Europol ha desarticulado entre los días 14 y 17 de julio una red de ciberdelincuencia prorrusa llamada NoName057(16), destinada inicialmente a atacar Ucrania, pero que habían desplazado su atención hacia los países que apoyaban la defensa de esta nación, muchos de ellos pertenecientes a la OTAN. Los ataques consistían en saturar sitios web o servicios online con tráfico excesivo para inutilizarlos y reclutaban miembros a través de foros online sobre videojuegos o en entornos hackers.
Entre el lunes 14 y el jueves 17 de julio, una operación internacional conjunta, conocida como Eastwood y coordinada por Europol y Eurojust, consiguió desarticular una red de ciberdelincuencia prorrussa llamada NoName057(16). Las autoridades policiales y judiciales de Chequia, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos y Estados Unidos emprendieron acciones simultáneas contra los delincuentes y la infraestructura de esta red. La investigación también contó con el apoyo de ENISA, así como de Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumanía y Ucrania. Las empresas privadas ShadowServer y abuse.ch también colaboraron en la parte técnica de la operación.
Desarticulada una red global de ciberataques con más de cien sistemas afectados
Las acciones provocaron la interrupción de una infraestructura de ataque compuesta por más de cien sistemas informáticos en todo el mundo, mientras que gran parte de la infraestructura central de servidores del grupo quedó fuera de servicio. Alemania emitió seis órdenes de arresto contra ciudadanos rusos, dos de los cuales están señalados como principales instigadores del grupo. En total, se han emitido siete órdenes de arresto, y todos los sospechosos están buscados a nivel internacional, algunos con identidades difundidas en medios de comunicación, incluyendo cinco perfiles publicados en la web de los más buscados de la UE.
Las autoridades nacionales han contactado a cientos de personas que se cree que apoyan esta red de ciberdelincuencia. Quienes actúan para NoName057(16) son principalmente simpatizantes rusoparlantes, sin una estructura jerárquica clara ni conocimientos técnicos avanzados, que utilizan herramientas automatizadas para realizar ataques DDoS, impulsados por motivos ideológicos y de recompensas.
Los resultados de la operación
Durante la operación, se llevaron a cabo dos detenciones: una preliminar en Francia y otra en España. Además, se emitieron siete órdenes de arresto, seis por parte de Alemania y una por España. Las autoridades realizaron un total de 24 registros domiciliarios: dos en Chequia, uno en Francia, tres en Alemania, cinco en Italia, doce en España y uno en Polonia.
En el transcurso de la investigación, fueron interrogadas 13 personas —dos en Alemania, una en Francia, cuatro en Italia, una en Polonia y cinco en España—. Más de 1.000 simpatizantes del grupo, incluidos 15 administradores, fueron notificados de su responsabilidad legal a través de una aplicación de mensajería. Asimismo, se interrumpieron más de 100 servidores a nivel global, dejando fuera de línea gran parte de la infraestructura principal de NoName057(16).
Ataques dirigidos a países de la OTAN que apoyan la defensa de Ucrania
Los delincuentes asociados a la red de delitos cibernéticos NoName057(16) atacaron principalmente a Ucrania, pero desplazaron su atención a atacar a los países que apoyan a Ucrania en su defensa contra la guerra de agresión rusa, muchos de los cuales pertenecían a la OTAN.
Las autoridades nacionales han informado de varios ciberataques relacionados con las actividades delictivas de NoName057(16). En 2023 y 2024, la red delictiva participó en ataques contra las autoridades suecas y sitios web bancarios. Desde el inicio de las investigaciones en noviembre de 2023, Alemania ha sido testigo de 14 oleadas de ataques contra más de 250 empresas e instituciones.
En Suiza, también se perpetraron múltiples ataques en junio de 2023, durante un videomensaje ucraniano dirigido al Parlamento Conjunto, y en junio de 2024, durante la Cumbre de Paz para Ucrania en Bürgenstock. Recientemente, las autoridades neerlandesas confirmaron que se había perpetrado un ataque vinculado a esta red durante la última cumbre de la OTAN en los Países Bajos. Todos estos ataques han sido mitigados sin interrupciones significativas.
Coordinación central para atacar la red de ciberdelincuencia prorrusa
Europol desempeñó un papel clave en la coordinación y apoyo de las acciones contra el grupo NoName057(16), actuando como centro de comunicación entre autoridades nacionales y agencias de la UE. Para ello, organizó más de 30 reuniones y dos sprints operativos, facilitó la colaboración con socios privados y proporcionó apoyo analítico, rastreo de criptomonedas y análisis forense. También lideró una campaña de prevención dirigida a los presuntos afiliados mediante redes sociales y aplicaciones de mensajería.
Durante la jornada de acción del 15 de julio, Europol instaló un centro de coordinación en su sede con representantes de varios países (Francia, Alemania, España, Países Bajos) y Eurojust, además de habilitar un puesto de mando virtual para los demás Estados participantes. El Grupo de Trabajo Conjunto contra la Ciberdelincuencia (J-CAT) también colaboró en la operación, aportando el trabajo conjunto de oficiales cibernéticos de distintos países.
Por su parte, Eurojust coordinó las actividades judiciales entre los países implicados, facilitando la ejecución de órdenes de investigación europeas y asistencia judicial mutua, así como la gestión de solicitudes judiciales de última hora durante la operación.
Manipulación gamificada para motivar ciberataques prorrusos
Las autoridades nacionales identificaron a NoName057(16) como una red criminal con motivaciones ideológicas, que ha expresado su apoyo a Rusia y está vinculada a numerosos ataques DDoS en el contexto de la guerra contra Ucrania. Estos ataques consisten en saturar sitios web o servicios online con tráfico excesivo para inutilizarlos. El grupo, que cuenta con más de 4.000 miembros, llegó a construir su propia botnet de varios cientos de servidores para amplificar su capacidad ofensiva.
Para coordinar sus acciones, difundir instrucciones y reclutar nuevos miembros, el grupo utilizó canales prorrusos, foros, redes sociales y aplicaciones de mensajería. El reclutamiento solía realizarse en pequeños círculos a través de contactos en foros de videojuegos o entornos hackers. Herramientas como DDoSia permitía simplificar los procesos técnicos y proporcionar directrices, lo que permitió a los nuevos reclutas comenzar a operar de forma instantánea.
Además, algunos participantes recibían pagos en criptomonedas, lo que incentivaba su implicación. El grupo empleaba elementos de gamificación, como menciones frecuentes, clasificaciones o insignias, para generar estatus entre los miembros, especialmente entre jóvenes. Esta estrategia, reforzada por una narrativa emocional de apoyo a Rusia o de venganza política, fomentaba la participación continuada de los reclutados en este tipo de ataques.