Una operación internacional desmantela la infraestructura de los ‘hackers’ prorrusos que atacaron España por el apoyo a Ucrania

Una macrooperación policial conjunta en la que han participado policías de 10 países europeos, entre ellas la Policía Nacional española, y de EE UU, y que ha contado con el apoyo de las autoridades de otros siete estados, ha permitido desmantelar la infraestructura del grupo de piratas informáticos o hackers denominado NoName057(16) cercano al régimen de Vladímir Putin, según ha informado este miércoles la Agencia de la Unión Europea para la Cooperación Policial (Europol). NoName057(16) surgió en marzo de 2022, recién iniciada la invasión rusa de Ucrania, y desde entonces ha reivindicado numerosas campañas de sabotaje a países que han dado su apoyo al Gobierno de Kiev. Entre los países más afectados está España, donde han realizado más de 500 ciberataques, parte de ellos durante las elecciones generales del 23 de julio de 2023.

Según ha detallado Europol, la bautizada como Operación Eastwood se inició el pasado lunes y se ha saldado hasta ahora con dos detenciones y siete órdenes internacionales de búsqueda y captura, entre ellos las de los dos supuestos instigadores del grupo, ambos de nacionalidad rusa, que han pasado a engrosar la lista de los más buscados en la UE. Además, se han realizado 24 registros domiciliarios (la mitad de ellos en España, donde se ha producido un arresto), se ha interrogado a 13 personas por su presunta implicación en los hechos (cinco de ellos en España) y se ha localizado a más de 1.000 simpatizantes del grupo, a los que se les ha comunicado que se enfrenta a responsabilidades penales por su supuesto apoyo a los ataques.

Europol destaca que el operativo ha permitido bloquear más de 100 servidores informáticos usados por el grupo y, con ello, se ha dejado “fuera de línea” gran parte de su “infraestructura principal”. En España, los agentes de la Comisaría General de Información (CGI) de la Policía Nacional, en colaboración con el Centro Criptológico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI), han inhabilitado el acceso a 42 servidores virtuales utilizados por la organización. Además, han bloqueado varios servicios de almacenamiento en la nube y se han incautado un monedero digital con criptoactivos, utilizado presuntamente para financiar la infraestructura informática del grupo.

NoName057(16) es el grupo más activo y beligerante de hackers prorrusos. En el manifiesto fundacional, sus creadores aseguraban que su objetivo era actuar “proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales”. Su principal actividad es coordinar a ciberactivistas afines para lanzar de manera coordinada ataques informáticos de los denominados Denegación de Servicios Distribuida (DDoS, por sus siglas en inglés). Es decir, el envío masivo de tráfico a una página web con el objetivo de colapsarla y que no pueda sea accesible para el resto de internautas.

Para ello, este grupo afín al Kremlin desarrolló un software propio, bautizado como DDoSia, que ha puesto a disposición de aquellos hackers que apoyen los fines del grupo. Los ataques de denegación de servicios, más allá del daño reputacional que causa al revelar la vulnerabilidad de una web, no son especialmente graves, según señalan los expertos. Lo más habitual es que las páginas afectadas vuelven a estar operativas en la misma jornada de los ataques. En julio del año pasado, la Guardia Civil ya detuvo a tres hombres de nacionalidad española en la localidad mallorquina de Manacor, y en las andaluzas de Huelva y Sevilla por su presunta participación en varios ciberataques reivindicados por NoName057(16).

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), identificó, en su informe Ciberamenazas y Tendencias 2023, a NoName057(16) como el grupo autor del ciberataque lanzado el 14 de octubre de 2022 contra la página web del Ministerio de Defensa. A NoName057(16) se le atribuye también haber intentado tumbar la web del Ministerio del Interior durante la jornada de las elecciones generales del 23 de julio de 2023. En realidad, esta tuvo problemas puntuales durante tres horas aquella tarde, aunque no llegó a afectar en ningún momento a la página especial abierta por el departamento de Fernando Grande-Marlaska para informar en tiempo real del escrutinio de las elecciones.

Aquel día, también sufrieron ataques las webs del Palacio de la Moncloa, el Instituto Nacional de Estadística (INE), Renfe, la Junta Electoral Central, la Casa Real o la Corte de Arbitraje de Madrid, aunque en realidad estuvieron operativas en su mayoría. Sí sufrieron problemas la del Consorcio de Transporte de la Comunidad de Madrid y la de los autobuses turísticos de las capital de España, así como la empresa Sociobus, de venta de billetes de autobús. NoName057(16) difundió entonces un comunicado en el que aseguraron que estos ataques eran la respuesta del apoyo español a Ucrania y, en concreto, al anuncio días antes del envío de carros de combate al Ejército de Kiev. “No nos importa si la derecha o la izquierda llegan al poder en este país hoy [por el 23-J]: ambos lados se adhieren a una posición proeuropea”, afirmaban en una nota en inglés.

En 2023 y 2024, la red delictiva participó en ataques contra las autoridades suecas y entidades bancarias de este país. Además, Alemania ha sufrido 14 oleadas de ataques contra más de 250 empresas e instituciones. En Suiza también perpetraron múltiples ciberataques en junio de 2023, coincidiendo con la intervención por videoconferencia de Volodímir Zelenski ante el parlamento de este país; y en junio de 2024 durante la Cumbre de Paz para Ucrania en Bürgenstock. Recientemente, Países Bajos ha notificado un ataque vinculado a esta red durante la última cumbre de la OTAN celebrada en este país.