Cae NoName, red de hackers prorusos que atacó Abanca, R, Xunta, Paralmento de Galicia y ayuntamientos

Una investigación internacional, coordinada por Europol y Eurojust, ha desmantelado parte de la infraestructura de NoName057(16), un grupo de cibercriminales prorrusos vinculado con múltiples ataques a instituciones públicas europeas, españolas y gallegas. La operación, denominada Eastwood, ha expuesto la dimensión global de una ofensiva que también ha tenido repercusiones directas en la comunidad gallega.

Durante los últimos años, las instituciones y servicios públicos de Galicia han sido uno de los objetivos de la campaña de ciberataques lanzada por NoName057(16), una red de simpatizantes prorrusos que desde 2022  lanzó ciberofensivas contra países aliados con Ucrania. 

Entre los blancos de sus acciones a principios de año estuvo la Xunta de Galicia y ayuntamientos como los de Vigo, Santiago, Lugo, A Coruña y Ferrol. El año anterior, en 2024, realizaron otra tanda de ataques contra instituciones gallegas, cuando llegaron a dejar fuera de servicio momentáneamente el portal del Parlamento de Galicia. El Ayuntamiento de A Coruña reconoció pequeñas incidencias que no afectaron a servicios esenciales como Bicicoruña. Los hackers también atacaron empresas de servicios básicos, como Abanca, y teleoperadoras, como Euskaltel, en aquel momento matriz de R Cable.

En general, por su naturaleza,estos ciberataques provocaron interrupciones momentáneas en portales institucionales y dificultaron el acceso a servicios públicos digitales, aunque sin comprometer información sensible. La técnica empleada en la mayoría de los casos fue el ataque DDoS (denegación de servicio distribuido), que satura los servidores con solicitudes para colapsar sus sistemas temporalmente.

Los activistas pro-rusos se coordinaban en canales de Telegram para lanzar las ofesnivas de denegación de servicio al mismo tiempo. Los hackers iban cambiando de objetivo en función de la actualidad internacional. Por ejemplo, si España anunciaba un paquete de ayuda a Ucrania, empezaban a atacar instituciones españolas. También aprovechaban momentos de confrontación social, como cuando justificaron algunos ataques en Galicia en el marco de las protestas de los bomberos de los parques de las deputaciones provinciales. Cuando las imágenes de aquellas manifestaciones llegaron a las televisiones internacionales al usar un bombero un lanzallamas casero, los activistas pusieron su foco en Galicia.

Galiciapress ha comprobado esta mañana que el principal canal de coordinación en ruso y su versión en inglés de la comunidad NoName057(16) están inactivos.  

Entre el 14 y el 17 de julio, se desplegó la operación internacional Eastwood, coordinada por Europol y Eurojust con el apoyo de cuerpos policiales y judiciales de una veintena de países, incluida España. El operativo culminó con dos detenciones, una de ellas en territorio español, y la emisión de siete órdenes de arresto, seis dirigidas a ciudadanos rusos considerados los principales instigadores de la red.

Se realizaron 24 registros domiciliarios, 12 de ellos en España, y más de 13 personas fueron interrogadas. Más de cien servidores utilizados por el grupo fueron desactivados en todo el mundo, lo que supuso un golpe importante para la infraestructura de NoName057(16), que operaba con el respaldo de cientos de simpatizantes organizados en torno a canales y foros prorrusos.

Según Europol, la mayoría de los participantes eran hablantes de ruso sin formación técnica avanzada, motivados por ideología o por recompensas en criptomonedas, que se ofrecían a través de plataformas como DDoSia. Algunos recibían pagos por sus acciones, mientras que otros eran atraídos mediante dinámicas similares a videojuegos, con rankings y medallas virtuales.

Originalmente centrado en atacar a instituciones ucranianas, el grupo ha ido ampliando su radio de acción hacia países que apoyan militarmente a Kiev, especialmente miembros de la OTAN. España, por su implicación en la defensa ucraniana, se ha convertido en uno de los objetivos del colectivo en Europa occidental.

Las autoridades europeas vinculan a NoName057(16) con ataques recientes durante la última cumbre de la OTAN. También se han reportado ofensivas similares en Alemania, Suiza, Suecia y Países Bajos. Aunque la mayoría de estos ataques fueron mitigados sin consecuencias graves, revelan un patrón creciente de amenazas cibernéticas orquestadas desde entornos alineados con los intereses del Kremlin.

La operación Eastwood se ha considerado un hito en la cooperación internacional contra el cibercrimen. Europol ha coordinado más de 30 reuniones entre países miembros y agencias colaboradoras, incluyendo tareas de análisis forense y rastreo de criptomonedas. Además, se envió notificación directa a más de mil simpatizantes del grupo, advirtiéndoles de su posible responsabilidad penal.

El grupo NoName057(16) no contaba con una jerarquía rígida ni requería conocimientos técnicos elevados. En cambio, utilizaba herramientas automatizadas que permitían a cualquier persona lanzar ataques con pocos clics, lo que facilitaba la captación de voluntarios en redes sociales, canales de mensajería y comunidades de videojuegos.