Un operativo internacional ha logrado desmantelar la infraestructura de la red prorrusa 'NoName057(16)', un grupo de hackers prorrusos que se centraba en atacar infraestructuras críticas de Ucrania y de países que apoyan a Kiev, entre ellos España.
Las agencias Europol y Eurojust han anunciado este miércoles que se han arrestado a dos personas, una de ellas en España y otra en Francia. Además, hay una orden de arresto emitida por las autoridades españolas y otras seis por parte de las alemanas.
Se trata de la segunda parte de la 'Operación Grizzlie' que llevó a cabo la Guardia Civil el pasado verano, saldada con la detención de tres hackers prorrusos que atacaron diferentes servicios informáticos del país "con fines terroristas" desde diferentes puntos del país, tal y como se contó en EL ESPAÑOL.
La infraestructura principal del grupo, que estaba compuesta por más de 100 sistemas informáticos en todo el mundo, ha quedado desconectada, incluido gran parte del servidor central.
Las autoridades realizaron 24 registros en diferentes países de Europa, la mitad de ellos en España. También hubo 13 personas interrogadas, cinco de ellas en el país.
La red, que se estima que ha llegado a contar con más de 4.000 miembros reclutados por una red de mensajería y otros más de 1.000 simpatizantes, es responsable de “múltiples ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas” en toda Europa, señala Eurojust.
Se entienden como infraestructuras críticas los proveedores de energía, el transporte público o las páginas institucionales.
Ataques en España
Atacaron principalmente a Ucrania, pero desplazaron su atención para atacar a países que apoyan a Kiev en su defensa contra la agresión rusa, entre ellos España.
En julio de 2024, este grupo de ciberdelincuentes prorrusos atacó varias instituciones y organismos españoles, entre ellos el Ministerio de Justicia y la Cámara de Comercio de Madrid.
Posteriormente, en marzo de 2025, 'NoName057(16)' reivindicó otros ciberataques realizados contra organismos nacionales como el Ministerio de Defensa o el Centro Criptológico Nacional (CCN). También las páginas webs de varios ayuntamientos y de medios de comunicación como Newtral.
Estos ataques se llevaron a cabo días después de que el presidente del Gobierno, Pedro Sánchez, anunciara un paquete de ayudas a Ucrania y reiterase el apoyo del Ejecutivo a este país.
Además, en 2023, esta red de hackers intentó atacar la página web de EL ESPAÑOL, una ciberagresión que los sistemas informáticos internos lograron frenar.
'NoName057(16)'
Las investigaciones de las autoridades nacionales identificaron a 'NoName057(16)' como una red criminal ideológica que ha manifestado su apoyo a la Federación Rusa en el contexto de la guerra de Ucrania.
"El grupo también ha difundido una fuerte retórica anti-OTAN y antiestadounidense”, explica la agencia de coordinación judicial.
“Desde el inicio de la guerra de agresión contra Ucrania (2022), NoName057(16) ha mostrado abiertamente su apoyo a Rusia y ha ejecutado múltiples ataques DDoS (inundar el tráfico de una web, saturando su capacidad y dejándola fuera de servicio) contra infraestructuras críticas durante eventos políticos de alto nivel".
Entre sus víctimas más recientes está Países Bajos, que fue atacado durante la cumbre de la OTAN a finales de junio, pero sin causar interrupciones importantes. Este grupo prorruso también ataques en toda Europa durante las elecciones europeas.
En Alemania, por ejemplo, se llevaron a cabo 14 ciberataques en los últimos años, algunos de varios días, afectando a unas 230 organizaciones, entre ellas fábricas de armas, proveedores eléctricos y entidades gubernamentales.
En Suecia, fueron blanco páginas web de autoridades y bancos; mientras que, en Suiza, los ataques coincidieron con un mensaje en video del presidente de Ucrania, Volodimir Zelenski, ante el Parlamento en junio de 2023 y con la Cumbre por la Paz de Ucrania en junio de 2024.
Se cree que la red construyó su propia botnet, robots informáticos, con “cientos de servidores en todo el mundo para aumentar el poder destructivo de sus ataques”, subraya Eurojust.
Las autoridades nacionales de cada país también contactaron a unos 1.100 seguidores del grupo, incluidos 17 administradores, enviándoles mensajes a través de una aplicación popular para informarles de las consecuencias legales que enfrentan según la legislación de cada país.
Los participantes en 'NoName057(16)' son mayoritariamente simpatizantes de habla rusa que utilizan herramientas automatizadas para llevar a cabo ataques DDoS, y actúan sin una jerarquía formal ni grandes habilidades técnicas, guiados por la ideología y posibles recompensas.