Detenidos tres ¡®hackers¡¯ prorrusos por el ciberataque a ministerios y empresas espa?olas por el apoyo a Ucrania

Golpe policial a los sabotajes inform¨¢ticos prorrusos. Agentes de la Guardia Civil han detenido a tres hombres de nacionalidad espa?ola y mayores de edad por su presunta participaci¨®n en varios ciberataques sufridos en los dos ¨²ltimos a?os por administraciones p¨²blicas espa?olas, empresas de sectores estrat¨¦gicos y organismos de otros pa¨ªses de la OTAN como Alemania, Francia, Estados Unidos, Polonia y las rep¨²blicas b¨¢lticas. A los tres arrestados se les atribuye la comisi¨®n de un delito de da?os inform¨¢ticos con fines terroristas por su participaci¨®n en las actividades del grupo de hackers NoName057(16) cercano al r¨¦gimen de Vladimir Putin. Este grupo surgi¨® en marzo de 2022, reci¨¦n iniciada la invasi¨®n de Ucrania, y desde entonces ha reivindicado numerosas campa?as de sabotaje en Espa?a, entre ellas ataques a las p¨¢ginas webs de los ministerios de Defensa, Interior y Asuntos Exteriores, a las de empresas del sector de la defensa como Navantia e Indra y a la del Banco de Espa?a.

Las detenciones se han producido en la localidad mallorquina de Manacor, y en las andaluzas de Huelva y Sevilla, seg¨²n ha informado este s¨¢bado el instituto armado. La Guardia Civil analiza ahora el material inform¨¢tico intervenido en los registros de sus domicilios en una investigaci¨®n coordinada por las fiscal¨ªas de Criminalidad Inform¨¢tica y de la Audiencia Nacional en la que se contin¨²a la b¨²squeda de otros implicados dentro de la bautizada como Operaci¨®n Grizli.

NoName057(16) es el grupo m¨¢s activo y beligerante de hackers prorrusos. En el manifiesto fundacional, sus creadores aseguraban que su objetivo era actuar ¡°proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rus¨®fobos occidentales¡±. Su principal actividad es coordinar a ciberactivistas afines para lanzar de manera coordinada ataques inform¨¢ticos de los denominados Denegaci¨®n de Servicios Distribuida (DDoS, por sus siglas en ingl¨¦s). Es decir, el env¨ªo masivo de tr¨¢fico a una p¨¢gina web con el objetivo de colapsarla y que no pueda sea accesible para el resto de internautas.

Para ello, este grupo af¨ªn al Kremlin ha desarrollado un software propio, bautizado como DDoSia, que ha puesto a disposici¨®n de aquellos hackers que apoyen los fines del grupo, destaca el instituto armado. Los ataques de denegaci¨®n de servicios, m¨¢s all¨¢ del da?o reputacional que causa al revelar la vulnerabilidad de una web, no son especialmente graves, seg¨²n se?alan los expertos. Lo m¨¢s habitual es que las p¨¢ginas afectadas vuelven a estar operativas en la misma jornada de los ataques.

El Centro Criptol¨®gico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), identific¨®, en su informe Ciberamenazas y Tendencias 2023, a NoName057(16) como el grupo autor del ciberataque lanzado el 14 de octubre de 2022 contra la p¨¢gina web del Ministerio de Defensa. ¡°El grupo asegur¨® que el ataque era en represalia por el env¨ªo de armas a Ucrania por parte del Gobierno de Espa?a¡±, recog¨ªa el informe del CCN, que apuntaba a que coordinaba sus ataques con otro grupo de hackers prorrusos autodenominado KillNet.

A NoName057(16) se le atribuye tambi¨¦n haber intentado tumbar la web del Ministerio del Interior durante la jornada de las elecciones generales del 23 de julio del a?o pasado. En realidad, esta tuvo problemas puntuales durante tres horas aquella tarde, aunque no lleg¨® a afectar en ning¨²n momento a la p¨¢gina especial abierta por el departamento de Fernando Grande-Marlaska para informar en tiempo real del escrutinio de las elecciones. Aquel d¨ªa, el portal en internet m¨¢s afectado por los ataques de los hackers fue el de Sociobus, de venta de billetes de autob¨²s. La compa?¨ªa admiti¨® en un comunicado haber sufrido ¡°un ciberataque de origen ruso¡± que hab¨ªa tumbado su sistema de venta por internet.

Otras instituciones atacadas

Este grupo patrocinado por el Kremlin afirm¨® aquel d¨ªa, a trav¨¦s de un canal que tiene abierto en la aplicaci¨®n de mensajer¨ªa instant¨¢nea Telegram, haber atacado tambi¨¦n las webs de otras instituciones y empresas como la del Palacio de la Moncloa, el Instituto Nacional de Estad¨ªstica (INE), Renfe, la Junta Electoral Central, la Casa Real o la Corte de Arbitraje de Madrid, aunque en realidad estuvieron operativas en su mayor¨ªa. S¨ª sufrieron problemas la del Consorcio de Transporte de la Comunidad de Madrid y la de los autobuses tur¨ªsticos de las capital de Espa?a. NoName057(16) difundi¨® entonces un comunicado en el que aseguraron que estos ataques eran la respuesta del apoyo espa?ol a Ucrania y, en concreto, al anuncio d¨ªas antes del envi¨® de carros de combate al Ej¨¦rcito de Kiev. ¡°No nos importa si la derecha o la izquierda llegan al poder en este pa¨ªs hoy [por el 23-J]: ambos lados se adhieren a una posici¨®n proeuropea¡±, afirmaban en una nota en ingl¨¦s.

A este grupo tambi¨¦n se le atribuye el ciberataque m¨²ltiple que sufrieron el 6 de octubre del a?o pasado las webs del Ayuntamiento, el metro y la compa?¨ªa de autobuses de Granada con motivo de la visita a la ciudad del presidente ucranio, Volod¨ªmir Zelenski, para participar en la cumbre informal de jefe de Estado y del Gobierno de la Uni¨®n Europea. Entonces, NoName057(16) asegur¨® a trav¨¦s de sus canal en Telegram haber saboteado tambi¨¦n los portales de La Moncloa, del Ministerio de Econom¨ªa y del Instituto Nacional de Ciberseguridad (Incibe), que durante aquella jornada presentaron incidentes y retrasos, pero que se mantuvieron operativas. Entonces los piratas patrocinados por el r¨¦gimen de Vlad¨ªmir Putin se jactaron en un comunicado con haber ¡°atacado con misiles DDoS [en referencia a su software de denegaci¨®n de servicios] de largo alcance¡±.