Desde finales del pasado mes de febrero, España se está viendo sacudida por una alarmante oleada de ciberataques. En apenas una semana (del 26 de febrero al 4 de marzo), el país experimentó un aumento de incidentes cibernéticos de hasta el 750%, situándose como el tercer territorio más atacado del mundo, solo por detrás de Estados Unidos e Italia.
Así lo indican los registros de HackManac, que ha recopilado en una lista todos los ciberataques reivindicados o divulgados a lo largo de esa semana a nivel mundial. Según consta, España fue objeto de un total de 51, dirigidos principalmente contra organismos gubernamentales y estatales, pero que también apuntaron a varias empresas de relevancia.
Entre los objetivos de esta ola de ofensivas, se encuentran La Moncloa, la Casa Real, el Ministerio del Interior, el Estado Mayor de la Defensa (EMAD), el Centro Criptológico Nacional (CCN-CERT), el Departamento de Seguridad Nacional (DSN) y el Ejército de Tierra, instituciones clave en la infraestructura del Estado y la gestión de la seguridad nacional, así como compañías de la talla de Legálitas o El Corte Inglés.
Estos ciberataques, en su mayoría ataques de denegación de servicio distribuido (Distributed Denial-of-Service, DDoS), son atribuidos por HackManack a al menos seis grupos de hackers. No obstante, el número real de colectivos involucrados es superior a la decena. Se trata de colectivos con diversas motivaciones y afiliaciones, que incluyen a siete grupos de hackers vinculados a Rusia y a otros colectivos de distinta procedencia, como Marruecos, Serbia o Malasia. Algunos de ellos se han limitado a llevar a cabo ataques puntuales, pero otros mantienen abierta su ofensiva contra España y continúan lanzando nuevos ciberataques.
Dado el alcance y magnitud de este ciber-bombardeo, hemos decidido abordarlo en dos artículos. En este primero nos vamos a centrar en los grupos prorrusos, que han sido los que han reivindicado un mayor número de ataques. Entre ellos destacan NoName057, que actúa por libre, y TwoNet, que opera tanto en solitario como en alianza con otros cuatro colectivos, también asociados a Rusia. Todos ellos han intensificado sus operaciones en represalia al apoyo del Gobierno español a Ucrania.
NoName057
El grupo prorruso NoName057 está siendo el más activo en esta avalancha de ciberataques contra España. En solo tres días, los últimos del listado de HackMan (del 2 al 4 de marzo), perpetró más de una veintena de ataques, cifra que ya ha duplicado en el marco de su campaña 'OpSpain', la cual no se puede dar aún por concluida.
NoName057 comenzó esta operación después de la cumbre de Londres, celebrada el pasado 2 de marzo, donde el presidente Pedro Sánchez reiteró el "firme compromiso de España con Ucrania". Esta declaración parece haber sido el detonante de la escalada de ataques del colectivo, especializado en DDoS a los que ha vuelto a recurrir para intentar colapsar temporalmente páginas web estatales y afectar la operatividad digital de organismos clave en el país.
La primera veintena de sus ofensivas tuvieron como blanco a tres gobiernos regionales (Galicia, Islas Canarias y Asturias), a les Corts Valencianes, a la Asamblea Regional de Murcia, a la Asamblea de Madrid, así como a numerosos Ayuntamientos, entre los que se encuentran los de Bilbao, San Sebastián, Vitoria-Gasteiz, Toledo, Valladolid, Baracaldo o Miranda de Ebro. También fue víctima de sus ataques la Cámara de Comercio, Industria y Servicios de Madrid, cuya página web logró a tumbar durante un par de horas, según informó Cadena Ser.
El 5 de marzo, NoName057 se atribuyó ciberataques contra los ayuntamientos de Donostia, Irún, Hondarribia y Zaragoza, así como contra la Diputación de Gipuzkoa, la Diputación de Huesca, el Gobierno de Castilla-La Mancha y otras instituciones.
La campaña del grupo contra España no cesó ahí. Dos días después, el pasado viernes, volvió a actuar, sumando a su lista la Diputación de Valencia, la Diputación de Cáceres y la Diputación de Badajoz, los ayuntamientos de Mérida y Benavente, y las webs municipales de Lugo, Santiago de Compostela, Vigo, La Coruña y Murcia. Hasta el momento, esta ha sido la última tanda de ataques reivindicada por NoName057, aunque todo indica que va a llevar a cabo nuevas ofensivas.
De hecho, en su último mensaje de reivindicación, declaró que los ataques contra la infraestructura de internet española continúan en represalia por el paquete de ayuda militar de 1.000 millones de euros que España va a enviar a Ucrania, según anunció Pedro Sánchez el pasado 24 de febrero. En esta línea, el colectivo crítico que España preste este apoyo financiero en lugar de invertir en reforzar su ciberseguridad.
Además, cabe recordar que NoName057 ya tenía "fichada" a España. Lo incluyó entre sus objetivos en junio de 2023 y en febrero del año pasado también se acordó de nuestro país a su manera, con otra oleada de ataques DDoS.
TwoNet
TwoNet, otro grupo prorruso, también está tomando represalias contra España por apoyar a Ucrania. El pasado 2 de marzo, la banda reivindicó la autoría de cinco ciberataques, igualmente de tipo DDoS, que tuvieron como blanco a los ministerios de Defensa y de Inclusión, Seguridad Social y Migraciones, al Centro Criptológico Nacional (CCN), al Real Instituto Elcano y a Newtral, portal que califican como "globalista y atlantista de verificación de medios".
"Con estos ataques, queremos decirle al Gobierno de España que debe cesar su apoyo a Ucrania. Si esto no sucede, pasaremos a atacar sitios gubernamentales y también grandes empresas", declaraba TwoNet en su canal de Telegram. Además, el grupo acompañaba su mensaje de varios enlaces a la herramienta de verificación web Check-Host.net, con los que buscaba mostrar que había conseguido colapsar el servicio de las web españolas.
Por su parte, Newtral reconoció que su página web había sufrido "problemas de estabilidad" durante la jornada, aunque aseguró que fueron "aislados" y "lograron resolverse tras tomar las medidas necesarias". "Tanto este medio como el Instituto Nacional de Ciberseguridad (Incibe) continúan monitoreando el evento".
TwoNet mantiene su ofensiva contra España, según anunció el pasado martes, 4 de marzo. Ese día, sumó a su lista de víctimas a Teckromin, empresa dedicada a la producción de equipos industriales a gran escala, asegurando que había logrado acceder a "cierta información contenida en el servidor, que puede darnos una idea de esta empresa y su trabajo futuro". Posteriormente, también se atribuyó un ciberataque contra Indra, una de las principales compañías españolas de ingeniería tecnológica para los sectores aeroespacial, de defensa y movilidad.
TwoNet no se quedó ahí. En otro mensaje, lanzó esta advertencia tanto a España como al Reino Unido. "Hoy nuestros hermanos y yo atacamos sus sitios. Esto sucederá todos los días durante todo el mes. Les recordamos que detendremos todos los ataques si dejan de apoyar a Ucrania".
Alianza de colectivos prorrusos
Además, el grupo se ha aliado con otros actores de ciberdelincuencia rusos en su lucha contra España y contra otros países que apoyan a Ucrania. OverFlame, Partisan, Sector16 y Sector 091 son sus socios en esta alianza, según declaró Sector 091 en un mensaje que TwoNet compartió en su canal de Telegram y que está nuevamente dirigido específicamente a España y Reino Unido.
"¿Estáis preparados para nuestro recorrido por vuestras infraestructuras? No os preocupes, no os dolerá. Podéis finalizar nuestra operación cibernética en cualquier momento. Para lograrlo bastará con cancelar el apoyo y la asistencia al régimen terrorista del Führer de la cocaína. Sector091 se une a la alianza (TwoNet, OverFlame, Partisan, Sector16) ¡Nuestra alianza tiene razón! Somos rusos - Dios está con nosotros".
El grupo OverFlame también se ha pronunciado en esta misma línea, manifestando que, al igual que sus "compañeros", considera que "las declaraciones del presidente del Gobierno español son extremadamente imprudentes" y ha actuado en consecuencia. En su caso, lanzando dos ciberataques contra importantes compañías: Imatia, proveedora de servicios y soluciones TI para el sector público y privado, y Cimsa, empresa de paracaídas de "talla mundial", como remarcan desde OverFlame.
Próximamente continuaremos analizando el ciber-bombardeo que está sufriendo últimamente España en un segundo artículo, que estará centrado en la involucración de otros grupos de ciberdelincuentes.