Un lugarteniente y decenas de ‘minions’ españoles en el ciberejército de Putin

“No puedes esconderte de la ley. Tus manipuladores no te protegerán. Detente ahora antes de que sea demasiado tarde”. Más de 4.000 personas repartidas por todo el mundo se encontraron el pasado martes al encender sus ordenadores este mensaje escrito en inglés. Las policías de una docena de países, entre ellos España, habían lanzado ese día la Operación Eastwood para desmantelar la infraestructura del grupo de piratas informáticos o hackers autodenominado NoName057(16), un entramado cercano al régimen de Vladímir Putin que desde que surgió en marzo de 2022, recién iniciada la invasión rusa de Ucrania, había reivindicado numerosas campañas de sabotaje informático a estados que habían mostrado su apoyo al Gobierno de Kiev. El operativo incluía, precisamente, hacer llegar este mensaje a los que en la jerga policial se conoce como minions (término inglés que significa “súbdito” o “sirviente”, y que se ha popularizado por los personajes de un película infantil), individuos que presuntamente habían prestado de manera voluntaria sus ordenadores y conexiones a internet a esta red prorrusa para lanzar sus ciberataques.

La investigación, en la que ha tenido una participación relevante la Comisaría General de Información (CGI) de la Policía Nacional, ha desvelado que “varias decenas” de esos miles de minions, a los que aún no se la logrado identificar, residen en España. A ellos se suman, como parte de la conexión española de este particular ejército de hackers amparados por el Kremlin, una persona que fue detenida el pasado martes en Zaragoza y otras tres que, hace un año, fueron arrestadas en la localidad mallorquina de Manacor, y en Huelva y Sevilla.

Aunque lo que más preocupa a los responsables de la investigación es la implicación de otro español, en este caso como presunto dirigente del grupo de piratas informáticos, al que la Policía le atribuye un papel destacado “como reclutador y propagandista” de la organización. El juez de la Audiencia Nacional Francisco de Jorge ha dictado ya una orden internacional de busca y captura contra él, cuya identidad aún no ha transcendido. Se le acusa de un delito de sabotaje con finalidad terrorista.

La policía sitúa a esta persona en Rusia, junto a los otros seis presuntos integrantes de la cúpula de NoName057, ninguno fichado policialmente hasta ahora. El supuesto líder del grupo es Mihail Evgeyevich Burlakoz, que usa en internet los alias Darkklogo y Ddosator3000. De nacionalidad rusa y 38 años, los investigadores lo consideran “miembro clave” de la red por su papel tanto en el desarrollo del programa utilizado para lanzar los ciberataques como en la elección de los objetivos y la realización de pagos. Junto a él se sitúa Olga Evstratova, que usa los seudónimos Olechochek y Olenka. De 21 años y también de origen ruso, está acusada por la justicia alemana, que es la que ha dictado su orden de arresto, de haber participado en la mejora del software.

Junto a ellos están Andrey Muravyov, Maxim Nikolaevich Lupin y Andrej Stanislavovich Avrosimow, todos nacidos en Rusia y con edades comprendidas entre los 36 y los 48 años. El ciudadano español y una séptima persona, cuya identidad tampoco ha transcendido y cuya captura han pedido las autoridades de Berlín, completan la cúpula de la organización. El hecho de que todos ellos estén supuestamente ocultos en Rusia ―“hay indicios de que podrían estar en Moscú”, detalla la Agencia de la Unión Europea para la Cooperación Policial (Europol) al referirse a ellos en el listado de los más buscados en los que los ha incluido a los cinco de los que se ha facilitado su identidad― convierten en misión prácticamente imposible su detención, destacan fuentes cercanas a la investigación.

No obstante, la Operación Eastwood es considerada un gran éxito policial al haber dejado muy tocada la infraestructura de NoName057 al bloquear más de 100 servidores informáticos que usaba el grupo. En España, la Policía Nacional, en colaboración con el Centro Criptológico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI), han inhabilitado el acceso a 42. En 25 se ha logrado descargar la información que contenían sobre el grupo ―“muy valiosa”, según fuentes conocedoras de las pesquisas― y eliminar los datos en otros ocho. Además, los agentes españoles han bloqueado varios servicios de almacenamiento en la nube y se han incautado de un monedero digital utilizado presuntamente para financiar la infraestructura informática del grupo, aunque ya estaba en desuso y solo contenía el equivalente a 150 euros. Los agentes también han hecho tres registros en Madrid, uno en Zaragoza y uno más en Barcelona, además de interrogar como investigados en cinco personas.

Fuentes cercanas a la investigación recalcan que NoName057 es el grupo más activo y beligerante de hackers prorrusos. En el manifiesto fundacional, sus creadores aseguraban que su objetivo era actuar “proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales”. Su principal actividad es coordinar a ciberactivistas afines para lanzar de manera coordinada ataques informáticos de los denominados Denegación de Servicios Distribuida (DDoS, por sus siglas en inglés). Es decir, el envío masivo de tráfico a una página web con el objetivo de colapsarla y que no pueda ser accesible para el resto de internautas. Estos ataques, más allá del daño reputacional que causa al revelar la vulnerabilidad de una web, no son especialmente graves, según señalan los expertos. Lo habitual es que las páginas afectadas vuelven a estar operativas en la misma jornada.

Para perpetrarlos, este grupo había desarrollado un software propio, bautizado como DDoSia, que ha puesto a disposición de los minions a través de diferentes canales de la aplicación de mensajería Telegram en los que, además de publicar sus ataques, reclutaba nuevos “súbditos”. En muchos casos, NoName057 fidelizaba a estos colaboradores con recompensas, que a veces incluían pequeños pagos en criptomonedas de unos 50 o 100 euros al cambio. “Utilizaba también elementos y mecánicas de juego para atraer a los más jóvenes”, destacan las fuentes consultadas. También había forjado alianzas con otros grupos de hacker para fijar objetivos y coordinarse al lanzar sus ataques.

Estas mismas fuentes destacan que en España este grupo ha lanzado desde su creación más de 500 oleadas de ciberataques. La primera, el 14 de octubre de 2022. La última, en mayo pasado. Muchas de ellas, ligadas a acontecimientos o hechos puntuales. Así, el 4 de abril de 2023 lanzó una campaña contra los sistemas informáticos del Puerto de Cartagena y otras instalaciones portuarias españoles con la excusa de un supuesto episodio de “represión” que habían sufrido marineros rusos en España. Más amplia fue la que lanzó el 23 de julio de ese mismo año, día de las últimas elecciones generales, cuando intentó tumbar la web del Ministerio del Interior.

No lo lograron, aunque provocaron problemas puntuales durante tres horas aquella tarde que, sin embargo, no llegaron a afectar en ningún momento a la página especial en la que se informaba en tiempo real del escrutinio de los comicios. “No nos importa si la derecha o la izquierda llegan al poder en este país hoy [por el 23-J]: ambos lados se adhieren a una posición proeuropea”, afirmó entonces el grupo en una nota en inglés. Aquel día, también sufrieron ataques las webs del Palacio de la Moncloa, el Instituto Nacional de Estadística (INE), Renfe, la Junta Electoral Central, la Casa Real o la Corte de Arbitraje de Madrid, entre otras.

NoName057 también lanzó ataques a las páginas webs de organismos públicos en febrero de 2024, coincidiendo con unas protestas del sector agrario; el 27 de mayo del mismo año coincidiendo con la visita a España del presidente ucraniano, Volodimir Zelenski; o durante la jornada de las elecciones europeas del 9 de junio del año pasado.