Desmantelaron una red cibercriminal prorrusa tras una operación internacional

La reciente operación internacional que logró desmantelar la infraestructura de la red prorrusa NoName057(16) ha puesto de relieve la magnitud y el alcance de las amenazas cibernéticas que enfrentan tanto Ucrania como los países europeos aliados de Kiev, muchos de ellos miembros de la OTAN.

“Desde el inicio de la guerra de agresión contra Ucrania (2022), NoName057(16) ha mostrado abiertamente su apoyo a Rusia y ha ejecutado múltiples ataques DDoS contra infraestructuras críticas durante eventos políticos de alto nivel. El grupo también ha difundido una fuerte retórica anti-OTAN y antiestadounidense”, explicó la agencia de coordinación judicial Eurojust.

El operativo, en el que participaron doce países, incluidos España, Alemania, Italia y Estados Unidos, culminó con el arresto de dos personas —una en Francia y otra en España— y la emisión de siete órdenes de arresto adicionales, seis por parte de las autoridades alemanas y una por las españolas.

Además, las autoridades identificaron a los principales instigadores, quienes residen en Rusia. Según informó EFE, la acción coordinada fue anunciada este miércoles por las agencias Europol y Eurojust, que detallaron la magnitud de la intervención: más de 100 servidores en todo el mundo quedaron desconectados, incluido gran parte del servidor central de la red, y se realizaron 24 registros en países como Alemania, España, Italia, Chequia, Polonia y Francia para recoger pruebas.

La red NoName057(16), que llegó a contar con más de 4.000 simpatizantes, se especializaba en ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas. Según Eurojust, estos ataques afectaron a proveedores de energía, sistemas de transporte público y páginas institucionales en toda Europa.

“La red es responsable de múltiples ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas”, señaló la agencia europea, subrayando la gravedad de las acciones perpetradas por el grupo.

El grupo prorruso se distinguió no solo por la cantidad de ataques, sino también por su capacidad para coordinar acciones durante eventos políticos de alto perfil. Entre sus víctimas más recientes figura Países Bajos, que fue atacado durante la cumbre de la OTAN a finales de junio. Aunque el ataque no causó interrupciones importantes, evidenció la persistencia y el alcance de la amenaza.

Además, NoName057(16) ya había lanzado ataques en toda Europa durante las elecciones europeas, lo que demuestra su interés en influir o desestabilizar procesos democráticos clave.

En el caso de Alemania, el impacto de la red fue especialmente notorio.

En los últimos años, se registraron 14 ciberataques atribuidos a NoName057(16), algunos de los cuales se prolongaron durante varios días y afectaron a unas 230 organizaciones. Entre los objetivos se encontraban fábricas de armas, proveedores eléctricos y entidades gubernamentales.

De acuerdo con la publicación, estos ataques pusieron en jaque la seguridad de infraestructuras esenciales y evidenciaron la vulnerabilidad de los sistemas ante amenazas coordinadas desde el extranjero.

La actividad de NoName057(16) no se limitó a Alemania. En Suecia, las páginas web de autoridades y bancos se convirtieron en blanco de los ataques, mientras que en Suiza, los ciberataques coincidieron con momentos de alta relevancia política.

Uno de los episodios más destacados ocurrió en junio de 2023, cuando el presidente de Ucrania, Volodimir Zelenski, dirigió un mensaje en video ante el Parlamento suizo. Un año después, durante la Cumbre por la Paz de Ucrania en junio de 2024, la red volvió a actuar, demostrando su capacidad para sincronizar sus acciones con eventos internacionales de gran visibilidad.

La estructura operativa de NoName057(16) se basaba en la movilización de simpatizantes a través de aplicaciones de mensajería. Según Eurojust, la red logró reclutar a unos 4.000 usuarios que descargaron un programa maligno, lo que les permitía participar activamente en los ataques DDoS.

Además, el grupo construyó su propia botnet, es decir, una red de robots informáticos, con “cientos de servidores en todo el mundo para aumentar el poder destructivo de sus ataques”, subrayó Eurojust. Esta infraestructura descentralizada y robusta permitió a la organización multiplicar el alcance y la intensidad de sus ofensivas digitales.

Las autoridades nacionales de los países involucrados en la operación no solo se centraron en desmantelar la infraestructura técnica, sino también en advertir a los seguidores del grupo sobre las consecuencias legales de su participación.

En total, contactaron a unos 1.100 seguidores, incluidos 17 administradores, enviándoles mensajes a través de una aplicación popular para informarles de las posibles sanciones que enfrentan según la legislación de cada país. Esta estrategia buscó disuadir la participación futura y subrayar la seriedad de los delitos cibernéticos.

El perfil de los participantes en NoName057(16) revela una composición mayoritariamente de simpatizantes de habla rusa, quienes utilizaban herramientas automatizadas para llevar a cabo los ataques.

Según la información proporcionada por EFE, estos individuos actuaban sin una jerarquía formal ni grandes habilidades técnicas, guiados principalmente por la ideología y la posibilidad de obtener recompensas. Esta característica distingue a NoName057(16) de otras organizaciones cibercriminales más estructuradas y profesionalizadas, y plantea desafíos particulares para las autoridades encargadas de la persecución y prevención de estos delitos.

La operación internacional que permitió el desmantelamiento de la infraestructura de NoName057(16) representa un hito en la cooperación policial y judicial transfronteriza.