RHC Dark Lab : 12 noviembre 2025 16:14
Ghost Security, también conocido como GhostSec , es un grupo de hacktivistas que surgió en el contexto de la guerra cibernética contra el extremismo islámico. Sus primeras acciones se remontan a las secuelas del ataque a la redacción de Charlie Hebdo en enero de 2015. Se considera una rama del colectivo Anonymous, del cual se separó parcialmente más tarde. GhostSec se ha dado a conocer por sus ataques digitales contra sitios web, cuentas de redes sociales e infraestructura en línea utilizada por el ISIS para difundir propaganda y coordinar actividades terroristas.
El grupo afirma haber cerrado cientos de cuentas vinculadas al ISIS y haber ayudado a frustrar posibles ataques terroristas , colaborando activamente con las fuerzas del orden y los servicios de inteligencia. GhostSec también hackeó un sitio web del ISIS en la dark web, reemplazando la página con un anuncio de Prozac, una acción tanto simbólica como provocativa. El grupo promueve sus actividades mediante hashtags como #GhostSec , #GhostSecurity y #OpISIS .
En 2015, tras los atentados de París, Anonymous lanzó su mayor operación antiterrorista, y GhostSec desempeñó un papel clave en la batalla cibernética. Tras una mayor cooperación con las autoridades, parte del grupo decidió legitimarse formando Ghost Security Group , separándose de Anonymous. Sin embargo, algunos miembros que se opusieron a esta decisión conservaron el nombre original, «GhostSec», y continuaron su misión dentro de la red de Anonymous.
Con el tiempo, la actividad de GhostSec se extendió más allá del frente anti-ISIS. Con el estallido del conflicto entre Rusia y Ucrania, el grupo adoptó una postura clara a favor de Kiev. En julio de 2022, GhostSec se atribuyó la responsabilidad de un ataque contra la central hidroeléctrica de Gysinoozerskaya en Rusia, que provocó un incendio y la interrupción del suministro eléctrico. El grupo hizo hincapié en que el ataque se planeó para evitar bajas civiles , demostrando una ética operativa muy particular.
Red Hot Cyber solicitó recientemente una entrevista con GhostSec . Esta decisión se alinea con nuestra filosofía: para contrarrestar eficazmente las amenazas, es necesario conocer a los ciberdelincuentes . Solo escuchando lo que dicen —analizando sus métodos, motivaciones y objetivos— podremos fortalecer la ciberresiliencia de nuestra infraestructura crítica .
La voz de GhostSec, si se escucha con atención crítica, puede contribuir a enriquecer el debate sobre la ciberseguridad contemporánea , la ética del hacktivismo y el delicado equilibrio entre seguridad y legitimidad en la era de la guerra híbrida.
1 RHC – Hola, y gracias por darnos la oportunidad de entrevistarlos. En muchas de nuestras entrevistas con actores que representan una amenaza, solemos comenzar preguntando sobre el origen y el significado del nombre de su grupo. ¿Podría contarnos la historia detrás de su nombre?
GhostSec: Somos GhostSec. Nuestro nombre no dice mucho, salvo que evoca una época mucho más crítica de internet. Llevábamos activos desde 2014 con otro nombre, pero nuestro verdadero auge se produjo en 2015, durante nuestros ataques contra el ISIS, que causaron daños sin precedentes. Entre ellos, logramos detener dos ataques durante ese periodo.
2 RHC – Los conocimos en 2015 durante la operación #OpISIS, pero desde entonces su grupo ha sufrido diversas divisiones y conflictos internos. Hoy, en medio del hacktivismo, los ciberdelincuentes con fines de lucro y los actores patrocinados por estados, ¿sigue existiendo una forma de hacktivismo auténtico, libre de intereses económicos?
GhostSec: El hacktivismo ya no es gratuito como antes, ni conlleva ningún riesgo. Las cosas han cambiado y ahora se necesita dinero para financiar las operaciones de un hacktivista. El hacktivismo auténtico existe, pero siempre requerirá financiación: algunos hacktivistas la obtienen solicitando donaciones, otros vendiendo bases de datos y otros se centran en proyectos de mayor envergadura. En algún momento, nosotros también tuvimos que cometer delitos cibernéticos para obtener beneficios y seguir financiando nuestras operaciones. Así pues, en medio de todo este caos, la respuesta es sí: el hacktivismo real y los hacktivistas reales siguen existiendo, incluidos nosotros, aunque está claro que el dinero también mueve el mundo. Y el poder sin dinero no será tan efectivo.
3 RHC – Nos sorprendió bastante que una empresa italiana encargara a un grupo de hacktivistas un ataque contra un gobierno. ¿Les ha ocurrido alguna vez que empresas privadas se hayan puesto en contacto con ustedes para atacar a otras organizaciones o entidades gubernamentales?
GhostSec: Esa fue la primera vez, pero no la última. Sin revelar demasiado, los hacktivistas podemos elegir qué aceptamos, y si se alinea con nuestras motivaciones y nos beneficia, además de que recibimos una compensación económica, siempre es positivo. Para que quede claro, se trataba de una empresa privada, pero sabemos que tiene vínculos con el gobierno.
4 RHC – ¿Qué tan extendida está la práctica de que las empresas privadas encarguen ciberataques a grupos de hackers?
GhostSec: Hoy en día, a medida que todo se vuelve más tecnológico y las antiguas formas de hacer las cosas desaparecen, supongo que será más común que no solo las entidades gubernamentales, sino también las empresas corruptas intenten eliminar la competencia, o que surjan conceptos similares.
5 RHC – En su opinión, ¿dónde está el límite entre el hackeo como acto de protesta política y el hackeo como delito? ¿Cómo cree que sus acciones encajan en la sociedad?
GhostSec: Los hacktivistas pueden hacer mucho más que ataques DDoS y vandalismo para manifestarse. La línea se traza cuando personas inocentes se ven involucradas o perjudicadas por ataques continuos; por ejemplo, si un hacktivista comete fraude con tarjetas de crédito o algo similar, se considera simplemente un delito cibernético. Nuestras acciones y las de otros hacktivistas son necesarias para la sociedad, pero, en lo que a nosotros respecta, nuestros ataques van mucho más allá de simples ataques DDoS o vandalismo. Nuestras diversas brechas de seguridad, ataques a sistemas SCADA/OT y demás tienen un impacto en el mundo y en situaciones actuales. Creemos que nuestra expansión y la aceptación de posibles contratos que se alinean con nuestra agenda y motivaciones no son incorrectas y solo generan un impacto aún mayor en el mundo, además de obtener algunos beneficios económicos.
6 RHC – Su grupo ha estado particularmente activo en la focalización de entornos SCADA e ICS.
Desde la perspectiva de CTI, ¿qué impulsa este enfoque estratégico? ¿Se eligen estos objetivos por su valor simbólico, su impacto operativo u otras razones?
GhostSec: Estos sistemas se eligen por su impacto y valor. Los sistemas OT y SCADA, cuando son atacados, tienen un impacto físico, por lo que, además de las brechas y divulgaciones típicas, revelar información con un impacto físico también resulta muy perjudicial para el objetivo.
7 RHC – Hemos observado un creciente interés en los sistemas ICS por parte de otros grupos de ciberdelincuentes como SECTOR16 y CYBER SHARK. ¿Considera que las infraestructuras ICS/OT están adecuadamente protegidas actualmente? Según nuestra evaluación, muchos de estos entornos son implementados y gestionados por integradores con escasa o nula formación en ciberseguridad, lo que crea importantes vulnerabilidades. ¿Cuál es su opinión?
GhostSec: No están adecuadamente protegidos, y tienes razón. Muchos se implementan y gestionan con muy poca atención a la seguridad, incluso después de un ataque. A menudo no se toman la seguridad en serio. Hay algunos casos en los que los dispositivos OT pueden protegerse y aislarse adecuadamente, pero en la mayoría de los casos, y lo más común, son fáciles de encontrar e incluso más fáciles de vulnerar.
8 RHC – Hemos observado un creciente interés en los sistemas de vigilancia y la infraestructura de videovigilancia. ¿Podría explicar las motivaciones para centrarse en las tecnologías de CCTV o VMS? ¿Se trata de visibilidad, control o de transmitir un mensaje?
GhostSec: En lo que respecta a un país que no está en guerra, personalmente no le veo el sentido, más allá de que resulta un poco inquietante. Pero si, por ejemplo, pudiéramos acceder a la infraestructura de videovigilancia o CCTV en Israel, o en zonas específicas de Líbano, Siria, Yemen y otros países devastados por la guerra, podríamos obtener imágenes en directo de posibles pruebas. Ese sí sería un caso de uso real. Otro ejemplo sería si un atacante estuviera hackeando un objetivo y quisiera ver la reacción u obtener imágenes en tiempo real del ataque. Jaja, tener una transmisión de vídeo sería genial.
9 RHC – ¿Considera su grupo también los sistemas de videovigilancia (como las plataformas CCTV y VMS) como objetivos válidos, o prefiere evitarlos en general? ¿Existe alguna razón operativa o ética específica detrás de esta elección?
GhostSec: Como ya se mencionó, solemos evitarlos a menos que sean necesarios o útiles para la operación en la que trabajamos. Si la videovigilancia es para una casa o negocio y se deja abierta accidentalmente, su uso es completamente inútil. No tiene ninguna utilidad real.
10 RHC – Retomando el tema tratado en la entrevista con DarkCTI: ¿estaría dispuesto a compartir más detalles sobre lo ocurrido con la empresa italiana que supuestamente encargó los ataques contra Macedonia del Norte y, posteriormente, contra un objetivo en Cerdeña? ¿Siguen las negociaciones en curso o la empresa se ha negado rotundamente a pagar por los servicios prestados? Cualquier información adicional que pudiera aportar sería de gran valor para comprender las implicaciones de estas operaciones.
GhostSec: Pronto compartiremos más detalles en nuestro canal de Telegram sobre lo sucedido, y esta vez hablaremos de los nombres involucrados y más. No hubo negociaciones; intentamos negociar y dialogar, pero en algún momento dejaron de respondernos, lo cual es irónico, lo sabemos, e incluso después de advertencias, continuaron ignorándonos, lo que nos llevó a la publicación que hicimos. Esta empresa nos contrató inicialmente para realizar algunos cambios en MK, lo cual fue para mejor para el país. Luego hicimos trabajo de defensa, y después de un tiempo, el Ministerio de Defensa y el Ministerio del Interior en MK nos solicitaron que comenzáramos a abordar diversos asuntos. La empresa italiana también nos contrató para tratar con una empresa en Cerdeña que suponemos era competidora, aunque nos gustaría decir que esta empresa se lo merecía, dado que estaba involucrada en varios asuntos turbios, incluyendo operaciones en Oriente Medio y Europa, y tenía operaciones directamente en Italia.
11 RHC – En cierto momento de la historia de GhostSec, se produjo una escisión importante: algunos miembros se unieron al Ghost Security Group, alineándose con operaciones éticas e incluso colaborando con agencias gubernamentales, mientras que otros se mantuvieron fieles a su camino original, continuando con sus actividades maliciosas. ¿Podría contarnos más sobre esta escisión? ¿Cuáles fueron las principales motivaciones y cómo influyó en la identidad y la estrategia del grupo en la actualidad?
GhostSec: La escisión no tuvo otra motivación clave que el intento del gobierno estadounidense de arruinarnos o convertirnos en sus activos. Poco más se puede decir sobre las motivaciones de quienes se unieron, lo cual es comprensible, y quienes nos quedamos no queríamos estar atados como perros: buscamos nuestra libertad y satisfacción en nuestro arte del hackeo. Gracias a la escisión y a nuestra lealtad, pudimos crecer aún más, sin ataduras, con total libertad de elección, y fuimos más allá de la simple caza de terroristas.
12 RHC – ¿Qué futuro ve para el modelo de Ransomware como Servicio (RaaS)?
El número de víctimas sigue aumentando —por ejemplo, solo en Italia se han confirmado 71 víctimas de ransomware desde principios de 2025—, pero el número de rescates pagados parece ser bastante bajo. En su opinión, ¿cómo se adaptarán los ciberdelincuentes a esta situación? ¿Prevé nuevas estrategias de monetización o un cambio de táctica para aumentar la presión sobre las víctimas?
GhostSec: En última instancia, si cada vez menos personas pagan, tendrán que cambiar por completo su estrategia de monetización. Si bien algunos grupos seguirán utilizando ransomware, dado que existe desde hace mucho tiempo, quienes lo hagan podrían encontrar nuevas formas de aumentar la presión. Mientras tanto, la mayoría se decantará por otras estrategias de monetización en función de las tendencias actuales.
13 RHC – Si tuviera que aconsejar a una empresa sobre por dónde empezar para hacerse resistente a los ciberataques como el suyo, ¿qué recomendaría?
GhostSec: Un presupuesto para ciberseguridad es un excelente punto de partida, pero va mucho más allá. Un presupuesto para la capacitación de los empleados es fundamental para comprender y prevenir los ataques de ingeniería social. Por ejemplo, un presupuesto para pruebas de penetración trimestrales es excelente, ya que cada trimestre proporcionará una auditoría de seguridad integral. Estos son algunos de los requisitos para garantizar una mayor resiliencia.
14 RHC – Muchos grupos se autodenominan hacktivistas, pero a menudo resultan estar trabajando para gobiernos o con fines lucrativos. En su opinión, ¿qué criterios distinguen realmente a un hacktivista de un ciberdelincuente o un mercenario digital?
GhostSec: A menudo se nota que un hacktivista siente verdadera pasión por su trabajo y el impacto que genera. Se refleja en su forma de trabajar, hablar, publicar y presentarse. Mientras que los ciberdelincuentes o mercenarios solo se centran en ganar dinero, no se percibe en ellos la misma pasión. Puede que les apasione el arte del hacking, pero es necesario percibir una pasión genuina por el cambio y el impacto que provocan.
15 RHC – ¿Cuál es la principal motivación que te impulsa? ¿Es el deseo de impacto, reconocimiento o ideología?
GhostSec: Creemos en ser la voz de quienes no la tienen, actuar por quienes no pueden hacerlo e inspirar a quienes tienen demasiado miedo para actuar. Defendemos algo. Creemos en hacer del mundo un lugar mejor, y nuestras acciones, nuestras publicaciones y todo lo que representamos están alineados con esta convicción.
16 RHC – ¿Cómo se seleccionan los nuevos miembros dentro de GhostSec? ¿Existen criterios éticos, técnicos o geográficos?
GhostSec: Obviamente existen criterios éticos y técnicos, aunque nada está restringido geográficamente.
17 RHC – A lo largo de los años, la imagen pública de grupos como el suyo se ha visto influenciada por artículos, análisis OSINT, informes de CTI y la cobertura mediática. En muchos casos, la línea entre la realidad técnica y la percepción pública se difumina, lo que suele generar representaciones sesgadas o distorsionadas. En su opinión, ¿qué papel desempeñan los medios de comunicación y la comunidad de ciberseguridad en la construcción de su imagen pública? ¿Se identifica con lo que se dice o considera que la narrativa externa ha tergiversado o manipulado su identidad?
GhostSec: Comparten sus opiniones y creencias sobre lo que está sucediendo o el tema del que hablan, y por supuesto, tienen derecho a expresar lo que sienten y creen. A veces creo que tienen razón, a veces siento que nos están malinterpretando, aunque, al fin y al cabo, así son los medios; depende totalmente de la fuente y de lo que crean y digan.
18 RHC – Muchas gracias por la entrevista. Realizamos estas conversaciones para ayudar a nuestros lectores a comprender que la ciberseguridad es un campo altamente técnico y que, para ganar la lucha contra el cibercrimen, debemos ser más fuertes que ustedes, quienes, como bien se sabe, suelen ir un paso por delante de todos. ¿Hay algo que le gustaría decir a nuestros lectores o a las posibles víctimas de sus operaciones?
GhostSec: A todos los que leen esto, gracias de parte de GhostSec. Y a quienes se toman en serio su seguridad, empiecen a pensar como un atacante, inviertan en su presupuesto y tómenlo en serio. No subestimen a los atacantes. A quienes piensan que es imposible estar a la vanguardia o alcanzar sus metas, recuerden: ¡todo aquello en lo que creen es posible, siempre y cuando perseveren, pase lo que pase!
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
Un hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
