CiberSeguridad 

Noname057

"NoName057 vuelve a la carga: la ciberamenaza prorusa que apunta directo a España" (Agosto de 2025) 

Durante los primeros meses del año, el grupo de hackers prorrusos NoName057 ha protagonizado una ofensiva sostenida contra las instituciones clave del Estado español. Sus objetivos han abarcado desde ayuntamientos y gobiernos autonómicos hasta organismos de máxima relevancia nacional, afectando a servicios públicos y a la reputación de las entidades atacadas.

En las profundidades menos visibles de la red, donde convergen ideología y ciberdelincuencia, emergió en 2022 una organización denominada NoName057(16). 

Surgió a raíz de la invasión rusa de Ucrania, este colectivo de tendencia prorrusa inició una campaña digital contra aquellos a quienes percibía como adversarios de Moscú. Su estandarte es un rechazo absoluto a la OTAN y a cualquier país que ofrezca apoyo —ya sea militar o económico— a Kiev. 

Desde sus primeros ataques DDoS, dirigidos contra portales oficiales de naciones aliadas a Ucrania, su estrategia fue inequívoca: saturar los servidores con tráfico hasta su inoperancia. Con el tiempo, el grupo evolucionó de ser un actor aislado a conformar un enjambre distribuido, reclutando voluntarios a través de canales de Telegram y prometiendo recompensas por su involucramiento en la ofensiva. 

Herramientas como Bobik y Bovik se convirtieron en su artillería invisible, que utilizaron para atacar ministerios, entidades gubernamentales, empresas estratégicas y organismos internacionales, con la intención de no solo interrumpir, sino también potenciar su mensaje propagandístico. 

Su narrativa, repetida con insistencia, es directa y contundente: sancionar a gobiernos considerados “rusófobos” y recordarles que, en su perspectiva, deben primero abordar sus “problemas internos” antes de financiar lo que denominan “el régimen de Zelensky”. Además, han sabido capitalizar movimientos sociales ajenos, como las protestas de agricultores en España, para infiltrar su retórica en el debate local. NoName057(16) opera en colaboración con otros colectivos afines, adapta su estrategia en respuesta a la presión y se nutre del impacto mediático generado por sus ofensivas.

Operaciones policiales como Eastwood, coordinadas por Europol y Eurojust en 2024, lograron desmantelar parte de su infraestructura y capturar a varios miembros fundamentales. Sin embargo, al finalizar este análisis, el colectivo continúa activo, adaptándose, replegándose cuando es necesario y resurgiendo con nuevas ofensivas. Lo que comenzó como una reacción ideológica ha evolucionado hacia una maquinaria híbrida de hacktivismo y ciberdelincuencia organizada, sirviendo como un recordatorio de que en el entorno geopolítico digital, las fronteras son tan permeables como las redes que las interconectan.

En su primera oleada de ciberataques, las localidades más afectadas incluyeron Palma, Mérida, A Coruña, Vigo, Santiago de Compostela, Lugo y Murcia. La ofensiva no se limitó al ámbito municipal: webs institucionales de gran simbolismo como la Casa Real, la Fábrica Nacional de Moneda y Timbre y los ministerios de Justicia y Política Territorial también se vieron comprometidas.

Un patrón técnico claro: ataques DDoS masivos

El modus operandi de NoName057 se ha caracterizado por el uso intensivo de ataques distribuidos de denegación de servicio (DDoS). Mediante botnets —redes de equipos previamente infectados y controlados de forma remota— los atacantes lograron colapsar servidores desde múltiples puntos geográficos. El resultado: interrupción del acceso a webs y servicios críticos, saturando recursos y generando costes operativos considerables para su recuperación.

Aunque estos cortes, en muchos casos, duraban segundos o minutos, el tiempo necesario para restaurar defensas y normalizar sistemas se extendía durante horas, con un impacto notable en la prestación de servicios públicos.

Operación Eastwood: un golpe que no fue definitivo

En julio de 2024, la Operación Eastwood —una operación internacional coordinada por Europol con participación de la Guardia Civil— asestó un duro golpe a la infraestructura del grupo. Esta ofensiva contra el cibercrimen logró la detención de tres personas vinculadas a NoName057 en Manacor (Baleares), Huelva y Sevilla, además de arrestos y actuaciones en otros países europeos.

La operación contó con la colaboración de decenas de países y de unidades especializadas en ciberseguridad, y permitió interrumpir más de un centenar de sistemas informáticos empleados por el grupo. Estos servidores, distribuidos a nivel global, constituían parte esencial de la infraestructura utilizada para sus ataques.

Sin embargo, pese al alcance de Eastwood, NoName057 no fue completamente desarticulado. En semanas recientes, el grupo ha reaparecido, confirmando su resiliencia operativa y su capacidad para recomponer sus redes.

Resurgimiento y nuevas alianzas

Las alertas de la empresa de ciberseguridad Check Point han revelado que NoName057 ha retomado su actividad con nuevas oleadas de ataques DDoS contra ayuntamientos, portales de transporte y organismos públicos. Lo más preocupante es su colaboración con otros grupos criminales como Z-pentest o Mr.Hamza, lo que amplía sus recursos técnicos y alcance operativo.

Según Check Point, el grupo anuncia con hasta 24 horas de antelación sus objetivos en foros especializados y, tras ejecutar los ataques, difunde capturas y “pruebas” en sus canales de propaganda, principalmente en Telegram y Discord.

Evolución táctica: más allá del DDoS

Si bien los ataques de denegación de servicio continúan siendo su técnica más visible, expertos en ciberseguridad advierten de un salto cualitativo: NoName057 estaría incorporando tácticas más sofisticadas, incluyendo la filtración de datos sensibles, lo que eleva el riesgo para las administraciones públicas a niveles críticos.

Este cambio de enfoque obliga a replantear las estrategias de defensa, pasando de medidas centradas en la continuidad del servicio a una protección integral contra intrusiones y robo de información.

Persecución internacional

Europol mantiene la presión sobre la organización, con órdenes internacionales de detención emitidas por Alemania contra seis miembros residentes en la Federación Rusa. Entre los más buscados figuran Olga Evstratova (21 años) y Mihail Evgeyevich Burlakov (38 años), señalados como principales instigadores, junto a otros miembros identificados como Maxim Lupin, Andrey Muravyov y Andrej Stanislavovich Avrosimow. (El País)

Las cifras actuales de Eastwood reflejan el alcance de la ofensiva:

• 2 arrestos confirmados en España

• 7 órdenes de detención internacionales

• 24 registros domiciliarios

• 13 personas interrogadas

• Más de 1.000 simpatizantes identificados

• Interrupción de más de 100 servidores operativos

Aun así, según Rafael López, ingeniero de seguridad en Check Point Software, el grupo continúa activo y sus canales cifrados en Telegram y Discord siguen operativos, por lo que insta a empresas y administraciones a reforzar urgentemente sus defensas digitales.• 

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.