Golpe internacional contra el grupo prorruso NoName057(16): detienen a un hacker en Zaragoza vinculado a ciberataques con fines terroristas

Una operación policial de gran envergadura, en la que han colaborado más de una decena de países, ha logrado desarticular parte de la estructura del grupo de ciberdelincuencia NoName057(16), una organización vinculada a intereses prorrusos y señalada por ejecutar ataques informáticos con motivaciones terroristas. En el marco de esta operación internacional, denominada “Operación Eastwood” por Europol, la Policía Nacional ha arrestado en Zaragoza a un presunto miembro activo de esta red.

El detenido, de nacionalidad española pero residente en Rusia, está acusado de participar en actividades de sabotaje digital dirigidas contra infraestructuras críticas. Según fuentes oficiales, su rol dentro de la organización estaría relacionado con el reclutamiento y adoctrinamiento de nuevos integrantes, así como con la difusión de sus campañas a través de canales encriptados.

España, objetivo estratégico del grupo desde 2022

La aparición de NoName057(16) se remonta a marzo de 2022, coincidiendo con el inicio del conflicto entre Rusia y Ucrania. Desde entonces, el colectivo ha reivindicado cientos de ataques dirigidos a países que han mostrado apoyo económico o militar a Ucrania, situando a España como uno de sus principales objetivos.

Solo en territorio español se han contabilizado más de 500 incidentes de ciberseguridad relacionados con este grupo. Entre los ataques más significativos se encuentran aquellos perpetrados durante las elecciones generales, afectando a la web del Ministerio del Interior, así como los que comprometieron portales municipales de Granada durante una importante cumbre europea.

El papel clave de España en la investigación

El desarrollo de la operación policial ha tenido una importante dimensión en España, donde se han realizado casi la mitad de los registros domiciliarios relacionados con la red. Además del arresto en Zaragoza, se ha tomado declaración a cinco personas por su posible vinculación con NoName057(16).

El análisis de la infraestructura tecnológica empleada por el grupo ha revelado la existencia de más de 600 servidores distribuidos internacionalmente, una proporción considerable de los cuales se encontraba en suelo español y ha sido ya desmantelada por las autoridades.

La investigación, liderada por la Comisaría General de Información de la Policía Nacional en coordinación con la Audiencia Nacional, ha puesto el foco en las herramientas y métodos de captación del grupo. Uno de los principales hallazgos ha sido el uso de aplicaciones de mensajería instantánea como medio para atraer colaboradores, a quienes se ofrecía compensación económica en criptomonedas a cambio de participar en los ciberataques.

Un software personalizado para generar caos digital

NoName057(16) diseñó su propia herramienta de ataque, un software conocido como “DDoSia”. Esta aplicación permitía a los integrantes lanzar ataques de denegación de servicio (DDoS), inundando sitios web con solicitudes simultáneas hasta colapsar sus servidores y dejarlos fuera de funcionamiento temporalmente.

El nivel de actividad del grupo era alarmante: Europol estima que llegaron a realizar hasta 73 ataques diarios. En total, se vieron afectados más de 5.300 sitios web corporativos y cerca de 700 portales pertenecientes a entidades públicas.

Entre las instituciones españolas que sufrieron interrupciones se encuentran La Moncloa, el Instituto Nacional de Estadística (INE), Renfe, la Junta Electoral Central y la Casa Real, entre otros.

Estos ataques fueron reivindicados por la propia organización como represalia directa a las acciones del Gobierno español en apoyo a Ucrania, especialmente en momentos clave como el envío de vehículos blindados al frente de guerra.