El mayor golpe conjunto de Europol y Eurojust contra un grupo especializado en ataques DDoS contra instituciones de países pro-OTAN deja más de 100 servidores fuera de línea, dos arrestos y siete órdenes de detención internacional. Si quieres aprender más sobre esta materia, te recomendamos el Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa de LISA Institute.
Una red de más de 4.000 seguidores, capaz de tumbar webs ministeriales y servicios críticos en media Europa, quedó desarticulada el 15 de julio de 2025 tras la denominada Operación Eastwood. Así se fraguó el desmantelamiento de NoName057(16), el colectivo cibercriminal prorruso que llevaba años hostigando a los países que apoyan a Ucrania.
Las claves de la operación
- Infraestructura desconectada: más de 100 servidores y parte del centro de mando quedaron fuera de línea.
- Detenciones y órdenes: 2 arrestos (Francia y España) y 7 órdenes de búsqueda (seis contra ciudadanos rusos).
- Acción sincronizada en 12 países: registros simultáneos en Alemania, Italia, España, Estados Unidos, Polonia, Francia, Chequia y otros.
- Seguidores advertidos: 1.100 usuarios y casi veinte administradores de grupos recibieron una notificación legal directa vía Telegram sobre posibles cargos penales.
- Modelo de negocio expuesto: pagos en criptomonedas, gamificación y la herramienta DDoSia para facilitar ataques.
Por qué importa
- Revoca su capacidad de coordinar ataques masivos y rompe su botnet (grupo de dispositivos que han sido infectados con malware y que son controlados de forma remota por un atacante).
- Golpea el liderazgo y envía un mensaje disuasorio a simpatizantes.
- Muestra que la cooperación judicial transfronteriza puede neutralizar las amenazas distribuidas internacionalmente.
- Frena la «ciber-milicia» voluntaria y reduce futuros ataques coordinados.
- Aclara cómo se financiaba y reclutaba el grupo, útil para prevenir réplicas similares en el futuro.
Cómo se gestó la operación
- Inteligencia previa: Países Bajos rastreó ataques que coincidieron con la cumbre de la OTAN y compartió indicadores de compromiso con Europol.
- Coordinación Eurojust: se tramitaron Órdenes Europeas de Investigación para que las pruebas digitales se admitieran en tribunales de los 12 territorios implicados.
- «Sprints» operativos: dos maratones de análisis forense conjugaron datos de registros, ISP y exchanges de criptomonedas para mapear la botnet y la cadena de pagos.
- Día D: entre el 14 y el 17 de julio, equipos policiales ejecutaron 24 registros domiciliarios y desconectaron servidores alojados en centros de datos de cinco países.
Por qué era peligrosa NoName057 (16)
- Volumen de ataques: llegó a orquestar hasta 70 ataques DDoS diarios, afectando 5.358 webs privadas y 674 organismos públicos en Europa, según Europol.
- Objetivos críticos: ministerios de Defensa, bancos estatales y portales de transporte fueron derribados en momentos electorales o cumbres internacionales.
- Ideología y propaganda: combinaba el ciberdelito con la narrativa prorrusa, incentivando a voluntarios con recompensas y «medallas» virtuales para mantener la moral.
Qué viene ahora
- Procesos judiciales: los dos detenidos afrontan cargos de perturbación grave de sistemas informáticos y pertenencia a organización criminal. Las órdenes contra residentes en Rusia dependen de la cooperación internacional.
- Refuerzo de ciberdefensa: la operación refuerza el uso de equipos conjuntos de respuesta rápida de la UE y la colaboración con Estados Unidos para rastrear criptotransacciones.
- Efecto disuasorio: al exponer el riesgo legal para los simpatizantes, las agencias esperan reducir la participación en futuros ataques coordinados.
La gran imagen
El desmantelamiento de NoName057 (16) marca un precedente para frenar las «botnets patrióticas» que mezclan el activismo político y el ciberdelito. La operación demuestra que, con intercambio en tiempo real de pruebas y una ofensiva coordinada, incluso redes descentralizadas de miles de voluntarios pueden neutralizarse.
