Ciberataques de Hackers Rusos: Desafíos y Respuestas de la Policía Nacional Española

En los últimos años, España ha sido un objetivo frecuente de ciberataques, muchos de ellos atribuidos a grupos de hackers prorrusos. Estos ataques no solo afectan a grandes instituciones y organismos gubernamentales, sino también a pequeñas y medianas empresas (PYMES), causando interrupciones significativas y pérdidas económicas. La Policía Nacional, en colaboración con otras agencias nacionales e internacionales, ha intensificado sus esfuerzos para combatir esta creciente amenaza.

El Grupo NoName057(16): Un Actor Clave en los Ciberataques

Uno de los grupos más activos y beligerantes de hackers prorrusos es NoName057(16). Este grupo surgió en marzo de 2022, poco después del inicio de la invasión rusa de Ucrania. Desde entonces, ha reivindicado numerosas campañas de sabotaje contra países que han apoyado al Gobierno de Kiev.

En su manifiesto fundacional, los creadores de NoName057(16) aseguraban que su objetivo era actuar "proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales". Su principal actividad es coordinar a ciberactivistas afines para lanzar ataques informáticos de denegación de servicios distribuidos (DDoS, por sus siglas en inglés). Es decir, el envío masivo de tráfico a una página web con el objetivo de colapsarla y que no sea accesible para el resto de internautas.

Para ello, este grupo afín al Kremlin desarrolló un software propio, bautizado como DDoSia, que ha puesto a disposición de aquellos hackers que apoyen los fines del grupo. Los ataques de denegación de servicios, más allá del daño reputacional que causan al revelar la vulnerabilidad de una web, no son especialmente graves, según señalan los expertos. Lo más habitual es que las páginas afectadas vuelvan a estar operativas en la misma jornada de los ataques.

Impacto en España: Más de 500 Ciberataques Atribuidos a NoName057(16)

España ha sido uno de los países más afectados por la actividad de NoName057(16), con más de 500 ciberataques registrados. Algunos de estos ataques ocurrieron durante las elecciones generales del 23 de julio de 2023.

Entre los objetivos incluidos por NoName057(16), tal y como refleja un comunicado conjunto lanzado en redes sociales, estaban La Moncloa, el Ministerio del Interior, el Ministerio de Hacienda, el Ministerio de Transportes, la Sede electrónica de la Policía Nacional y la Oficina de Coordinación de Ciberseguridad, además de otros organismos y servicios públicos.

A NoName057(16) se le atribuye también haber intentado tumbar la web del Ministerio del Interior durante la jornada de las elecciones generales de 2023. Aquel día, también sufrieron ataques las webs del Palacio de la Moncloa, el Instituto Nacional de Estadística (INE), Renfe, la Junta Electoral Central, la Casa Real o la Corte de Arbitraje de Madrid, aunque en realidad estuvieron operativas en su mayoría. Sí sufrieron problemas la del Consorcio de Transporte de la Comunidad de Madrid y la de los autobuses turísticos de la capital de España, así como la empresa Sociobus, de venta de billetes de autobús.

NoName057(16) difundió entonces un comunicado en el que aseguraron que estos ataques eran la respuesta del apoyo español a Ucrania y, en concreto, al anuncio días antes del envío de carros de combate al Ejército de Kiev. "No nos importa si la derecha o la izquierda llegan al poder en este país hoy [por el 23-J]: ambos lados se adhieren a una posición proeuropea", afirmaban en una nota en inglés.

En el informe Ciberamenazas y Tendencias 2023, el Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), identificó a NoName057(16) como el grupo autor del ciberataque lanzado el 14 de octubre de 2022 contra la página web del Ministerio de Defensa.

Más allá de España, el grupo ha llevado a cabo ataques en otros países. En 2023 y 2024, la red delictiva participó en ataques contra las autoridades suecas y entidades bancarias de este país. Alemania ha sufrido 14 oleadas de ataques contra más de 250 empresas e instituciones. En Suiza también perpetraron múltiples ciberataques en junio de 2023, coincidiendo con la intervención por videoconferencia de Volodímir Zelenski ante el parlamento de este país; y en junio de 2024 durante la Cumbre de Paz para Ucrania en Bürgenstock.

Un Ataque a Movistar Pymes y sus Consecuencias

Una avalancha de ciberataques coincidió con otro problema en Telefónica que dejó tocado su servicio para pequeñas empresas, Movistar Pymes. Miles de corporaciones se quedaron sin conexión durante horas. Este fallo suele producirse cuando se está realizando una actualización de configuración rutinaria en los nodos que conectan los grandes centros de datos.

Para conseguir inutilizar el sitio web concreto, los ciberatacantes se organizan para conectarse a la vez, y en el mismo momento, a una determinada página. En el caso de tratar de acceder a un sitio de Internet comprometido por este tipo de ataque, generalmente aparecerá el mensaje "503 Service Unavailable". Hay que subrayar que los ataques DDoS se realizan en gran medida a través de equipos (móviles, ordenadores y tablets) que previamente han sido infectados.

Los ciberdelincuentes se reivindican en su canal de Telegram. En diversos mensajes publicados en la red de mensajería instantánea Telegram, los ciberdelincuentes también han instado a bloquear las páginas de los parlamentos de Asturias y de Canarias; de los servicios de transporte público de Sevilla, Málaga, Vigo, Alicante o Jerez de la Frontera; y de las empresas CIMSA y FECSA.

Según reivindican en uno de sus mensajes en redes sociales, los hackers han propuesto estos ataques "en solidaridad" con las huelgas de agricultores que, según ellos, "exigen a las autoridades que no patrocinen el régimen criminal" del presidente ucraniano Volodímir Zelenski, sino que "resuelvan los problemas internos". Entre ellos, dicen, garantizar "precios justos" para sus productos y "un mayor control de las importaciones de países de fuera de la Unión Europea".

Operaciones de la Policía Nacional contra los Ciberataques

La Policía Nacional española ha liderado y participado en diversas operaciones para desmantelar la infraestructura de estos grupos de hackers y detener a sus miembros. La colaboración internacional ha sido clave en estos operativos.

Operación Eastwood: Golpe a la Infraestructura de NoName057(16)

Una macrooperación policial conjunta en la que han participado policías de 10 países europeos, entre ellos la Policía Nacional española, y de EE UU, y que ha contado con el apoyo de las autoridades de otros siete estados, ha permitido desmantelar la infraestructura del grupo de piratas informáticos NoName057(16), cercano al régimen de Vladímir Putin, según ha informado este miércoles la Agencia de la Unión Europea para la Cooperación Policial (Europol).

Según ha detallado Europol, la bautizada como Operación Eastwood se inició el pasado lunes y se ha saldado hasta ahora con dos detenciones y siete órdenes internacionales de búsqueda y captura, entre ellos las de los dos supuestos instigadores del grupo, ambos de nacionalidad rusa, que han pasado a engrosar la lista de los más buscados en la UE.

Además, se han realizado 24 registros domiciliarios (la mitad de ellos en España, donde se ha producido un arresto), se ha interrogado a 13 personas por su presunta implicación en los hechos (cinco de ellos en España) y se ha localizado a más de 1.000 simpatizantes del grupo, a los que se les ha comunicado que se enfrentan a responsabilidades penales por su supuesto apoyo a los ataques.

Europol destaca que el operativo ha permitido bloquear más de 100 servidores informáticos usados por el grupo y, con ello, se ha dejado "fuera de línea" gran parte de su "infraestructura principal".

En España, los agentes de la Comisaría General de Información (CGI) de la Policía Nacional, en colaboración con el Centro Criptológico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI), han inhabilitado el acceso a 42 servidores virtuales utilizados por la organización. Además, han bloqueado varios servicios de almacenamiento en la nube y se han incautado un monedero digital con criptoactivos, utilizado presuntamente para financiar la infraestructura informática del grupo.

La operación Eastwood coordinada por Europol y Eurojust permitió la interrupción de una de las infraestructuras de ataque de NoName057 que contenía más de cien sistemas informáticos en todo el mundo. Alemania emitió seis órdenes de detención de delincuentes que viven en la Federación Rusa. Dos de estas personas están acusadas de ser los principales instigadores responsables de las actividades de NoName057. A esas seis órdenes de detención se suma la que reclamó la Audiencia Nacional contra un español acusado de daños informáticos con fines terroristas, apología del terrorismo y pertenencia a una organización criminal.

Detención de Enrique Arias Gil, un Profesor Español Vinculado a NoName057(16)

La Audiencia Nacional ha decretado una orden internacional de detención contra Enrique Arias Gil por su implicación al más alto nivel dentro de la red de hackers prorrusos 'NoName057'. Su dominio del ruso y su fascinación por el régimen de Putin le abrieron las puertas para entrar en el corazón del NoName057.

La captación de este profesor español no es casual. Según las fuentes consultadas por la SER dentro de la seguridad del Estado, no hay ninguna duda de que Enrique Arias Gil fue reclutado a través del Servicio de Inteligencia Exterior ruso (SVR), y desde entonces, trabaja a las órdenes del Kremlin.

El profesor español Enrique Arias Gil se acaba de convertir en uno de los fugitivos más buscados a nivel europeo. Su nombre ha sido incluido en la lista de los Most Wanted - los más buscados- de Europol tras la orden internacional de detención emitida por el juzgado Central 1 de la Audiencia Nacional por su implicación en un delito de ciberterrorismo. Se le acusa de participar - dando información clave- en campañas de ciberataques contra infraestructuras críticas del Estado o a través de asaltos a webs oficiales del Gobierno mediante denegaciones de servicio para tumbarlas, entre ellas, el ataque que sufrió la web del Ministerio del Interior durante las elecciones generales de 2023.

La Policía Nacional tenía identificado a este profesor universitario de 37 años desde hace meses. Optaron por no desvelar su identidad con la esperanza de que pudiese regresar a España y ser detenido. Pero esas opciones se evaporaron al comprobar que había huido definitivamente a Rusia.

Los agentes que seguían su pista sabían que Enrique Arias Gil era la persona que estaba detrás del canal de Telegram 'desinformador ruso' - con casi 12.000 suscriptores y aún activo-, donde se jaleaban los ataques perpetrados por los hackers de NoName057, difundiendo toda una retórica de guerra cognitiva contra Europa y, en especial, contra España por su apoyo a Ucrania tras la invasión rusa. España es de hecho uno de los países de todo el mundo que más ataques sufren por parte de NoName057.

Dentro de la operación internacional Eastwood de Europol, la Policía Nacional comprobó que este profesor español, además de alentar y difundir esos ataques, también seleccionaba objetivos, recabando previamente información personal de las víctimas que iban a sufrir esa campaña de ciberataques. Este prófugo ha escrito, precisamente, libros sobre el terrorismo individual como estrategia y táctica terrorista emergente. Los investigadores consultados por la SER dan por hecho que este hacker se ha refugiado en Rusia, al abrigo del régimen de Vladimir Putin, blindado como la mayoría de los hacktivistas que operan a las órdenes del Gobierno ruso. No consta ningún tipo de arraigo familiar con Rusia, más allá de su fascinación por el poder del Kremlin.

Otras Operaciones Relevantes de la Policía Nacional

En julio del año pasado, la Guardia Civil ya detuvo a tres hombres de nacionalidad española en la localidad mallorquina de Manacor, y en las andaluzas de Huelva y Sevilla por su presunta participación en varios ciberataques reivindicados por NoName057(16).

Recientemente, el Grupo VII de la Brigada de Ciberdelincuencia de la Policía Nacional investiga el ciberataque sufrido por Podemos en los últimos días. Una acción en la que, además, se ha obtenido información relativa a los datos personales de inscritos en la formación y también de la gestión económica del partido. Los investigadores han detectado que la IP desde la que se originó el ataque está ubicada en Moldavia, aunque no está claro si se trata de la procedencia real o de una maniobra para enmascarar el auténtico origen. Podemos, que no se ha pronunciado públicamente al respecto, denunció el ataque el pasado día 21. La información publicada por eldiario.es detalla que el partido también ha puesto el ciberataque en conocimiento de la Agencia Española de Protección de Datos y que, según la denuncia, "la documentación robada no está relacionada con asuntos políticos o de estrategia". No está claro el objetivo de los hackers, pero la información robada podría utilizarse de manera similar a la que se obtiene en el ataque a otras instituciones o entidades privadas, o bien con fines políticos.

El pasado martes, agentes de la Policía Nacional y la Guardia Civil se desplazaron con sigilo por las calles de Calpe, en Alicante, hasta irrumpir en el domicilio del presunto responsable de decenas de ciberataques de alto perfil. Durante el registro, que se materializó tras meses de investigación previa, se intervinieron criptomonedas y una variedad de dispositivos informáticos que ya están siendo analizados por los especialistas. El detenido está acusado de varios delitos, entre ellos descubrimiento y revelación de secretos, acceso ilícito a sistemas informáticos, daños informáticos y blanqueo de capitales. La investigación de la Policía Nacional arrancó el año pasado, tras la denuncia de una asociación empresarial madrileña que detectó en un foro de ciberdelincuencia a alguien que aseguraba tener información robada de su web. Según las autoridades, el investigado continuó con la actividad delictiva, centrándose en organismos internacionales y organizaciones gubernamentales. Natohub, explican, cambiaba de seudónimo con frecuencia para evitar ser rastreado, pero se logró seguir su pista en la dark web, un ámbito donde se comparte todo tipo de contenido ilegal. La operación se desarrolló con la colaboración del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) en España. En el ámbito internacional, estuvieron involucrados EUROPOL y la Homeland Security Investigations (HSI) de Estados Unidos.

Finalmente, la Policía Nacional también ha desactivado 17 sitios web dedicados a la distribución ilícita de contenido multimedia. Se ha detenido a una persona que además contaba con nueve canales de mensajería instantánea en los que ofertaba el contenido "pirata" con los que habría obtenido más de 200.000 euros de beneficio. La investigación, que comenzó en marzo de 2022, fue posible gracias a una denuncia presentada por la Entidad de Gestión de Derechos de los Productores Audiovisuales (EGEDA). Los agentes especializados en esta modalidad delictiva pudieron identificar las plataformas clave de la red, que violaban los derechos de propiedad intelectual. El detenido blanqueaba los beneficios mediante su empresa. El arrestado, a través de su empresa, gestionaba múltiples sitios web y plataformas en redes sociales donde se ofrecía de forma gratuita contenido protegido por derechos de autor, entre los que se encontraban las series más populares. Con esta actividad ilícita se estima que habría obtenido más de 200.000 euros en beneficios, que blanqueaba mediante su empresa. Se recuperaron más de 45.000 euros generados por la actividad ilícita. La fase final de la operación se llevó a cabo en Santander, donde se realizó una entrada y registro en el domicilio del detenido, lo que permitió la incautación de equipos informáticos, teléfonos y documentación que evidenció la actividad criminal. Además, se recuperaron más de 45.000 euros de las ganancias ilícitas generadas por la distribución de contenido pirata. Además, también se ha logrado intervenir y bloquear los dominios de 17 sitios web y nueve canales de mensajería instantánea asociados a la red, impidiendo de esta forma que se continuara difundiendo el contenido de manera ilícita. Los investigadores insertaron un mensaje en los dominios para informar a los usuarios de las plataformas de la intervención de los canales de difusión. Actualmente, cualquier intento de acceder a estas páginas redirige a los internautas a una web informativa de la Policía Nacional, alertando sobre la intervención.

Tabla Resumen de Ciberataques Recientes en España (Selección)