Operación Global de Europol: desmantelada red cibercriminal prorrusa
Operación Eastwood se llevó a cabo entre el 14 y el 17 de julio de 2025.
Una operación internacional a gran escala, denominada Eastwood, ha logrado desarticular la red cibercriminal prorrrusa NoName057(16), responsable de una serie de ataques de denegación de servicio distribuidos (DDoS). Cooridanada por Europol y Eurojust, esta acción conjunta se llevó a cabo entre el 14 y el 17 de julio de 2025, y representa un golpe contundente contra quienes han dirigido ataques a Ucrania y a los países que la apoyan, incluyendo a varios miembros de la Unión Europea.
Alcance y coordinación internacional
En esta ambiciosa operación participaron autoridades policiales y judiciales de República Checa, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos y Estados Unidos, quienes actuaron de forma simultánea contra los ciberdelincuentes y su infraestructura. La investigación también contó con el crucial apoyo de ENISA, así como de Bélgica, Canadá, Dinamarca, Estonia, Letonia, Rumanía y Ucrania. Europol jugó un papel central facilitando el intercambio de información y coordinando las actividades operativas, actuando como un centro neurálgico entre las autoridades nacionales y las agencias de la UE. Organizó más de 30 reuniones y dos "sprints" operativos, además de coordinar una campaña de prevención dirigida a los supuestos afiliados. Por su parte, Eurojust coordinó las actividades judiciales y aseguró la ejecución de Asistencias Legales Mutuas y Órdenes Europeas de Investigación, incluso durante el día de acción del 15 de julio. El Joint Cybercrime Action Taskforce (J-CAT) de Europol también brindó un apoyo fundamental en esta investigación de alto perfil.
Impactantes resultados de la operación
La Operación Eastwood ha arrojado resultados significativos en la lucha contra la ciberdelincuencia: se interrumpió una infraestructura de ataque que comprendía más de un centenar de sistemas informáticos a nivel global.Una parte principal de la infraestructura central de servidores de NoName057(16) fue desconectada. Se emitieron un total de 7 órdenes de arresto (6 por Alemania y 1 por España), dirigidas, entre otros, contra seis ciudadanos rusos, dos de los cuales son señalados como los principales instigadores de la red. Todos los sospechosos están en la lista de los más buscados internacionalmente, con cinco perfiles publicados en el sitio web EU Most Wanted. Se realizaron 2 arrestos (uno preliminar en Francia y otro en España).Se llevaron a cabo 24 registros domiciliarios en varios países (12 en España, 5 en Italia, 3 en Alemania, 2 en República Checa, 1 en Francia y 1 en Polonia).Se interrogó a 13 individuos (5 en España, 4 en Italia, 2 en Alemania, 1 en Francia y 1 en Polonia).Se envió una notificación a más de 1.000 simpatizantes de la red (incluyendo 15 administradores) a través de una popular aplicación de mensajería, informándoles sobre su responsabilidad legal.
Motivación y tácticas de la red NoName057(16)
Las investigaciones identificaron a NoName057(16) como una red criminal de carácter ideológico que profesa apoyo a la Federación Rusa. En el contexto de la guerra en Ucrania, se les ha vinculado a numerosos ataques DDoS, cuyo objetivo es saturar servicios en línea hasta dejarlos inoperativos. Se estima que la red cuenta con más de 4.000 simpatizantes, y logró construir su propia botnet con varios cientos de servidores para aumentar la potencia de sus ataques.El grupo utilizaba canales prorrusos, foros y grupos de chat especializados para reclutar voluntarios y difundir llamados a la acción y tutoriales. Sus miembros son principalmente simpatizantes de habla rusa que usan herramientas automatizadas, como la plataforma DDoSia, que simplifica los procesos técnicos. Además, los participantes eran remunerados con criptomonedas, lo que incentivaba la participación continua. La red empleaba una "manipulación gamificada" con clasificaciones, insignias y reconocimiento para dar un sentido de estatus a los voluntarios, reforzando una narrativa emocional de defensa de Rusia o venganza, a menudo dirigida a atacantes más jóvenes.
Historial de ataques y mitigación
Los ciberatacantes de NoName057(16) inicialmente se enfocaron en Ucrania, pero posteriormente dirigieron sus ataques a países que apoyan a Ucrania, muchos de los cuales son miembros de la OTAN.Las autoridades nacionales han reportado diversos ciberataques vinculados a NoName057(16): en 2023 y 2024, la red atacó sitios web de autoridades y bancos suecos. Desde noviembre de 2023, Alemania sufrió 14 oleadas de ataques contra más de 250 empresas e instituciones. En Suiza, se registraron múltiples ataques en junio de 2023 (durante un mensaje de video ucraniano al Parlamento) y en junio de 2024 (durante la Cumbre de Paz por Ucrania). Recientemente, Países Bajos confirmó un ataque vinculado a esta red durante la última cumbre de la OTAN. Cabe destacar que, a pesar de la magnitud de estos incidentes, todos los ataques fueron mitigados sin interrupciones sustanciales en los servicios afectados, gracias a los esfuerzos coordinados de ciberseguridad.
Escribe tu comentario