El grupo de hackers pro-ruso NoName057(16) ha vuelto a situar a España en su radar tras la operación internacional Eastwood, que a mediados de 2024 golpeó severamente su infraestructura y provocó detenciones en varios países, incluida España. Lejos de desaparecer, el colectivo ha intensificado su ofensiva con nuevos ataques dirigidos a ayuntamientos, portales de transporte y organismos públicos.
Según ha indicado la compañía de ciberseguridad Check Point, los recientes ataques se enmarcan en campañas bautizadas como #timetoretribution, #fuckingeastwood y #opSpain, que buscan vengar las detenciones y la presión internacional sobre el grupo. Aunque muchos de estos ataques consisten en cortes de servicio de pocos segundos, los expertos alertan que, cuando las defensas de los sistemas colapsan, los portales pueden quedar inaccesibles durante horas, afectando servicios públicos esenciales.
El modus operandi de NoName057(16) incluye anunciar los objetivos con 24 horas de antelación en foros afines, y, en caso de éxito, difundir capturas o “pruebas” en sus canales de propaganda digital.
Un colectivo muy activo
NoName057(16) surgió en 2022, tras la invasión rusa de Ucrania, y desde entonces ha dirigido su militancia digital contra países que apoyan a Kiev. Sus ataques iniciales se centraron en DDoS (Denegación de Servicio Distribuida) contra organismos gubernamentales, infraestructuras críticas y empresas estratégicas en países como Alemania, Francia, Italia, Rumanía, Noruega o Dinamarca.
España entró en su lista de objetivos en junio de 2023, cuando el grupo bloqueó temporalmente los sistemas de varios puertos nacionales y atacó webs de instituciones clave, como la Casa Real, el Palacio de la Moncloa, el Tribunal Constitucional, la Casa de la Moneda y los ministerios de Justicia y Política Territorial, que saturaron y colapsaron temporalmente estos portales. Diversos grupos de hacking prorrusos, como TwoNet y NoName, se atribuyeron los ataques, afectando también a otras entidades como el Ministerio de Defensa y la Asamblea de Madrid.
Los hackers rusos también han puesto en el punto de mira a las empresas de España, según el informe Threat Landscape Report realizado por S21sec, un proveedor de ciberseguridad. El documento muestra que los ciberdelincuentes de Rusia tienen a las corporaciones españolas entre sus principales objetivos. Entre las víctimas se encuentran empresas como Iberdrola, Santander y Telefónica, que han sufrido interrupciones en sus servicios debido a ataques de denegación de servicio (DDoS).
Estos incidentes subrayan la creciente amenaza que representan los ciberataques de origen ruso para España. Además, la atribución de estos ataques a grupos como NoName057(16) indica una estrategia coordinada que busca desestabilizar y presionar a los países que apoyan a Ucrania en el conflicto.
Amenazas más sofisticadas
Aunque inicialmente sus ataques se limitaban a la interrupción de servicios, expertos en ciberseguridad alertan que NoName057(16) está migrando hacia tácticas más avanzadas, incluyendo intrusiones en sistemas y exfiltración de datos. Este cambio eleva significativamente el riesgo para administraciones públicas y empresas estratégicas españolas.
En este contexto de guerra híbrida y ciberguerra, España se mantiene como uno de los objetivos recurrentes del grupo. A pesar de los golpes recibidos durante la operación Eastwood, la capacidad de reorganización y ataque del colectivo evidencia que la amenaza no ha desaparecido.
Refuerzo de la ciberdefensa
La Guardia Civil, junto a otros cuerpos de seguridad y agencias internacionales, continúa trabajando para prevenir y neutralizar estos ataques. No obstante, los expertos coinciden en que la clave estará en fortalecer la ciberseguridad de los organismos públicos y sectores estratégicos ante un adversario capaz de adaptarse rápidamente a los contragolpes internacionales.