pueden transformarse rápidamente en una amenaza para la seguridad nacional de Israel.
Muestra cómo la falta de aplicación de las normas de seguridad cibernética en diferentes organismos en Israel ha ayudado a Hamás a obtener información que puede exponer a miles de ciudadanos israelíes a una serie de amenazas diferentes, desde la venganza hasta la persecución y el doxxing, pasando por ser objeto de vigilancia de inteligencia avanzada, pasando por la exposición a amenazas legales en el extranjero, según varios expertos que hablaron con el grupo de periodistas de investigación.
- El jefe informático de las FDI dice que el sistema en la nube del ejército fue blanco de miles de millones de ataques cibernéticos durante la guerra
- La lección más aterradora de las imágenes de Hezbolá en las profundidades de Israel
- Operación de influencia israelí apunta a legisladores estadounidenses sobre Hamas-UNRWA
Una fuente de seguridad israelí confirmó que los informes fueron hechos por Hamás. Según Aymenn Al-Tamimi, un destacado experto en literatura y documentos yihadistas que evaluó los expedientes para los medios de comunicación de habla alemana, los documentos parecen auténticos y, en general, están en consonancia con otros materiales y lenguaje de Hamás.
La fuente de seguridad israelí, que no es experta en ciberseguridad o protección de datos, afirmó que los informes son «problemáticos y [pueden] causar incomodidad, pero [no son] peligrosos» para los soldados o Israel. Sin embargo, varias otras fuentes que hablaron con Haaretz no estuvieron de acuerdo y dijeron que los datos, que también incluyen información sobre soldados, conocidos y familiares, pueden usarse fácilmente para atacarlos u obtener más inteligencia y acceso a secretos.
«Hamás, Irán y Hezbolá quieren obtener la mayor cantidad de información posible. El público en Israel está constantemente expuesto a operaciones de influencia, y si se puede atacar a personas específicas, es aún más peligroso», dijo el coronel Dr. Gabi Siboni, experto en guerra cibernética.
Fuentes turbias
Los informes detallados se produjeron después del 7 de octubre, pero la información en bruto con la que se compilaron es más antigua. No está claro quién filtró los informes en línea, pero han estado disponibles en plataformas de piratas informáticos desde al menos diciembre. Parece que parte de la información fue tomada del Atid College, que fue víctima de un hackeo iraní en mayo pasado. En ese momento, este fue uno de los muchos hackeos contra un objetivo civil no sensible, y los piratas informáticos incluso intentaron vender los datos en línea. Desde entonces, ha habido decenas de casos similares.
Los propios informes parecen contener datos también tomados de otras fuentes, por ejemplo, detalles sobre vehículos, que pueden haber sido tomados del hackeo de la compañía de seguros Shirbit en 2020. Este hackeo también estaba vinculado a Irán, y aunque se hizo parecer un caso de cibercrimen, ahora se entiende que es una operación iraní destinada a recopilar inteligencia. La firma es la principal aseguradora de Israel y sus bases de datos contienen montones de información vinculada a funcionarios y empleados de alto nivel israelíes. También es posible que la información del registro de votantes israelí, que se filtró en línea como parte de las filtraciones de la aplicación Elector, también sirviera como fuente de datos para los informes.
Además, la información extraída de los sitios de redes sociales pareció ayudar a mapear las conexiones familiares y sociales de los diferentes objetivos. «Incluso si la información en sí no es sensible, es inquietante encontrar información sobre las familias de los soldados», dice Ari Ben Am, investigador de redes sociales.
Una fuente de seguridad confirmó que la fuente de parte de la información en los informes son hackeos antiguos, pero enfatizó que no se trata de un sistema de las FDI, sino de un «simple hackeo a un sistema civil».
Hackeos y filtraciones
El grupo de investigación le pidió a Ben Am, cofundador de Telemetry Data Labs, una empresa que rastrea las operaciones de hackeo y filtraciones e influencia de grupos antiisraelíes, que localizara la filtración original de los informes, antes de que llegaran a los periodistas.
Según él, a pesar de que los informes pueden haber sido preparados exclusivamente por o para Hamás, todo el evento parece ser una operación de «hackeo y filtración» por parte de Irán. Los informes se filtraron o publicaron por primera vez como repositorio en línea en diciembre de 2023, cerca de la fecha en que se crearon. Luego fueron distribuidos en línea en diferentes plataformas y sitios web por tres grupos de hackers diferentes. Más tarde, un supuesto grupo de hackers indonesios que se identificó como GenoSec también distribuyó los archivos, que finalmente también se compartieron con los periodistas después de ser indexados y archivados.
Los datos también fueron compartidos por un conocido grupo de piratas informáticos llamado Hunt3rKill3rs, que afirma ser un grupo de piratas informáticos ruso, pero se sospecha que en realidad es iraní debido a su idioma y enfoque en Israel.
«Mirando holísticamente esta operación, todas las señales apuntarían a Irán. Irán tiene una rica historia de llevar a cabo hackeos y filtraciones con un alto ritmo operativo y amplificarlos a través de grupos de fachada hacktivistas, incluida la utilización de dominios y entidades de Telegram para la amplificación», dice Ben Am.
«Esto también parece ser un caso de ‘piratería de percepción’, o la amplificación de un hackeo y filtración a pequeña escala u otra operación para que parezca más impactante que para infundir miedo en la población objetivo», dice, subrayando el creciente uso de operaciones cibernéticas con fines de influencia.
Haaretz y sus socios se pusieron en contacto con varias docenas de soldados cuyos detalles aparecieron en los informes. Parece que algunos de ellos ya habían sido advertidos por alguna fuente de seguridad sobre los informes. Otros se sorprendieron.
Los reporteros se enteraron de que Israel actuó para que los datos y la filtración se desconectaran, e incluso pudo haber logrado que se eliminara la filtración de Telegram, así como bloquear el acceso a algunas de las cuentas que los distribuyeron. Estos esfuerzos parecen contradecir las repetidas afirmaciones del establishment de seguridad de que estas filtraciones no representan una amenaza para Israel.
En el pasado, Hamás desarrolló varias aplicaciones, incluidas aplicaciones de citas, con el objetivo de recopilar información o incluso hackear a soldados israelíes, para extraerles información o para extraer inteligencia directamente de sus dispositivos móviles.
Los informes que se están revelando ahora proporcionan a quienes los poseen «un entorno rico en objetivos» para una variedad de ataques potenciales, desde el acoso hasta el terrorismo y la recopilación de inteligencia.
En el nivel más básico, incluso sin capacidades avanzadas de piratería, ahora es posible acceder a las redes sociales de los soldados mapeados en los informes, y recopilar valiosa inteligencia de código abierto que los soldados revelan por sí mismos, en parte sobre sus actividades en Gaza, por ejemplo, en publicaciones en las redes sociales. Investigaciones anteriores revelaron que la información recopilada por Hamás de las cuentas de los soldados en las redes sociales ayudó en el ataque del 7 de octubre.
Además, los informes pueden permitir que se lleven a cabo ataques selectivos de spear-phishing (estafas en línea dirigidas) contra soldados específicos: de acuerdo con la importancia de su papel en las FDI, detallada en los informes, estos funcionarios serán atacados específicamente.
En al menos un caso, el sitio web de la Fuerza Aérea proporcionó confirmación de la identidad de uno de los oficiales para los que se preparó un informe detallado, y un vínculo entre él y la actividad ofensiva en Gaza. Esto podría convertirlo en un objetivo para la recopilación de inteligencia o exponerlo a acciones legales en el extranjero.
El perfil completo producido sobre cada soldado permite llevar a cabo la «ingeniería social», es decir, hacer coincidir cada uno de los objetivos con contenido personalizado, lo que aumentará las posibilidades de éxito de un ataque dirigido. Por ejemplo, el enemigo puede enviar a un soldado al que le encanta navegar un mensaje aparentemente inocente sobre unas vacaciones de surf, que incluye un código malicioso para descargar spyware, o un correo electrónico que se hace pasar por un amigo o conocido del soldado. También es posible, por ejemplo, engañar a los padres del soldado e infectar su dispositivo con un espía, y a partir de ahí se rompe el camino en los grupos compartidos de WhatsApp.
Incluso si no se basa en un hackeo de alto nivel de los sistemas internos sensibles de las FDI, si los teléfonos o correos electrónicos de los soldados fueran hackeados con éxito, daría a los piratas informáticos acceso en tiempo real a las bases, lo que podría facilitar operaciones de inteligencia adicionales, por ejemplo, el mapeo de objetivos específicos de las FDI vinculados a bases o unidades específicas.
Siboni, quien investiga seguridad cibernética y nacional, agregó que «es importante dar a conocer esta filtración, expone el fenómeno y podemos esperar que algunos de nosotros estemos un poco más atentos».
«El hackeo y las filtraciones de ciudadanos israelíes han planteado durante mucho tiempo un riesgo discutido para los israelíes», conjeturó Ben Am. «Esta operación muestra que estas filtraciones parecen haber sido operacionalizadas por Hamas, Irán y/o grupos hacktivistas. Los datos publicados seguirán estando disponibles en línea para aquellos que los busquen para su explotación. Es muy posible que los israelíes que aparecen en las filtraciones sean atacados a corto y largo plazo sin la mitigación adecuada».
Según Dana Toren, jefe de la División de Operaciones de la Autoridad Cibernética Nacional de Israel, «las bases de datos israelíes a menudo son pirateadas a través del eslabón más débil de la cadena, ya sea a través de empresas de almacenamiento de terceros, una debilidad de seguridad o en empresas que no invierten en protecciones cibernéticas. El resultado es una colección de bases de datos que, cuando se toman en conjunto, en ciertas combinaciones, pueden pintar una imagen completa para el enemigo, sin mencionar la violación de la privacidad. Recomendamos a los ciudadanos que traten de reducir al mínimo la exposición de su información personal, bloqueen los perfiles de redes sociales en línea como privados y reduzcan la publicación de información personal, así como proteger las cámaras de sus hogares con una contraseña única».
Las FDI declararon en respuesta que han estado al tanto de los datos durante varios meses y se han ocupado de ellos: «Las FDI están operando contra la organización terrorista Hamas en todos los frentes y arenas. En los últimos años, varios intentos de Hamás de recopilar información sobre las FDI y sus soldados han sido frustrados».