La Policía golpea en Rusia al mayor grupo 'hacktivista' al servicio de Putin
Noname057 (16)'', autor de más de 500 ataques en España, ha sufrido serios daños en su estructura cibernética
La CGI y la Policía alemana lideran una operación pionera de 11 países y vacían y neutralizan sus principales servidores
El CNI consideraba un serio error el contrato con la empresa china
Las policías española y alemana han liderado una operación conjunta de 11 naciones occidentales en la que por primera vez se ha golpeado en su país la infraestructura informática del principal grupo 'hacktivista' ruso, Noname057(16)'', que disponía de más de 600 servidores web para ... sus ataques. Los agentes actuantes, según las fuentes consultadas por ABC, han neutralizado los principales y con su actuación han lanzado un contundente mensaje al Gobierno de Vladímir Putin en el sentido de que tampoco es impune en el mundo virtual.
Creado en 2022 tras la invasión de Ucrania para atacar a los que apoyaron a ese país, captar adeptos fuera de Rusia y difundir propaganda prorrusa, Noname057(16)'' está directamente vinculado con el Gobierno de Vladímir Putin y sólo en España ha protagonizado más de 500 oleadas de ataques de denegación de servicios. Su objetivo era bloquear webs oficiales y luego aprovechaban sus canales de Telegram para dar a conocer sus acciones, lanzar sus consignas y reclutar colaboradores. De hecho tenían más de 4.000 dentro y fuera de Rusia, lo que convierte a esta organización en la principal ciberamenaza 'hacktivista' contra los países occidentales.
La primera acción de este grupo en España se produjo el 14 de octubre de 2022 y el atacado fue el Ministerio de Defensa, obviamente por el apoyo de España a Ucrania. También han sufrido agresiones, entre otras, las webs de la Moncloa, Interior, Exteriores, Casa Real o la del Banco de España, siempre coincidiendo con algún acontecimiento relacionado con la invasión.
Estados Unidos teme por la seguridad de Rota tras el acuerdo de Sánchez con Huawei
Fuentes de la Casa Blanca afirman a ABC que están estudiando represalias por lo que consideran una cesión inexplicable a la dictadura China
En la operación, en la que junto a los especialistas en ciberamenazas de la Comisaría General de Información ha tenido un papel clave el Centro Criptológico Nacional del Centro Nacional de Inteligencia –también ha colaborado la Guardia Civil–, se ha conseguido además descargar toda la información de servidores neutralizados del grupo 'hacktivista'. Según las fuentes consultadas, «cuando se terminen de analizar esos datos se podrá conocer mucho mejor a Noname057(16)''».
Denegación de servicios
Como se ha señalado, la especialidad de este grupo son los ataques de denegación de servicios, sin duda los de menos gravedad porque bloquean de forma temporal las páginas institucionales o gubernamentales haciendo conectarse a sus servidores a la vez decenas de miles de cuentas que controlan los agresores, pero no hay exfiltraciones de información. La solución a estos incidentes suele ser rápida y consiste en ampliar la capacidad de los canales por los que circulan los datos para solventar el 'atasco'.
copia-U55840565620AKL-800x700@diario_abc.jpg)
Como no sólo era España objetivo de Noname057(16)'', sino que sus ataques los sufrían el resto de países occidentales, once de ellos –además del nuestro, Alemania, Francia, Finlandia, Italia, Suecia, Polonia, Lituania, República Checa, Países Bajos, Suiza y Estados Unidos, coordinados por Europol, Eurojust y Enisa– impulsaron una investigación pionera, bautizada como operación Eastwood, diseñada para golpear al grupo 'hacktivista'.
En España el caso se judicializó en la Audiencia Nacional, en el Juzgado Central 1, cuyo titular es Francisco de Jorge. Que se llevara en este órgano judicial era clave porque el objetivo de la operación no era investigar unos simples daños informáticos, que 'a priori' es la naturaleza del delito cometido, sino que éstos tienen una finalidad terrorista en la medida en que lo que se busca es atacar al Estado, en nuestro caso el español. Además, se trataba de actos presuntamente dirigidos por individuos directamente conectados con las autoridades de otro país.
Cuando se planteó la investigación se fijaron tres prioridades: neutralizar la sólida infraestructura cibernética de Noname057(16)''; identificar y emprender acciones contra los administradores; es decir, contra los que dirigen la red, que obviamente están en Rusia, y detectar a los 'minions' (títeres, colaboradores del grupo 'hacktivista') que actuaban desde los distintos países implicados en la operación. Había una cuarta, colateral, que era conocer sus vías de financiación.
El juez De Jorge, de la Audiencia Nacional, diseñó la cobertura jurídica para poder actuar sobre los servidores alojados en Rusia
En cuanto al objetivo de golpear la infraestructura cibernética, había un problema muy relevante. Los servidores principales estaban alojados en Rusia y desde un punto de vista jurídico era problemático actuar en un país tercero. De hecho, todos los países pensaban que no se podía hacer y sólo el juez español Francisco de Jorge dio un paso al frente al argumentar jurídicamente por qué autorizaba esta actuación policial disruptiva y sin precedentes. El viernes pasado el magistrado, que ha trabajado codo con codo con el fiscal coordinador de delitos informáticos José Perals, viajó a la sede de Eurojust para explicar su postura, parecía que sin ningún éxito, aunque en el último momento Alemania decidió sumarse a la posición española.
A efectos operativos esta decisión de los alemanes tuvo consecuencias, porque ya no sólo iba a haber un centro de coordinación en la sede de Europol en el que estaban policías de los once países, sino otro en la sede de la Comisaría General de Información de la Policía, sólo con agentes españoles y germanos desplazados a Madrid.
A las 0:00 horas del martes comenzó la operación de forma simultánea y coordinada. Se eligió ese momento porque era madrugada en Rusia y esa era una circunstancia favorable. España y Alemania tenían, gracias a su investigación, las claves de acceso a los servidores de Noname057(16)'' en Rusia, así que entraron en ellos con facilidad. Primero descargaron toda la información que almacenaban y luego los neutralizaron.
Los alemanes, que se habían centrado en el análisis de la estructura cibernética de los 'hackers' y tenían más información previa que los policías españoles, pidieron que se les dejara golpear a ellos un solo panel en el que estaban alojados los principales servidores; los agentes de nuestro país se ocuparon del resto.
El resultado: España ha inhabilitado 42 servidores de la organización, de 25 de ellos se ha descargado toda la información y se han eliminado los datos de ocho. También se han bloqueado varios servicios de almacenamiento en la nube, así como otros utilizados por la red.
Los datos obtenidos ya son analizados por los expertos y según las fuentes consultadas por ABC «son muy valiosos porque se podrá saber quién organizó el grupo, cómo se estructuró, las comunicaciones internas, vinculaciones...». Son relevantes, por ejemplo, los contactos que el grupo golpeado –vinculado al ministerio ruso dedicado a la promoción de la juventud–, tiene con la red CyberArmyofrussia. con el que comparten metodología y se coordinan para hacer campañas y designar objetivos.
El segundo de los objetivos de la operación Eastwood era el de identificar a los administradores de Noname057(16)''; es decir, a los que dirigían el grupo en Rusia. Alemania ha dictado seis órdenes internacionales de detención y España otra. Las autoridades germanas han difundido la fotografía de los implicados, entre los que destaca Mihail Burlakov, residente como el resto en su país y al que se considera la persona que diseñó el 'software' DdoSia, que era el utilizado por el grupo 'hacktivista' para sus ataques. En cuanto a la OID dictada por la Justicia española, el implicado es un compatriota, con una elevada cualificación técnica y que reside en Rusia. Desempeñaba un papel activo como reclutador y propagandista.
La tercera pata de la investigación, la de localización de los 'minions' (colaboradores) en cada país, también tuvo resultados potentes. En España hubo cinco entradas y registros en domicilios por tener perfil en los canales de Telegram de Noname057(16)'', pero un solo detenido, en Zaragoza, que quedó en libertad. Esta persona se justificó en que trabaja en ciberseguridad, pero su empresa no confirmó este extremo, así que aún debe dar explicaciones. Además, se han enviado avisos a cientos de personas relacionadas con el grupo, no detenidas ya que no ha sido posible su identificación, en el sentido de que sus acciones no son impunes y son perseguidas de forma coordinada por fuerzas policiales estatales.
Un centenar de 'minions'
En España, el número de 'minions', activos o no, es inferior al centenar. Se trata de personas atraídas por teorías conspiranoicas, cabreados, a veces simples curiosos o incluso afines al discurso ruso y que no son conscientes de la gravedad de sus actos. «Tienen que saber que esto no es un juego, que la Policía va a llamar a su puerta», advierten las fuentes consultadas: «Ese es otro de los mensajes potentes de esta operación», añaden. En cuanto a la financiación, los resultados son más modestos, pero también relevantes. La Policía española ha llegado a uno de los monederos de criptomonedas del grupo en el que ahora había poco dinero –apenas 130 dólares–, pero se han movido desde allí 15.000.
Como era de esperar Rusia ha reaccionado. Esta misma semana Noname057(16)'' ha reivindicado una intrusión en un organismo del Ministerio de Interior alemán. De confirmarse sería un salto cualitativo en los ataques de este grupo 'hacktivista', que ha elegido como objetivo el país, con España, que más daño le ha hecho. Las alertas han saltado.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para registrados
Iniciar sesiónEsta funcionalidad es sólo para suscriptores
Suscribete