La guerra cibernética entre Rusia y Ucrania comenzó mucho antes de que las tropas del Kremlin pusieran sus botas sobre el terreno en febrero de 2022. Sin embargo, con el inicio de las hostilidades del mundo físico salieron a la luz nuevos cibercomandos cuyo objetivo iba más allá de las operaciones militares. “Aparecimos en la esfera pública al comienzo de la Operación Militar Especial de Rusia. Fue entonces cuando unimos fuerzas y decidimos salir de las sombras. No nos interesaba la fama, nos motivaba el deseo de hacer justicia y defender el honor de nuestra Patria, Rusia, en el espacio de la información, que es lo que seguimos haciendo hasta el día de hoy”, dicen desde NoName057(16).
NoName057(16) es el grupo de este tipo más activo contra objetivos españoles. El sector de la ciberseguridad les denomina hacktivistas (hackers activistas) y ellos aseguran que son voluntarios, aunque este es uno de los muchos puntos controvertidos acerca de estos comandos. Realizan ataques de perfil bajo, especialmente de denegación de servicio, que pueden bloquear webs y tumbar servicios digitales. Aunque de impacto limitado, las ofensivas de NoName057(16) traen de cabeza a las fuerzas de seguridad, ya que en estos dos años han logrado derribar páginas oficiales de ministerios, ayuntamientos, diputaciones o medios de comunicación.
La última fue este mismo marzo, en venganza por el compromiso español de apoyar la defensa de Ucrania cuando concluya el proceso de paz. El propio Pedro Sánchez lo reconoció la pasada semana en una visita oficial a Finlandia. “Estamos hablando con Finlandia también de ciberseguridad. Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reflejó ante su homólogo nórdico. “Nuestra amenaza no es una Rusia que lleve sus tropas por los Pirineos a la península, es una amenaza más híbrida, con ciberataques. Por tanto, lo que tenemos que hacer es no hablar solo de gasto en defensa, sino en seguridad”, insistió a su regreso, encajando la ciberseguridad en el debate sobre aumentar el gasto militar.
A pesar de la creciente preocupación oficial, no existen cifras claras sobre el impacto real de estos ataques en términos económicos o de seguridad nacional. Las autoridades no han publicado estimaciones sobre los costes derivados de las interrupciones de servicios digitales ni sobre los recursos destinados a contrarrestarlos, mientras que la actual Estrategia de Seguridad Nacional, de 2021, hace referencia a las acciones de guerra híbrida pero no a los hacktivistas ni a las consecuencias para la ciberseguridad de la invasión rusa de Ucrania.
La que se lleva a cabo contra estos grupos es una guerra de engaños y juegos de sombras en la que se emplean avanzadas herramientas para anonimizar el rastro digital de los atacantes, que los defensores intentan deshacer. Se lleva a cabo entre especialistas que, en raras ocasiones, se dan cita entre las trincheras para departir. Es lo que ha ocurrido cuando dos de estos grupos de hacktivistas han accedido a entrevistarse con un experto en ciberseguridad español, Rafael López, que ha compartido las trascripciones con elDiario.es.
“Que nos llamen como quieran, lo importante es que nos respeten y nos teman. Pero, en serio, nosotros nos consideramos ante todo un virus, el virus de la justicia, por muy patético que suene. Con nuestras acciones, mostramos la verdadera actitud del gobierno europeo hacia sus ciudadanos”, afirman desde NoName057(16) en su conversación con el experto.
Guerra de propaganda
Ambas partes ganan con la conversación. El comando pro-Putin, una forma de impulsar su propaganda sobre Ucrania y sobre las supuestas consecuencias que tiene interponerse en los deseos geoestratégicos del Kremlin. “Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, transmite NoName057(16).
Los defensores, por su parte, les ofrecen una nueva plataforma para que los atacantes digan demasiado o cometan un error que permita capturarlos. El pasado verano la Guardia Civil detuvo a tres personas en Manacor, Huelva y Sevilla por, presuntamente, colaborar con las ofensivas del grupo. “La particularidad de los ciberataques llevados a cabo por NoName057(16) es que son realizados mediante un software desarrollado por el propio grupo, bautizado como 'DDoSia', que es utilizado de forma voluntaria por individuos que apoyan los fines de esta organización hacktivista”, detalló entonces la Guardia Civil.
“Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, alegan los miembros del grupo en su entrevista con López. “Por supuesto, podemos entrar en casi cualquier lugar si queremos. Le damos un papel importante al trabajo analítico: seleccionamos cuidadosamente los objetivos de los ataques y los escenarios de impacto en el enemigo para causar el máximo daño”, presumen.
“En cuanto a los líderes de Europa... Bueno, es un grupo de personas perdidas que no entienden con quién o con qué están tratando. Si creen que están seguros, tenemos que decepcionarlos: no, no es así. Estamos en todas partes. Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso. No nos importa quién decidió jugar con fuego; siempre defenderemos a los nuestros y destruiremos todo lo que se interponga en nuestro camino. ¿Quieres probar suerte? Bueno, buena suerte. La necesitarás”, continúan durante la entrevista.
Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer cuantos más adeptos, mejor
Este tipo de declaraciones no pillan por sorpresa a sus adversarios. “Tienen un ego enorme y con cada ataque satisfactorio se van retroalimentando, algo muy común entre los activistas”, dice López sobre sus interlocutores. “Tienen un montón de afiliados y mucha gente que les está diciendo constantemente que son buenísimos. Están atacando a la OTAN y la OTAN les teme, están saliendo en prensa, te nombran las fuentes de inteligencia. Ellos saben que hay grupos de trabajo creados con la misión de intentar cazarlos”.
Fue el propio grupo el que empezó a seguir al experto en redes sociales a raíz de que este explicara sus actividades en los medios, lo cual este aprovechó para iniciar la comunicación. “Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer a cuantos más adeptos. Ellos basan su fuerza en sus conocimientos, pero también en tener muchos voluntarios que les ayudan, incluso dentro de los países donde actúan”.
A la caza de voluntarios
Los ataques de denegación de servicio como los que practica NoName057(16) se basan en sobrecargar un sistema, como un servidor o una red, con un exceso de tráfico o solicitudes de datos falsas, haciendo que deje de funcionar correctamente o se cuelgue. Los atacantes avanzados usan múltiples dispositivos para lanzar el ataque simultáneamente, dificultando su detección y defensa. Para eso, los activistas necesitan voluntarios que sumen sus dispositivos a la ofensiva, como presuntamente hacían los tres detenidos en julio en España.
“Los grupos de cibercrimen de corte activista, y más aún los de corte prorruso, buscan sobre todo publicidad, nombre, reputación. De ahí el discurso de que ellos son los mejores, que van en serio, que no tienen ningún tipo de freno y que pueden hacer lo que les dé la gana”, contextualiza Ainoa Guillén, especialista en Inteligencia de amenazas cibernéticas. “¿Qué quieren conseguir? Pues básicamente reclutar nuevos perfiles, porque ellos siempre están intentando reclutar gente que se sume a sus filas”.
En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros
Durante su entrevista con López, el grupo pro-Putin no deja pasar la oportunidad de presumir del éxito de sus campañas de reclutamiento. “Vemos que en Europa hay muchas personas valientes y reflexivas que se unen a nosotros, y esto nos motiva aún más y nos da esperanza en la restauración de un mundo justo. En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros”, afirman.
“En cuanto al número de nuestras ciberfuerzas, responderemos con una cita favorita del poeta clásico ruso Alexander Blok: Millones están con vosotros. Nosotros tenemos oscuridad, y oscuridad, y oscuridad. ¡Intentad luchar contra nosotros!”, contestan al ser preguntados al respecto por el especialista español.
Financiación externa
“Cada uno de nosotros tiene su propio capital y queremos gastar parte de estos fondos en algo real y contribuir a la historia. Muchos de nosotros trabajamos en empleos bastante ordinarios. Te puedes encontrar de todo en nuestras filas, desde un profesor hasta un trabajador de carga. Porque para nosotros, todos son importantes”, aseguran desde NoName057(16) sobre sus integrantes y su financiación. Los expertos lo ponen en duda: “Dependen del GRU, que es el servicio de inteligencia ruso”, recuerda López.
Otra de las razones que impiden a los especialistas confiar en la imagen activista que ellos proclaman es que grupos como NoName07(16) retribuyen a los voluntarios con criptomonedas cuando participan en sus acciones. “No es creíble”, coincide Guillén. “Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen. O incluso algo legal... Lo que está claro es que no puede salir de su bolsillo. Echa cuentas: si retribuyen con 50 o 100 dólares a los voluntarios, participan decenas en cada acción y lanzan operaciones casi todos los días...”.
No es creíble que no tengan financiación externa. Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen
También está el dominio de las herramientas de anonimización de la que hacen gala sus miembros, lo que no concuerda con integrantes con empleos “ordinarios”. “Ellos se especializan en una rama llamada Opsec, que es la seguridad operativa. Es el que se basa en ocultar su rastro y mantener el anonimato. Hay grupos de que incluso fundaron academias propias donde enseñaban sus técnicas y, como docente, he de decir que tenían programas incluso mejores que los nuestros”, refleja la especialista.
Pese a todo, la del activismo es una de las narrativas clave de estos grupos. También de Z-Pentest, otro de los más activos en España en los últimos tiempos, que también han sido recientemente entrevistados por López: “Cada vez que escuchamos algo sobre que estamos patrocinados por algún gobierno, nos reímos tanto que nos sale el café por la nariz. ¡No dependemos del presupuesto de ningún país!”.
Ciberataques contra infraestructuras críticas
Z-Pentest reivindicó los ataques de principios de marzo contra la Casa Real, La Moncloa, el Departamento de Seguridad Nacional, la propia Policía Nacional y varios ministerios. Se cree que el grupo es de origen serbio, pero también es un arma más de la diplomacia ciber del Kremlin. “Siempre estamos del lado de Rusia, no hace falta adivinarlo”, dicen en su entrevista con López: “Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso”.
Z-Pentest ha hecho ataques de denegación de servicio como los de NoName057(16), pero también ha mostrado capacidades de tener un impacto mucho mayor. En colaboración con otros grupos, Z-Pentest accedió a sistemas que gestionan bombas de petróleo y tanques de almacenamiento en Texas, demostrando su capacidad para manipular funciones críticas en infraestructuras industriales.
Durante su conversación con el experto español, su portavoz presume de poder hackear incluso sistemas de la industria militar. “Sí, por supuesto que los hay”, contestan cuando López pregunta si ya han comprometido plataformas de armas: “Pero no lo anunciamos a los cuatro vientos, a diferencia de aquellos que declaran abiertamente su seguridad y luego se preguntan por qué todo de repente salió mal. Guardamos silencio porque el silencio es nuestra mejor arma. Entramos por cualquier hueco, ya sea una vulnerabilidad en el sistema, un eslabón débil en la seguridad o simplemente una contraseña estúpida. Mientras alguien cree que todo está bajo control, nosotros ya estamos dentro, estudiando, analizando, esperando”.
“El mejor momento para atacar es cuando la víctima está convencida de que nadie la tocará. Y cuando ese momento llega… Bueno, el espectáculo comienza”, añaden.
No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU reflejó en un informe de 2024 cómo los hacktivistas prorrusos habían fijado su punto de mira en los sistemas de tecnología operativa a pequeña escala tanto en Norteamérica como en Europa, “especialmente en los sectores de agua y aguas residuales, presas, energía y alimentos y agricultura”. “Tratan de poner en peligro los sistemas de control industrial modulares y expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina, aprovechando el software de acceso remoto y las contraseñas predeterminadas”, alertó la Agencia.
Z-Pentest es además uno de los grupos que ha subido el tono del discurso sobre las consecuencias para la población civil de sus ataques. “No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario. Y nos da igual quién se queje ante la ONU, publique mensajes indignados o grabe apelaciones emocionales después. No nos preocupamos por las consecuencias. Las consecuencias deberían temernos a nosotros”, dicen en su entrevista con López.
“Son grupos peligrosos”, confirma el experto. “Son grupos que están muy radicalizados, que hay que tenerlos muy en cuenta en el panorama actual de ciberguerra que existe porque su radicalización, la especialización y la profesionalización que tienen a la hora de atacar y de reclutar los hacen un enemigo muy importante”, concluye.