NoName057(16): el peligroso grupo de hackers rusos que ataca las webs de la administración española

La guerra en Ucrania empezó oficialmente en febrero de 2022. Ni un mes más tarde, Rusia ya contaba con un grupo de piratas informáticos que atacaban webs oficiales de países que daban apoyo a sus enemigos en el conflicto. Unos hackers anti-OTAN que difundían su palabra a través de un canal de Telegram y que consiguieron acólitos que atacaban webs por todas partes del mundo. Telefónica, Telemadrid, la Casa Real o la Generalitat Valenciana se encontraban entre nuestras víctimas.

Ahora sabemos que ese grupo atacó objetivos españoles con un software que ellos mismos crearon, que animaban a que sus miembros realizasen ataques a países de la OTAN "como respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales”, y que incentivaban dichas acciones criminales mediante premios y recompensas a los autores, para reivindicar después públicamente dichas operaciones.

Se trata de NoName057(16). Un grupo que, a pesar de haber nacido en Rusia, cuenta con miembros reconocidos en decenas de países. Este mismo mes, la Guardia Civil les ha asestado un golpe: ha detenido a tres piratas informáticos en tres ciudades españolas distintas, que habrían liderado ataques del tipo DDos contra instituciones públicas y sectores estratégicos de España.

Con la agricultura

El pasado mes de febrero se registraron numerosas protestas en España protagonizadas por agricultores de diferentes puntos del país. Además de las manifestaciones y el correspondiente colapso que generaron en las ciudades, se encontraron con un apoyo inesperado: un grupo de hackers reivindicaba su causa y atacaba las webs de los parlamentos autonómicos del País Vasco, Canarias, Navarra y Murcia.

Los autores eran los miembros de NoName057(16); un grupo de hacktivistas de origen ruso que instaban a la administración española a que cesase en su apoyo a Ucrania y a centrarse en resolver los problemas cotidianos del país. "Apoyamos las huelgas de los agricultores que exigen que las autoridades no patrocinen al régimen criminal de Zelensky y que resuelvan los problemas internos de España", declaraban estos piratas en su canal de Telegram.

Nada nuevo para nuestro país, que es el tercero que más sabotajes informáticos sufre en el mundo: el 4,5% de la totalidad registrada. Solamente por detrás de gigantes como Japón y Estados Unidos (9,5% y 7,8% respectivamente). Instituciones públicas como la DGT o grandes empresas como Iberdrola, Banco Santander y Telefónica son algunas de las que han sido objeto de ataques informáticos. Los piratas roban principalmente datos para acometer posteriores estafas, aunque a menudo también atacan páginas para que dejen de estar operativas y causarles un daño enorme.

Detenidos dos hackers que se hicieron con archivos y datos de la DGT, del Ayuntamiento de Sevilla o de bancos y universidades

Bovik

Según ha podido saber El Periódico de España, del mismo grupo editorial que este diario, el grupo NoName057(16) consiguió configurar un malware (programa para diseminar el ataque) llamado Bovik. Con él, conseguían infectar miles de ordenadores de todo el mundo que no estaban suficientemente protegidos y los convertían en sus bots (robots que cumplen con las tareas que les asignan los delincuentes).

Los hackers enviaban sus órdenes a través de ordenadores localizados en Rusia y Rumanía (un país que, por su laxa legislación en materia de cibercrimen, es uno de los lugares favoritos de maniobra de los delincuentes informáticos, tal como explicó El Periódico de España). Desde allí, trataban de sembrar el caos en páginas de países hostiles según el Kremlin, entre ellos España.

Estos grupos de hacktivistas (activistas informáticos) utilizan, para llevar a cabo sus reivindicaciones, ataques de denegación de servicio distribuido, conocidos como ataques DDoS (por sus siglas en inglés, Distributed Denial of Service), que son intentos maliciosos de interrumpir el acceso normal a un servicio, sitio web o red, sobrecargándolo con un flujo abrumador de tráfico de red. Intentan sobrecargar las páginas de inicio de sesión, los sitios de recuperación de contraseñas y las búsquedas del sitio. Los ataques más exitosos dejan las webs fuera de servicio durante horas o incluso días.

Los ataques estaban remunerados. Desde la cuenta del grupo se ofrecían recompensas por ser los piratas con más objetivos derribados: "80.000 rublos (unos 860 euros) para el voluntario que quede en primer lugar. 50.000 rublos (unos 520 euros) para el segundo. 20.000 rublos (algo más de 200 euros) para el que logre la tercera posición. Y 50.000 rublos a repartir entre los voluntarios que queden entre el cuarto y décimo puesto".

Detenciones

La Guardia Civil ha llevado a cabo una operación contra estos activistas que ha culminado con tres detenciones en Andalucía y Baleares. Uno en Huelva, otro en Sevilla y el último en Manacor (Mallorca). Están acusados de haber guiado ataques DDos contra varios organismos, como la Casa Real, Telemadrid, el Gobeirno de Asturias, Les Corts Valencianes, la web del Ayuntamiento de Granada y sus portales de turismo, bus y metro. Muchos de ellos fueron ataques relacionados con la visita de la celebración de la cumbre europea en la ciudad de la Alhambra.

No han sido los únicos registrados. Entidades privadas también han sido víctimas de este tipo de ataques. Empresas como Telefónica, Jazztel, Orange, Euskaltel o Triodos Bank se encuentran entre los afectados. Eso en lo que respeta a nuestro país. Pero otras naciones contrarias a Rusia también han visto algunas de sus ciberestructuras afectadas, como Noruega, Dinamarca o Lituania.

La investigación contra estos piratas, acusados de llevar a cabo acciones con fines terroristas, ha sido coordinada por la Fiscalía de Sala de Criminalidad Informática y la Fiscalía de la Audiencia Nacional, donde se incoaron las diligencias previas que han dado origen a las detenciones. Una operación que podría dar lugar a más rrestos, dado que la Guardia Civil continúa trabajando para seguir identificando a participantes en los ataques.

Desde el Instituto Armado siguen las pesquisas con varias líneas de investigación porque, aunque se ha procedido contra varios de estos criminales, se sospecha que en España hay muchos otros miembros que pertenecen al grupo o simpatizan con él, por lo que podría haber nuevas detenciones en los próximos días.