RHC Dark Lab : 11 julio 2025 07:36
En los últimos meses, dos inquietantes incidentes han sacudido a la opinión pública y al sector de la ciberseguridad en Italia. El primero afectó a un hospital italiano, vulnerado en su núcleo más sensible: videos de pacientes y quirófanos fueron publicados en línea, exponiendo no solo la inadecuación de los sistemas de protección, sino también la fragilidad de nuestra humanidad digital.
Otros incidentes han afectado a los sistemas SCADA de hoteles y otras infraestructuras, donde el acceso completo a instalaciones críticas fue obtenido por dos grupos: Overflame y Sector16.
Precisamente estos últimos, Sector16, son los protagonistas de nuestra entrevista exclusiva. Un nombre que hasta hace poco solo era conocido entre profesionales del sector, pero que hoy empieza a aparecer en los informes de las inteligencias cibernéticas europeas. Sus operaciones, caracterizadas por una precisión quirúrgica y un lenguaje comunicativo crudo y provocador, se inscriben en un nuevo paradigma de activismo digital, en el que la línea entre sabotaje, demostración de fuerza y crimen organizado es cada vez más delgada.
En esta conversación hemos tratado de comprender quiénes son, qué los motiva y hasta dónde están dispuestos a llegar. Lo que ha emergido es el retrato de un colectivo que no se limita a vulnerar sistemas, sino que busca lanzar mensajes, desafiar los límites de la ciberseguridad y –según ellos mismos– «poner en evidencia la podredumbre en el corazón de las infraestructuras digitales italianas».
RHC: El nombre «Sector16» tiene una connotación precisa: evoca un lenguaje técnico, casi militar, y sugiere un cierto grado de organización o visión estratégica. ¿Qué representa para vosotros este nombre? ¿Está vinculado a un lugar, a un concepto, a una provocación?
SECTOR16: En la película «Las colinas tienen ojos» se menciona un polígono militar abandonado llamado SECTOR 16. El nombre subraya la atmósfera de aislamiento y peligro en la que los personajes se enfrentan a diversas amenazas en este lugar sospechoso y abandonado.
RHC: ¿Qué os lleva a concentrar muchos de vuestros ataques precisamente en infraestructuras italianas? ¿Es una elección estratégica, simbólica o hay una motivación más personal detrás de esta constancia?
SECTOR16: La infraestructura italiana es la más vulnerable, por eso seguiremos atacándola hasta que sus sistemas estén protegidos por contraseñas robustas y métodos de autenticación fiables.
RHC: En muchos de vuestros ataques habéis apuntado a sistemas SCADA, dispositivos e instalaciones industriales que suelen ser ignorados por los grupos criminales tradicionales. ¿Qué os fascina de estos entornos y por qué parecen estar en el centro de vuestras campañas?
SECTOR16: Nos interesan los sistemas SCADA, porque antes de nosotros este sector no estaba muy desarrollado y tiene un impacto fundamental en las infraestructuras más importantes de todo el planeta, revistiendo en algunos casos una importancia crítica.
RHC: ¿Os consideráis hacktivistas movidos por un ideal, u operáis con otros fines? En resumen, ¿cómo os definís y qué distingue a Sector16 de un grupo de ciberdelincuentes comunes y tal vez con fines de lucro?
SECTOR16: No nos consideramos idealistas, no hay ideales, siempre habrá alguien mejor que tú. Por tanto, nos esforzamos por mejorar y aprender algo nuevo. Nos diferenciamos de los grupos ordinarios porque somos humanos, y lo hacemos no solo para dañar, sino también para contribuir a proteger el sistema con nuestros ataques ligeros.
RHC: El ataque a un hospital italiano tuvo un impacto humano y mediático muy fuerte, sobre todo por la publicación de los vídeos de los pacientes y de los quirófanos. Nos dijisteis en nuestros primeros contactos que no habíais vendido a otros delincuentes informáticos los datos que exfiltrasteis. ¿Cómo justificáis esta acción? ¿Hay un mensaje detrás o fue solo un medio para demostrar vuestras capacidades?
SECTOR16: El hospital en Italia fue descubierto por casualidad, no esperábamos que causara tal resonancia. No vendimos los datos a nadie, no hay ningún propósito financiero. Dejamos algunas de nuestras huellas para que los administradores pudieran eliminar la vulnerabilidad. Actualmente el servidor ya no responde, lo que significa que los administradores han eliminado la vulnerabilidad. No había una gran cantidad de datos en el servidor que pudiera transferirse a alguien, el descubrimiento principal se refería a las cámaras, no a los datos almacenados en ellas.
RHC: Con motivo del ataque al sistema SCADA de un hotel de lujo en Capri, colaborasteis con Overflame. ¿Fue una colaboración ocasional o formáis parte de una red más amplia de grupos con objetivos comunes?
SECTOR16: Esta no fue la única colaboración con Overflame y esperamos que no sea la última, también participaron en el ataque a la central hidroeléctrica en Francia y en varios otros ataques a sistemas SCADA.
RHC: ¿Existe una motivación ideológica o política que guíe vuestras acciones? ¿Os sentís parte de una lucha contra el sistema o actuáis según una ética personal?
SECTOR16: Nuestro grupo tiene convicciones políticas y un cierto patriotismo hacia nuestro país, un amor por él. Pero esto no está ligado a motivaciones ideológicas de naturaleza nacional o religiosa. Somos parte activa de la lucha contra el sistema criminal ucraniano y podemos aportar pequeños cambios a nuestro futuro y a nuestro presente.
RHC: Por la información recopilada parece que vuestras operaciones están planificadas hasta el más mínimo detalle. ¿Cuánto tiempo dedicáis a la fase de estudio y recopilación de información antes de llevar a cabo un ataque?
SECTOR16: De hecho, planificar un ataque puede llevar como máximo un día; la mayoría de las veces intentamos reflexionar sobre nuestras acciones, cuáles serán las consecuencias y cómo minimizarlas o aumentarlas.
RHC: Para vulnerar vuestros objetivos, ¿usáis herramientas ya públicas o preferís desarrollar exploits y herramientas personalizadas? ¿Cuánto importa la parte técnica en la afirmación de vuestra identidad?
SECTOR16: Utilizamos herramientas ya listas y conocidas para penetrar en los sistemas, pero también escribimos nuestros propios exploits. La parte técnica es muy importante, porque influye directamente en el éxito y en la cantidad de ataques.
RHC: ¿Cuál es vuestra opinión sobre la seguridad de las infraestructuras críticas italianas? Si tuvierais que dar una puntuación del 1 al 10, ¿qué tan difíciles de vulnerar son las infraestructuras italianas? En comparación con otros países europeos, ¿Italia es un objetivo fácil o simplemente descuidado?
SECTOR16: Evaluamos la seguridad de las infraestructuras críticas en Italia con un máximo de 3/10, porque han renunciado a la seguridad y ni siquiera son capaces de establecer contraseñas decentes para sus sistemas o incluso configurar una contraseña de sistema.
RHC: Una vez que obtenéis acceso a un sistema, ¿cuáles son vuestros objetivos principales? ¿Os interesa el simple acceso, la recopilación de datos, la demostración de un fallo sistémico, u otra cosa?
SECTOR16: Nos interesa el acceso al sistema en sí, lo que hay dentro y lo que se puede controlar. Cuanto más grande es el servidor, mejor para nosotros, porque significa que tenemos un acceso extenso y contenidos de calidad.
RHC: Según decís, habéis recibido varias ofertas para comprar los datos obtenidos en vuestro reciente ataque. La opinión pública no entiende bien el mercado detrás de acciones similares a la vuestra, ¿podéis decirnos qué tipo de ofertas (y cantidad de dinero) habéis recibido? ¿Cómo explicaríais la gravedad de la situación cuando datos sanitarios caen en manos de actores maliciosos?
SECTOR16: No vendemos datos a otros grupos, ya que no es nuestro trabajo, aunque en varias ocasiones se nos ha ofrecido comprar ciertos sistemas SCADA. No puedo proporcionar ejemplos específicos, ya que se trata de información confidencial y no queremos exponer a otros equipos.
RHC: ¿En el pasado habéis considerado monetizar vuestras habilidades mediante ransomware, extorsiones o venta de accesos, o el dinero no es uno de vuestros objetivos?
SECTOR16: Tenemos una actitud muy negativa hacia los ransomware. Creemos que violan cualquier forma de moralidad. Por poner un ejemplo simple: cuando obtuvimos acceso al ordenador del hospital italiano, podríamos haberlo cifrado, pero debido a nuestros principios y estándares morales, abandonamos la idea y simplemente nos limitamos a dejar una marca.
RHC: ¿Cómo seleccionáis vuestros objetivos? ¿Hay criterios precisos – simbólicos, estratégicos, geopolíticos – o es una cuestión de oportunidad y vulnerabilidad técnica?
SECTOR16: No hay criterios claros para los ataques. En su mayoría, la elección de los países a atacar se realiza de forma aleatoria y, como hemos notado, un gran porcentaje de sistemas SCADA encontrados son italianos o españoles. Todo depende del rango de direcciones IP.
RHC: ¿Sector16 es un grupo cerrado y estructurado o existe una red más fluida donde se pueden acoger nuevos miembros? ¿Cuál es vuestro modelo organizativo?
SECTOR16: Cualquiera que supere nuestra pequeña prueba puede intentar formar parte de SECTOR16. Lo importante es que la persona tenga ganas de trabajar y aprender algo nuevo. La experiencia es muy importante, porque influye en la cantidad de ataques.
RHC: Considerando el creciente impacto de vuestras acciones, ¿teméis ser identificados y perseguidos por las fuerzas del orden o os sentís seguros tras vuestro anonimato digital? Telegram en este periodo se está abriendo a las fuerzas del orden. ¿Cómo veis todo esto?
SECTOR16: Tememos directamente ser identificados, por eso tratamos de ocultar nuestra identidad de todas las formas posibles y planeamos abandonar Telegram en el futuro.
RHC: Si tuvierais la posibilidad de enviar un mensaje directo a los gobiernos o a la opinión pública, ¿qué os gustaría que comprendieran realmente sobre Sector16 y vuestras acciones?
SECTOR16: Queremos ayudar a la infraestructura de todo el planeta, pero para hacerlo es necesario lanzar una señal para que la gente pueda comprender el problema y, gracias a la experiencia, evitar errores similares. No diría que el problema de la protección VNC sea particularmente peligroso: simplemente basta con establecer contraseñas complejas y todo se soluciona.
RHC: Los blackhat siempre están por delante de los whitehat, ¡siempre vais un paso más adelante! ¿Por qué no ofrecer vuestras competencias con una compensación adecuada para aumentar la seguridad de los sistemas de las empresas y organizaciones?
SECTOR16: Ya estamos intentando mejorar la seguridad de los sistemas y de las organizaciones. No buscamos recompensas ni dinero de ningún tipo, estamos dispuestos a ayudar a los white hat y proporcionarles conocimientos valiosos en beneficio de nuestra sociedad.
RHC: Durante vuestras intrusiones, ¿qué importancia tiene la ingeniería social frente a la simple vulnerabilidad técnica? ¿Habéis recurrido alguna vez a empleados internos, phishing dirigido u otras técnicas de manipulación humana?
SECTOR16: La ingeniería social no desempeña casi ningún papel en nuestros ataques. Es el factor humano el que tiene un impacto. Actualmente no utilizamos insiders ni hacemos uso de phishing.
RHC: ¿Qué importancia tiene el compon ente de persistencia en vuestros ataques? ¿Os limitáis a un exploit puntual o construís accesos duraderos e invisibles en el tiempo?
SECTOR16: Algunos exploits los utilizamos durante meses, otros solo por unos pocos días. Naturalmente, la persistencia juega un papel fundamental en nuestro equipo.
RHC: Sector16, ¡gracias de nuevo por vuestro tiempo y vuestras valiosas respuestas a nuestros lectores! Os dejamos este último espacio para decir lo que queráis en total libertad.
SECTOR16: Cuida tu seguridad, usa contraseñas complejas y VPN seguras. Y recordad: «Destruimos el presente para un futuro mejor».
RHC: ¿Cuál es la contraseña italiana más simple que hayas encontrado?
SECTOR16: Una de las contraseñas más simples en un servidor italiano es 111111.
RHC: Dijiste que dejarías Telegram. ¿Podemos saber qué plataforma utilizarás?
SECTOR16: Estamos pensando en dejar Telegram por Jabber, pero el principal problema es el público, que es más amplio y accesible en Telegram.
Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...
Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...
Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...
Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...
La primera edición de la Olimpiada Internacional de Ciberseguridad finalizó en Singapur con un excelente resultado para Italia. Cuatro estudiantes italianos subieron al podio, ganando medall...
Para más información: [email protected]
