Hackers rusos como NoName057(16) lideran la guerra híbrida digital, atacando infraestructuras críticas en España y aliados de Ucrania
The post Guerra híbrida, el arma invisible de Rusia first appeared on Hércules. En los tiempos que corren y con los tambores de guerra sonando por varios rincones del mundo, la amenaza del conflicto bélico resulta cada vez más plausible. Tanto desde instituciones estatales como supranacionales, las iniciativas como el kit de supervivencia o el rearme europeo han puesto encima de la mesa esta realidad. Si bien las guerras convencionales existen y somos testigos diarios de las atrocidades que se cometen en distintos puntos del planeta, el concepto de guerra se ha llevado a otras dimensiones y hoy en día de lo que si podemos estar hablando es de la conocida como guerra híbrida.
Tal es así que el lunes 28 de abril España sufrió uno de los hechos que dejaran su impronta en la historia reciente de España, un apagón nacional que dejó a todo un país desarrollado sin energía eléctrica por más de 12 horas. En cuanto se dio el apagón una de las teorías que no se descarto por ningún agente es la del ciberataque. Más concretamente un ciberataque de origen ruso. O también sobre el posible boicoteo de las elecciones polacas a manos de hackers rusos.
Es aquí cuando entra en juego el concepto de guerra híbrida, una nueva forma de hacer guerra en la que se circunscriben los ciberataques. Ha sido un punto muy tratado por los medios el hecho de que España es uno de los mayores blancos de ciberataques rusos. Pero en la pieza de hoy vamos a desentrañar a los principales grupos de “hackers” rusos y el funcionamiento de los mismos.
En la actualidad, los conflictos ya no se libran únicamente en trincheras o con armamento convencional. Ha emergido un nuevo concepto: la guerra híbrida, una estrategia que combina tácticas militares tradicionales con operaciones no convencionales, como la desinformación, la manipulación mediática y, de forma cada vez más preocupante, los ciberataques. En este nuevo escenario, la ciberseguridad se ha convertido en una cuestión de seguridad nacional.
Los ciberataques se han multiplicado en las últimas décadas, afectando tanto a gobiernos como a grandes corporaciones. Uno de los casos más notorios fue el ataque con el virus Stuxnet en 2010, presuntamente desarrollado por EE.UU. e Israel para sabotear el programa nuclear iraní. Este malware marcó un antes y un después, demostrando que un código informático podía tener consecuencias físicas devastadoras. Otro ataque relevante fue el de WannaCry en 2017, un ransomware que afectó a más de 200.000 ordenadores en 150 países, incluidos sistemas de salud como el británico NHS. Rusia también ha sido señalada por la comunidad internacional por ataques dirigidos, como el que paralizó infraestructuras en Ucrania en 2015 o la presunta interferencia en elecciones extranjeras.
España no es ajena a esta amenaza. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2023 se gestionaron más de 118.000 incidentes de ciberseguridad. Entre los más significativos se encuentran los ataques sufridos por el SEPE en 2021, que paralizaron el sistema de prestaciones por desempleo, y los ciberataques a organismos como el Consejo General del Poder Judicial. Estos hechos evidencian las vulnerabilidades que aún existen.
No obstante, España ha avanzado en la construcción de un escudo digital. Cuenta con el Centro Criptológico Nacional (CCN), responsable de la ciberdefensa en la Administración pública, y el Mando Conjunto del Ciberespacio, integrado en las Fuerzas Armadas, con capacidad tanto defensiva como ofensiva. Además, INCIBE actúa como soporte para empresas y ciudadanos, promoviendo la cultura de la ciberseguridad.
Pese a estos esfuerzos, los expertos alertan de la necesidad de seguir invirtiendo en recursos humanos, inteligencia artificial y formación, así como fortalecer las alianzas internacionales, especialmente en el marco de la OTAN y la Unión Europea. La guerra híbrida no entiende de fronteras y el ciberespacio, como nuevo campo de batalla, exige vigilancia constante. España está en camino, pero la ciberseguridad total es un objetivo que aún requiere consolidación.
Cuando hablamos de estas cuestiones, máxime en lo que a la ciberseguridad se refiere Rusia asume un rol fundamental. Podríamos decir que al final los distintos servicios de inteligencia han sabido ver el auge de las nuevas tecnologías siendo cada vez más profesionales en acciones y anticipándose a que la guerra híbrida cibernética iba a ser el futuro.
Hackers rusos, los fantasmas del ciberespacio al servicio del Kremlin
Los llamados hackers rusos, lejos de ser simples actores criminales aislados, forman parte de un entramado mucho más complejo en el que confluyen intereses del Estado, servicios de inteligencia y estructuras paramilitares digitales. Diversos informes de inteligencia occidentales y organismos de ciberseguridad han vinculado a los principales grupos de hackers rusos con agencias del aparato estatal, especialmente con el Servicio de Inteligencia Militar (GRU), el Servicio Federal de Seguridad (FSB) y el Servicio de Inteligencia Exterior (SVR). Estas entidades no solo toleran, sino que en muchos casos coordinan, financian o encubren operaciones de ciberespionaje, sabotaje y desinformación como parte de lo que se conoce como guerra híbrida.
El GRU, en particular, es señalado por liderar ataques destructivos y operaciones ofensivas a gran escala a través de unidades como la 74455, también conocida como Sandworm, responsable del ataque NotPetya en 2017. Por su parte, el SVR, más centrado en la infiltración y el espionaje digital, opera mediante grupos como APT29 (Cozy Bear). Mientras tanto, el FSB coordina tareas de contrainteligencia y supervisa a colectivos cibercriminales que actúan con libertad dentro de Rusia, siempre que sus objetivos coincidan con los intereses del Kremlin.
Esta estructura descentralizada, que combina agencias oficiales con grupos semindependientes como KillNet, REvil o Conti, ofrece al gobierno ruso una capa de negación plausible. Al no operar siempre bajo banderas estatales, el Kremlin puede desmarcarse públicamente de las acciones, aunque los beneficios geopolíticos sean claros.
En este contexto, los ciberataques rusos se han convertido en auténticas armas estratégicas de defensa y ofensiva, utilizadas para desestabilizar gobiernos, influir en procesos electorales, sabotear infraestructuras críticas y ejercer presión geopolítica sin disparar un solo tiro. La ciberinteligencia es, hoy, un pilar central en la doctrina de seguridad rusa.
La temible unidad 29155 del GRU, espionaje, asesinatos y ciberataques en suelo europeo
El Centro de Entrenamiento Especializado 161 del GRU ruso es también conocido como Unidad 29155. Su historial ya era alarmante. Ahora ha sido relacionada con operaciones de ciberataque destructivo, según un comunicado conjunto de EE. UU. y varios aliados internacionales.
Se le atribuye el despliegue del malware WhisperGate, que atacó sistemas ucranianos. Su función: borrar el Registro de Arranque Maestro (MBR).Esto confirma que la unidad ha pasado del sabotaje físico al cibernético. Antes se la vinculaba a asesinatos y operaciones clandestinas.
La Unidad 29155 estaba ya bajo la lupa. Su implicación en intentos de asesinato, como el del traficante búlgaro Emilian Gebrev en 2015, fue documentada. También se la relacionó con el envenenamiento del ex espía Sergei Skripal en 2018, en suelo británico. Estas operaciones encajaban en su perfil: acciones encubiertas en el extranjero para desestabilizar gobiernos hostiles a Moscú. Pero el nuevo informe revela un cambio importante. Ahora también opera en el ciberespacio, con objetivos e impacto internacional.
Las nuevas pruebas confirman que la unidad realiza tareas de ciberespionaje, exfiltración de datos y sabotaje digital. La estrategia es doble: primero roban información y luego la publican. Así combinan daño técnico con guerra psicológica. Actúan mezclando personal oficial del GRU con ciberdelincuentes independientes. Esta combinación les da flexibilidad y negación plausible. El Departamento de Justicia de EE. UU. ha acusado a Amin Timovich Stigal, un agente vinculado al GRU, por su rol en ataques destructivos.
Las acusaciones revelan que la unidad ya atacaba infraestructuras críticas ucranianas antes de la invasión de 2022. Pero no se centraron solo en Ucrania. También intentaron acceder a redes informáticas en países aliados, incluidos Estados Unidos y miembros de la OTAN.
Stigal se encuentra prófugo. Las autoridades han emitido órdenes de búsqueda internacional contra él y cinco colaboradores. Esto demuestra una red de alcance mundial, preparada para atacar tanto en tiempos de paz como de guerra abierta. Según el FBI, la Unidad 29155 ha escaneado más de 14.000 dominios en países europeos y aliados de la OTAN. Sus actividades incluyen la desfiguración de sitios web oficiales, exploración de infraestructuras críticas y divulgación de datos robados.
Estos ataques buscan desestabilizar políticamente, sembrar desconfianza y generar caos sin recurrir a ataques convencionales. La Agencia de Ciberseguridad de EE. UU. (CISA) ha emitido recomendaciones urgentes ante esta amenaza creciente. Entre las medidas: aplicar parches de seguridad, segmentar redes internas y usar autenticación multifactor resistente al phishing. La amenaza ya no es solo un virus. Es parte de una estrategia militar invisible pero poderosa, coordinada desde Moscú.
Las operaciones de la Unidad 29155 confirman el uso de herramientas digitales como armas de guerra modernas. En este nuevo escenario, la frontera entre la paz y el conflicto se ha desdibujado. El ciberespacio es terreno hostil. Y esta unidad, hasta ahora fantasma, ya tiene nombre, responsables y un historial que no deja lugar a dudas.
Desde al menos 2020, actores cibernéticos afiliados a la Unidad 29155 del GRU (inteligencia militar rusa) han llevado a cabo operaciones cibernéticas dirigidas a objetivos globales con fines de espionaje, sabotaje y daño reputacional. El FBI, la NSA y la CISA identificaron que esta unidad es responsable del uso del malware destructivo WhisperGate contra organizaciones ucranianas desde enero de 2022. A diferencia de otras unidades del GRU más conocidas, como la 26165 y 74455, la Unidad 29155 combina operaciones cibernéticas con actividades de sabotaje físico, intentos de golpe de Estado e incluso intentos de asesinato en Europa.
Estas operaciones cibernéticas han incluido campañas como desfiguración de sitios web, escaneo de infraestructura, robo y filtración de datos. Desde 2022, el enfoque principal ha sido interrumpir los esfuerzos internacionales para apoyar a Ucrania. Se han observado más de 14,000 casos de escaneo de dominios en países de la OTAN, la Unión Europea, América Latina y Asia Central. Las víctimas incluyen sectores clave como servicios gubernamentales, financieros, transporte, energía y salud.
El FBI señala que los operadores cibernéticos de esta unidad suelen ser oficiales jóvenes del GRU que ganan experiencia técnica a través de estas acciones. Además, colaboran con actores criminales externos al GRU para facilitar sus operaciones. Las autoridades recomiendan medidas urgentes para mitigar estos ataques, como mantener sistemas actualizados, segmentar redes, y utilizar autenticación multifactor resistente al phishing. También se identifican varios grupos de amenazas relacionados, como Cadet Blizzard, Ember Bear, Frozenvista, UNC2589 y UAC-0056, según diferentes empresas de ciberseguridad.
En resumen, la Unidad 29155 representa una amenaza significativa y persistente para la ciberseguridad global, combinando técnicas avanzadas con una agenda geopolítica clara centrada en el conflicto con Ucrania y la desestabilización de aliados occidentales.
APT28 y APT29, los osos hackers del ciberespacio
En el entramado de la guerra híbrida contemporánea, dos nombres resuenan con fuerza en los pasillos de la ciberseguridad global: APT28 (conocido como Fancy Bear) y APT29 (Cozy Bear). Ambos grupos, vinculados a los servicios de inteligencia rusos, han protagonizado algunos de los ciberataques más sofisticados y políticamente sensibles de la última década.
APT28 ha sido atribuido al GRU, la inteligencia militar rusa. Su historial incluye la injerencia en las elecciones presidenciales de EE. UU. en 2016, mediante el hackeo y filtración de correos del Comité Nacional Demócrata (DNC). Según un informe de la Oficina del Director de Inteligencia Nacional de EE. UU. (2021), el grupo llevó a cabo estas acciones para “socavar la confianza pública en el proceso democrático estadounidense”. APT28 también ha dirigido campañas contra parlamentos europeos, medios de comunicación y organismos de la OTAN.
Por otro lado, APT29, presuntamente operado por el SVR (Servicio de Inteligencia Exterior), actúa con más sigilo, especializándose en ciberespionaje prolongado. Fue uno de los actores responsables de la operación SolarWinds en 2020, que comprometió a múltiples agencias federales estadounidenses y compañías tecnológicas a través de una cadena de suministro infectada. Microsoft y FireEye, dos gigantes del sector, confirmaron que el grupo permaneció infiltrado durante meses antes de ser detectado.
Ambos colectivos comparten algo más que su origen ruso: actúan alineados con los intereses estratégicos del Kremlin. Aunque Moscú niega cualquier vinculación, informes de organismos como la OTAN, la UE y centros de análisis como Mandiant o CrowdStrike, señalan una conexión directa con las políticas exteriores y de defensa del Estado ruso. Su finalidad va más allá del robo de información: buscan desestabilizar, sembrar discordia y erosionar la confianza en las democracias occidentales.
En tiempos donde el poder se disputa en la red tanto como en los despachos diplomáticos, APT28 y APT29 representan la cara digital de una Rusia que entiende el ciberespacio como un dominio más del conflicto global
Sandworm, el soldado cibernético de la unidad 74455
En las sombras digitales de la geopolítica mundial se mueve uno de los grupos de ciberamenazas más temidos y destructivos: Sandworm, la unidad cibernética del GRU ruso (Dirección Principal de Inteligencia del Estado Mayor). Identificada como Unidad 74455, esta célula militar especializada en guerra informática ha protagonizado algunos de los ataques cibernéticos más graves y sofisticados del siglo XXI, dejando a su paso devastación en infraestructuras críticas, procesos democráticos y sistemas energéticos.
Desde su aparición registrada en 2009, Sandworm ha perfeccionado su arsenal digital con una precisión militar. Ha estado detrás de los apagones masivos en Ucrania en 2015 y 2016, empleando malware como Industroyer y KillDisk para comprometer redes SCADA (control industrial) y dejar a millones sin electricidad. En 2017, elevó su perfil global con el lanzamiento de NotPetya, un ataque disfrazado de ransomware que causó más de 10 mil millones de dólares en daños en sistemas corporativos y gubernamentales de todo el mundo.
Pero su accionar no se limita al espionaje o sabotaje: Sandworm también ha interferido en la campaña presidencial francesa de 2017, ha atacado a la Organización para la Prohibición de Armas Químicas, y ha saboteado los Juegos Olímpicos de Invierno de 2018 con el malware conocido como Olympic Destroyer. Su alcance geográfico incluye desde Ucrania hasta Georgia, Francia, Corea del Sur y Estados Unidos.
A diferencia de otros grupos de ciberamenazas, Sandworm no actúa con fines exclusivamente financieros. Su misión está anclada en la lógica de la guerra híbrida: desestabilizar, desinformar y destruir. Opera con el respaldo directo del Estado ruso y su estructura técnica y logística lo convierte en un actor cuasimilitar en el ciberespacio.
Su arsenal incluye herramientas como:
- BlackEnergy: para botnets y ataques DDoS.
- KillDisk: diseñado para inutilizar discos duros.
- Industroyer e Industroyer2: malware dirigido a redes eléctricas e ICS.
- NotPetya: ransomware con capacidad de propagación masiva.
- CaddyWiper y Cyclops Blink: limpiadores de datos y backdoors en routers.
- Infamous Chisel: un malware para espiar dispositivos Android del ejército ucraniano, capaz de exfiltrar datos de Telegram, WhatsApp, Google Authenticator y más.
Cada nueva herramienta representa no sólo una amenaza inmediata, sino también una filtración potencial hacia otros grupos cibercriminales, lo que multiplica su impacto más allá de los fines militares. El accionar de Sandworm continúa en plena expansión. En mayo de 2023, el grupo atacó más de 20 redes SCADA en Dinamarca, afectando cadenas de suministro energético. Aprovechando vulnerabilidades “zero-day” en firewalls Zyxel, la operación demostró un conocimiento técnico anticipado de fallas críticas no divulgadas, algo que solo una organización con recursos estatales puede conseguir.
También en 2023, se detectó su campaña “Infamous Chisel”, que comprometió teléfonos Android del ejército ucraniano para robar datos financieros y militares, lo que evidencia su capacidad para combinar ciberespionaje con guerra directa. Ante la magnitud de sus crímenes, en 2020 el gobierno de EE. UU. imputó a seis oficiales de la GRU por los ataques de Sandworm, marcando un precedente legal en la persecución internacional de cibercriminales estatales. La Oficina Federal de Investigaciones (FBI) los incluyó en su lista de los más buscados y ofreció una recompensa de 10 millones de dólares por información que conduzca a su arresto.
Mientras tanto, países como los Países Bajos, Francia y Georgia también han denunciado y documentado acciones del grupo en sus territorios, lo que posiciona a Sandworm como una amenaza transnacional de primer nivel. Aunque gran parte de la atención pública se ha centrado en las agresiones contra Ucrania, el historial de Sandworm revela una agenda mucho más amplia. Sus blancos no son solo los enemigos políticos del Kremlin, sino también los sistemas democráticos, económicos y energéticos de Occidente. El potencial de que alguno de sus ataques escale hacia un conflicto internacional abierto es real.
El problema se agrava con la posibilidad de que los kits de herramientas desarrollados por Sandworm caigan en manos de grupos terroristas, mafias digitales o actores sin escrúpulos. Algunos de sus malware ya han sido reutilizados por otros APT (Amenazas Persistentes Avanzadas) y están disponibles en foros clandestinos de la dark web.
Sandworm encarna la cara más oscura de la guerra moderna: la guerra cibernética de precisión, silenciosa, invisible y devastadora. Lo que comenzó como una estrategia de desestabilización local ha escalado hasta convertirse en una amenaza estratégica para toda la infraestructura digital global.
Frente a esto, la comunidad internacional necesita respuestas más sólidas. No basta con sanciones o recompensas: se requiere colaboración en inteligencia de amenazas, inversiones masivas en ciberdefensa industrial y una arquitectura legal internacional que equipare los ciberataques a crímenes de guerra.
La lección que deja Sandworm es clara: cuando los datos se convierten en armas y la infraestructura crítica es un blanco legítimo, nadie está a salvo. El futuro de la seguridad global dependerá de cuánto se comprenda, anticipe y combata a actores como este. Porque si Sandworm logra su objetivo, el apagón no será solo eléctrico: será político, social y civilizatorio.
Grupos no adscritos a organismo estatales pero alineados con el Kremlin
En la sombra del ciberespacio, tres nombres rusos se han convertido en sinónimo de caos digital: KillNet, REvil y Conti. Estos grupos de hackers, con distintas motivaciones y grados de sofisticación, han protagonizado algunos de los ataques cibernéticos más notorios de la última década. Aunque no todos tienen vínculos oficiales con el Kremlin, sus acciones coinciden con los intereses geopolíticos del Estado ruso y, en algunos casos, revelan una clara colaboración con sus aparatos de inteligencia o el crimen organizado.
KillNet: el hacktivismo patriótico al servicio de Moscú
KillNet emergió en marzo de 2022, poco después del inicio de la invasión rusa a Ucrania. Se autodenomina un colectivo de “hacktivistas patriotas rusos” y desde entonces ha protagonizado una campaña de ataques de denegación de servicio (DDoS) contra países y entidades que apoyan a Ucrania.
Entre sus acciones más destacadas están:
- Ataque al Gobierno de Rumanía (abril 2022): dejaron fuera de servicio los sitios web del Ministerio de Defensa, la Policía de Fronteras y el Senado.
- Ciberataques contra Italia (mayo 2022): tumbaron las webs del Senado y del Instituto Nacional de Salud, según la Agenzia per la Cybersicurezza Nazionale.
- Campaña contra el Parlamento Europeo (noviembre 2022): poco después de que este declarara a Rusia como Estado patrocinador del terrorismo, KillNet revendicó un ataque DDoS que bloqueó temporalmente el sitio del organismo legislativo europeo.
Aunque KillNet niega vínculos formales con el gobierno ruso, la elección de sus objetivos y el contexto político refuerzan la idea de una coordinación tácita o incluso directa con los servicios de inteligencia. El Centro de Ciberinteligencia del Reino Unido (NCSC) ha señalado que “estos grupos hacktivistas operan en sincronía con los intereses estratégicos del Estado ruso, incluso si no son dirigidos oficialmente por él”.
REvil: ransomware de lujo con protección estatal
REvil (acrónimo de Ransomware Evil), surgió en 2019 como sucesor del grupo GandCrab, y rápidamente se convirtió en uno de los grupos de ransomware (secuestro de datos) más activos del mundo. Funcionaban como Ransomware-as-a-Service (RaaS), permitiendo a afiliados alquilar su software para realizar ataques, compartiendo los beneficios de los rescates.
Entre sus operaciones más famosas destacan:
- JBS Foods (mayo 2021): atacaron a la mayor productora de carne del mundo, interrumpiendo sus operaciones en EE. UU., Canadá y Australia. El rescate fue de 11 millones de dólares en Bitcoin, según confirmó la propia empresa.
- Kaseya (julio 2021): comprometieron a esta empresa de software de gestión IT, afectando a más de 1.500 compañías en 17 países, desde farmacias en Suecia hasta cooperativas agrícolas en EE. UU. REvil pidió 70 millones de dólares a cambio de una clave maestra de descifrado.
A pesar de que en enero de 2022 Rusia anunció la detención de 14 miembros del grupo, expertos como Dmitry Smilyanets (Recorded Future) afirman que fue una operación simbólica para apaciguar tensiones con EE. UU., sin que supusiera una verdadera ruptura con estos actores. De hecho, REvil operó durante años con total impunidad en Rusia, bajo la mirada permisiva , posiblemente protectora, del FSB (Servicio Federal de Seguridad), como señalan informes de Flashpoint y Chainalysis.
Conti: la máquina de extorsión que perdió el control
Conti operó entre 2020 y 2022, consolidándose como uno de los grupos de ransomware más agresivos. Su infraestructura, de tipo empresarial, incluía atención técnica a víctimas y negociaciones en tiempo real. Utilizaban tácticas de “doble extorsión”: cifraban archivos y amenazaban con publicar la información robada si no se pagaba.
Ataques relevantes incluyen:
- Servicio de Salud de Irlanda (HSE, mayo 2021): provocaron la paralización de hospitales durante semanas. Se exigieron 20 millones de dólares, aunque el grupo luego ofreció una clave de descifrado gratuita sin renunciar a vender los datos robados.
- Costa Rica (abril-mayo 2022): atacaron al Ministerio de Hacienda y otras entidades, paralizando el comercio exterior del país durante semanas. Declararon que su objetivo era derrocar al gobierno. El entonces presidente, Carlos Alvarado, calificó el ataque como una amenaza nacional sin precedentes.
En mayo de 2022, tras declarar abiertamente su apoyo a la invasión rusa de Ucrania, un miembro descontento filtró más de 60.000 mensajes internos del grupo, revelando operaciones, pagos y conexiones con actores rusos. Esta filtración, conocida como Conti Leaks, expuso que varios miembros tenían vínculos directos con el FSB y que parte de su financiación provenía de redes del crimen organizado que operan desde Moscú y San Petersburgo.
KillNet, REvil y Conti demuestran que el crimen cibernético en Rusia no opera al margen del poder, sino en muchos casos, como una extensión informal del Estado, una herramienta flexible en el arsenal de la guerra híbrida moderna. Mientras estos grupos actúan en la penumbra, el Kremlin se beneficia de sus efectos: desestabilización internacional, presión geopolítica y ganancias económicas sin necesidad de intervención militar directa.
NoName07, una nueva generación de hackers patrióticos que tiene a España en el punto de mira
Desde el estallido de la guerra en Ucrania en febrero de 2022, el conflicto no solo se ha librado en los campos de batalla físicos, sino también en el terreno virtual. Uno de los protagonistas de esta guerra híbrida ha sido el grupo de hackers NoName057(16), una célula de corte hacktivista alineada con los intereses del Kremlin. Aunque sus capacidades técnicas no son especialmente sofisticadas, sus acciones han causado importantes disrupciones en servicios públicos, entidades gubernamentales y sectores estratégicos de países aliados de la OTAN.
Según informes de Avast y del centro de inteligencia de amenazas de Recorded Future, NoName057(16) ha ejecutado más de 1.500 ataques DDoS (denegación de servicio distribuido) desde marzo de 2022, con una tasa de éxito del 40%. Su herramienta principal es un malware de desarrollo propio llamado DDoSia, distribuido a través de Telegram y GitHub, que permite saturar redes objetivo con miles de solicitudes simultáneas.
NoName057(16) opera con una estructura semiabierta. A través de canales de Telegram ,con más de 52.000 suscriptores, el grupo coordina y difunde instrucciones, objetivos y celebraciones de ataques exitosos. La plataforma también sirve como vía de reclutamiento para voluntarios prorrusos de todo el mundo, quienes pueden unirse a la ofensiva digital ejecutando DDoSia desde sus propios dispositivos.
El malware Bobik, utilizado para expandir su red de bots, actúa en combinación con RedLine Stealer, lo que permite infectar servidores, controlar remotamente redes y mantener ataques DDoS persistentes. Según Sekoia.io, esta infraestructura refleja una escalada en la profesionalización del hacktivismo prorruso, a menudo vinculado al aparato de propaganda del Kremlin y al apoyo técnico de actores asociados al GRU o al FSB, aunque sin una atribución oficial directa.
El grupo ha enfocado sus ataques en infraestructura crítica, principalmente en sectores gubernamentales, financieros y de transporte. En 2023, sus principales blancos fueron Polonia, Lituania, República Checa, Italia y España. A pesar de su ideología prorrusa, Ucrania ocupó solo el sexto lugar en su lista de objetivos, en una estrategia orientada más a castigar a sus aliados que al propio enemigo.
Entre los ataques más notorios destacan:
- Ucrania (junio 2022): lanzaron ataques contra webs del gobierno, correos y transportes. Luego atacaron medios de comunicación para limitar la información contraria a Rusia.
- Lituania y Estonia (julio 2022): en represalia por sanciones de la UE, sabotearon los sitios de empresas ferroviarias y de transporte, e incluso bancos como SEB.
- República Checa (enero 2023): durante las elecciones presidenciales atacaron webs de candidatos y entidades electorales como el Ministerio de Relaciones Exteriores y la organización Watchman of the State.
- Canadá (septiembre 2023): eliminaron temporalmente sitios del gobierno de Quebec y puertos clave como Montreal y Halifax, además de bancos como TD Bank y Laurentian Bank.
- Italia (enero 2025): durante la visita de Zelensky a Roma, sabotearon más de 20 sitios gubernamentales, incluyendo la Guardia di Finanza, el Ministerio de Exteriores y el de Desarrollo Económico, en respuesta al apoyo explícito del primer ministro italiano a Ucrania.
El patrón de comportamiento de NoName057(16) revela una agenda fuertemente ideologizada, enfocada en socavar la estabilidad de países que apoyan a Ucrania. Aunque no se les ha atribuido un patrocinio directo del Kremlin, su narrativa y sus objetivos coinciden estrechamente con los intereses geopolíticos rusos. El grupo es parte de una constelación de actores como KillNet y XakNet, que conforman la cara cibernética del nacionalismo militante ruso. Expertos como John Hultquist, de Mandiant (ahora parte de Google), advierten que “estos grupos actúan con el consentimiento del Estado ruso, que permite e incluso estimula estas operaciones mientras niega públicamente su responsabilidad”.
En un contexto de creciente dependencia digital y tensiones geopolíticas, NoName057(16) representa una amenaza seria, no por su sofisticación, sino por su persistencia, su narrativa polarizante y su capacidad para movilizar masas digitales al servicio de una agenda geoestratégica hostil.
Desde el inicio de la invasión rusa a Ucrania en 2022, España se ha convertido en un blanco frecuente de los ciberataques lanzados por el grupo hacktivista prorruso NoName057(16). Esta organización, que forma parte de un entramado más amplio de grupos alineados con los intereses del Kremlin, ha intensificado sus acciones contra países de la OTAN como respuesta al apoyo occidental a Ucrania. En el caso español, sus ataques han ido dirigidos contra instituciones gubernamentales, infraestructuras críticas y entidades financieras.
El grupo, activo desde marzo de 2022, se especializa en ataques de denegación de servicio distribuido (DDoS), con el objetivo de colapsar servidores y suspender el acceso a servicios públicos y privados. En el contexto español, los primeros objetivos fueron La Moncloa, el Banco de España y varios ministerios. A lo largo de 2023, las ofensivas aumentaron en intensidad y simbolismo, coincidiendo con eventos políticos clave como las elecciones generales de julio, donde resultó afectado el portal del Ministerio del Interior.
Además, durante visitas diplomáticas relevantes, como la del presidente ucraniano Volodímir Zelenski, el grupo apuntó a infraestructuras estratégicas como los transportes de Madrid y Granada. En 2024, el foco se amplió a instituciones judiciales, educativas y económicas, incluyendo el Ministerio de Justicia, la Cámara de Comercio de Madrid, y universidades públicas.
Uno de los episodios más relevantes ocurrió en diciembre de ese año, cuando las fuerzas de seguridad detuvieron a tres ciudadanos españoles por su presunta colaboración con NoName057(16), acusados de participar en ciberataques con motivación ideológica y nexos con propaganda rusa.
En 2025, el grupo intensificó su campaña bajo el nombre #OpSpain, atacando páginas institucionales como las de los ayuntamientos de Zaragoza y Donostia, la Asamblea de Madrid, la DGT, así como portales logísticos clave como el del Puerto de Tarragona. Estas ofensivas coincidieron con roces diplomáticos entre Madrid y Moscú tras la inmovilización de un barco ruso en territorio español. Los ataques de NoName057(16) se organizan a través de canales en Telegram, donde el grupo recluta seguidores y publica sus acciones. Emplean herramientas como DDoSia y el malware Bobik, que transforma dispositivos comprometidos en bots para futuras ofensivas.
Ante esta amenaza, organismos como el centro vasco ZIUR han alertado de un “drástico aumento” en el volumen de ataques. Por su parte, el Ministerio del Interior ha reforzado su estrategia de ciberdefensa, adjudicando contratos millonarios para proteger los sistemas más vulnerables del Estado. En un contexto geopolítico marcado por la guerra híbrida, NoName057(16) demuestra que la guerra digital ya no es una amenaza futura, sino una realidad persistente que afecta directamente a la seguridad de los países europeos, incluida España.
The post Guerra híbrida, el arma invisible de Rusia first appeared on Hércules.
