Detenidos tres ‘hackers’ prorrusos por el ciberataque a ministerios y empresas españolas por el apoyo a Ucrania

Golpe policial a los sabotajes informáticos prorrusos. Agentes de la Guardia Civil han detenido a tres hombres de nacionalidad española y mayores de edad por su presunta participación en varios ciberataques sufridos en los dos últimos años por administraciones públicas españolas, empresas de sectores estratégicos y organismos de otros países de la OTAN como Alemania, Francia, Estados Unidos, Polonia y las repúblicas bálticas. A los tres arrestados se les atribuye la comisión de un delito de daños informáticos con fines terroristas por su participación en las actividades del grupo de hackers NoName057(16) cercano al régimen de Vladimir Putin. Este grupo surgió en marzo de 2022, recién iniciada la invasión de Ucrania, y desde entonces ha reivindicado numerosas campañas de sabotaje en España, entre ellas ataques a las páginas webs de los ministerios de Defensa, Interior y Asuntos Exteriores, a las de empresas del sector de la defensa como Navantia e Indra y a la del Banco de España.

Las detenciones se han producido en la localidad mallorquina de Manacor, y en las andaluzas de Huelva y Sevilla, según ha informado este sábado el instituto armado. La Guardia Civil analiza ahora el material informático intervenido en los registros de sus domicilios en una investigación coordinada por las fiscalías de Criminalidad Informática y de la Audiencia Nacional en la que se continúa la búsqueda de otros implicados dentro de la bautizada como Operación Grizli.

NoName057(16) es el grupo más activo y beligerante de hackers prorrusos. En el manifiesto fundacional, sus creadores aseguraban que su objetivo era actuar “proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales”. Su principal actividad es coordinar a ciberactivistas afines para lanzar de manera coordinada ataques informáticos de los denominados Denegación de Servicios Distribuida (DDoS, por sus siglas en inglés). Es decir, el envío masivo de tráfico a una página web con el objetivo de colapsarla y que no pueda sea accesible para el resto de internautas.

Para ello, este grupo afín al Kremlin ha desarrollado un software propio, bautizado como DDoSia, que ha puesto a disposición de aquellos hackers que apoyen los fines del grupo, destaca el instituto armado. Los ataques de denegación de servicios, más allá del daño reputacional que causa al revelar la vulnerabilidad de una web, no son especialmente graves, según señalan los expertos. Lo más habitual es que las páginas afectadas vuelven a estar operativas en la misma jornada de los ataques.

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), identificó, en su informe Ciberamenazas y Tendencias 2023, a NoName057(16) como el grupo autor del ciberataque lanzado el 14 de octubre de 2022 contra la página web del Ministerio de Defensa. “El grupo aseguró que el ataque era en represalia por el envío de armas a Ucrania por parte del Gobierno de España”, recogía el informe del CCN, que apuntaba a que coordinaba sus ataques con otro grupo de hackers prorrusos autodenominado KillNet.

A NoName057(16) se le atribuye también haber intentado tumbar la web del Ministerio del Interior durante la jornada de las elecciones generales del 23 de julio del año pasado. En realidad, esta tuvo problemas puntuales durante tres horas aquella tarde, aunque no llegó a afectar en ningún momento a la página especial abierta por el departamento de Fernando Grande-Marlaska para informar en tiempo real del escrutinio de las elecciones. Aquel día, el portal en internet más afectado por los ataques de los hackers fue el de Sociobus, de venta de billetes de autobús. La compañía admitió en un comunicado haber sufrido “un ciberataque de origen ruso” que había tumbado su sistema de venta por internet.

Otras instituciones atacadas

Este grupo patrocinado por el Kremlin afirmó aquel día, a través de un canal que tiene abierto en la aplicación de mensajería instantánea Telegram, haber atacado también las webs de otras instituciones y empresas como la del Palacio de la Moncloa, el Instituto Nacional de Estadística (INE), Renfe, la Junta Electoral Central, la Casa Real o la Corte de Arbitraje de Madrid, aunque en realidad estuvieron operativas en su mayoría. Sí sufrieron problemas la del Consorcio de Transporte de la Comunidad de Madrid y la de los autobuses turísticos de las capital de España. NoName057(16) difundió entonces un comunicado en el que aseguraron que estos ataques eran la respuesta del apoyo español a Ucrania y, en concreto, al anuncio días antes del envió de carros de combate al Ejército de Kiev. “No nos importa si la derecha o la izquierda llegan al poder en este país hoy [por el 23-J]: ambos lados se adhieren a una posición proeuropea”, afirmaban en una nota en inglés.

A este grupo también se le atribuye el ciberataque múltiple que sufrieron el 6 de octubre del año pasado las webs del Ayuntamiento, el metro y la compañía de autobuses de Granada con motivo de la visita a la ciudad del presidente ucranio, Volodímir Zelenski, para participar en la cumbre informal de jefe de Estado y del Gobierno de la Unión Europea. Entonces, NoName057(16) aseguró a través de sus canal en Telegram haber saboteado también los portales de La Moncloa, del Ministerio de Economía y del Instituto Nacional de Ciberseguridad (Incibe), que durante aquella jornada presentaron incidentes y retrasos, pero que se mantuvieron operativas. Entonces los piratas patrocinados por el régimen de Vladímir Putin se jactaron en un comunicado con haber “atacado con misiles DDoS [en referencia a su software de denegación de servicios] de largo alcance”.