Imágenes de algunos de los ciberataques de Noname057 contra España y la foto de uno de los integrantes españoles.
Así cayeron el ciberejército de Putin y sus 'minions' en España, el grupo que hackeó las webs de Interior y Moncloa el 23-J
España es el sexto país del mundo que más ciberataques ha recibido del grupo Noname057, la ciberbanda más poderosa al servicio de la inteligencia rusa.
Más información: Así es Enrique Arias Gil, el profesor y ciberterrorista de los hackers rusos en España buscado por la Policía
Las cuatro de la mañana es el mejor momento del día, según las valoraciones policiales, para actuar contra cualquier organización criminal. Las estadísticas de la Policía dicen que es la hora en la que hay más gente dormida en cualquier lugar del mundo. También en Rusia, donde se ocultaba la banda de hackers más poderosa al servicio de Vladímir Putin.
El pasado 15 de julio, en plena madrugada, los especialistas en ciberamenazas de la Comisaría General de Información (CGI) de la Policía Nacional estaban todos despiertos. Hacía dos años que esperaban ese momento.
Cuando se dio la señal, los investigadores lograron acceder al corazón operativo de Noname057, el colectivo de hackers más temible del planeta. La más poderosa ciberbanda que trabaja directamente para los servicios de inteligencia rusos.
En un movimiento simultáneo, más de 100 servidores de la organización fueron bloqueados, 42 de ellos en España.
Más de 4.000 personas relacionadas con esta banda recibieron el mismo mensaje en su ordenador: "No puedes esconderte de la ley. Tus manipuladores no te protegerán. Detente ahora antes de que sea demasiado tarde".
El aviso que los agentes difundieron tenía un destinatario muy concreto: los minions cibernéticos que la inteligencia rusa tiene diseminados por numerosos países.
Se trata de un término tomado del inglés —"súbditos" o "sirvientes"— que en el caso de NoName057 alude a miles de voluntarios que prestan sus ordenadores y sus conexiones para inflar la potencia de los ataques DDoS.
Una especie de enjambre digital distribuido por todo el planeta.
Esa misma noche, además de inutilizar esa colmena de colaboradores de la inteligencia próxima al Kremlin, los agentes efectuaron 24 registros en diferentes puntos de Europa, la mitad de ellos en España. También hubo 13 personas interrogadas, cinco de ellas en nuestro país.
El golpe policial propiciaba la desconexión total de los sistemas de este grupo, incluido gran parte de su servidor central.
Cómo funciona la red
Según revelan a EL ESPAÑOL fuentes de la investigación, se estima que la red llegó a contar con más de 4.000 miembros reclutados por una red de mensajería y otros más de 1.000 simpatizantes.
Esta era la organización responsable de "múltiples ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas" en toda Europa.
Imagen propagandística de los hackers.
Noname057 llevaba años lanzando ataques masivos para tumbar páginas web gubernamentales en España. En julio de 2023, el domingo de las elecciones generales del 23-J, NoName057 hackeó la web del Ministerio del Interior, la página de Moncloa, la del Instituto Nacional de Estadística (INE), la web de Correos y la de la Junta Electoral Central, entre otras instituciones.
Días más tarde lanzó un nuevo golpe con la intención de colapsar páginas web de numerosos medios de comunicación, entre ellas la de este diario.
Un mes atrás, en junio de 2023, el mismo grupo tumbó la web de Puertos del Estado con una agresión de similares características.
Según fuentes de la Seguridad Nacional, este grupo también actuó en febrero de 2024 aprovechando las protestas de los agricultores en toda España. La ciberbanda asociada a Putin colapsó las páginas web de cinco Parlamentos autonómicos y la del Gobierno regional de Murcia.
El pasado verano, tras una operación de la Guardia Civil en la que fueron arrestados tres de sus miembros, emprendieron las represalias, lanzando un ciberataque contra distintas infraestructuras españolas en internet.
Tras años siguiéndoles el rastro, la Policía Nacional tomó la determinación de asestar el golpe definitivo en la raíz de la organización.
El grupo no es nuevo. Nació en marzo de 2022, en paralelo a la invasión rusa de Ucrania, y desde entonces se ha convertido en la pesadilla recurrente de los sistemas digitales europeos.
Dos meses más tarde de esa operación simultánea, los jefes de la investigación repasan con EL ESPAÑOL la investigación en uno de los edificios del Complejo Policial de Canillas.
Tanto los agentes como la unidad que protagonizaron estas pesquisas prefieren mantenerse en el anonimato.
Dicen los especialistas de la CGI que, desde su creación, este grupo había lanzado 500 oleadas de ataques solo en España. En su manifiesto fundacional, señalaba que su objetivo era el de atacar "proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales".
Lo lograban coordinando a ciberatacantes de todo el planeta para perpetrar ataques de denegación de servicio. El envío masivo de tráfico a una web para provocar su colapso.
El sexto país más atacado
Por su influencia en el mundo hispano, por su situación estratégica, Rusia tiene a España como uno de sus objetivos prioritarios a la hora de lanzar oleadas de ciberataques en Occidente.
Los expertos en la lucha contra estas ciberamenazas que han puesto en riesgo en numerosas ocasiones la seguridad nacional explican que, desde que se fundó esta ciberbanda a sueldo de Moscú, nuestro país ha sido el sexto país del mundo más atacado por la inteligencia rusa.
Según los datos que manejan en la Policía Nacional, conocidos por este periódico, Noname057 ha efectuado desde febrero de 2022 un total de 1.113 oleadas de ataques en todo el planeta contra distintos países.
El ránking lo lidera Alemania (21%), seguido de Ucrania (17%), Lituania (8,4%), Francia (7,7%), México (6.9%) y España (4,6%), en sexto lugar. Ese 4,6% supone un total de 52 oleadas de ciberataques a infraestructuras críticas por parte de esta organización criminal en apenas tres años contra España.
"La mayoría de los ataques que han hecho contra nosotros se han producido en el último año. Por tanto, en los últimos tiempos está incrementándose el interés que tiene Rusia en España", señala uno de los investigadores.
Uno de los investigadores, durante la operación.
Las primeras detenciones de esta operación se produjeron hace un año: tres españoles en Manacor, Huelva y Sevilla. En esta operación cayó otro en Zaragoza.
Al mismo tiempo, fueron identificadas decenas de los ya mencionados minions, por su presunta culpabilidad en amplificar la potencia de los ciberataques de la inteligencia rusa contra España.
Y al margen de esa tropa de base, la Policía apunta a un español con un papel mucho más relevante como dirigente, reclutador y propagandista.
Contra él pesa ya una orden internacional de busca y captura dictada por el juez de la Audiencia Nacional, Francisco de Jorge. Se le acusa de un delito de sabotaje con finalidad terrorista.
Fugados de la Justicia
Su nombre, Enrique Arias Gil, 37 años, nacido el 20 de marzo de 1988. Sabe español, inglés y ruso. Su cara ya se encuentra en la lista de los Most Wanted de Europol a nivel internacional.
Este analista había conseguido inocular su mensaje en diversos espacios de relevancia en España. Entre ellos, en el Instituto de Estudios Estratégicos del CESEDEN. Además, utilizaba el alias Desinformador Ruso, que era el nombre que utilizaba también en el canal que gestionaba en Telegram. Desde ese altavoz, ante más de 11.000 usuarios, esparcía toda clase de propaganda contra España.
![Hackers afines al Kremlin atacan a 6 autonomías apovechando la tractorada de los agricultores](["https:\/\/s3.elespanol.com\/2024\/02\/06\/espana\/830677888_239727634_320x180.jpg"])
Ahora se encuentra fugado en Rusia, donde le sitúan las autoridades españolas consultadas por EL ESPAÑOL. No era un mero peón: es la prueba de que la guerra digital del Kremlin tiene también raíces en España.
La cúpula, en cualquier caso, sigue teniendo ADN ruso. Seis individuos, de los cuales ninguno cuenta con antecedentes; todos se encuentran ocultos en Moscú, por lo que su extradición, a día de hoy, resulta una quimera.
El arma clave del grupo es DDoSia, un software diseñado para que cualquier minion pueda participar en la ofensiva desde su casa. Lo distribuían en canales de Telegram, junto con listas de objetivos y tutoriales. Recompensaban con pequeñas cantidades en criptomonedas, convertían la guerra digital en un juego con logros y rankings, seducían a jóvenes con dinámicas propias de un videojuego.
En paralelo, sellaban alianzas con otros grupos de hackers para lanzar campañas conjuntas contra países occidentales.
Los especialistas policiales en ciberamenazas contra la seguridad nacional supieron que habían perpetrado un duro golpe a esta organización al comprobar que pasaban los días y Noname057 no daba señales de vida. Habían desbaratado su sala de máquinas oculta en Rusia, con una operación en remoto desde Madrid. Lo supieron al comprobar que tardaron más de una semana en responder.
La Policía Nacional, en colaboración con el Centro Criptológico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI), junto a investigadores europeos, bautizaron esta investigación para ellos histórica como Operación Eastwood. Le otorgaron ese nombre en honor al "Hombre sin nombre", el personaje de Clint Eastwood en los tres western que protagonizó dirigido por Sergio Leone: Por un puñado de dólares, La muerte tenía un precio y El bueno, el feo y el malo.
