Los hackers rusos de Noname atacan la Xunta y los ayuntamientos de Vigo, Lugo, Santiago y A Coruña

España sufre desde hace unas semanas una escalada de ciberataques vinculada a las tensiones geopolíticas en torno a la invasión de Rusia a Ucrania. 

En apenas una semana, entre el 26 de febrero y el 4 de marzo, los incidentes cibernéticos se dispararon un 750%, según los datos recopilados por la consultora especializada HackManac. Entre los blancos de esta ofensiva se encuentran instituciones clave de Galicia, que no han escapado a la furia de los hackers, incluída la Xunta.

NoName057, el principal artífice de los cibertaques rusos a España

El grupo hacktivista prorruso NoName057 se ha erigido como el actor más destacado en esta avalancha de ataques contra España. En tan solo tres días, entre el 2 y el 4 de marzo, este colectivo llevó a cabo más de veinte incursiones digitales, una cifra que se ha duplicado en el marco de su campaña conocida como ‘OpSpain’.

Este grupo, alineado con los intereses de la Federación Rusa desde julio de 2022, utiliza como arma principal los ataques de denegación de servicio distribuido (DDoS), diseñados para colapsar sitios web y sistemas mediante un tráfico masivo de datos. Son ataques dañinos porque pueden tumbar portales y servidores, aunque no robar o acceder a datos confidenciales.
 

Las ofensivas de NoName057 se han gestionado históricamente a través de canales en Telegram, aunque estos han sido eliminados recientemente. Antes de cada ataque, el colectivo solía anunciar sus objetivos en dicha plataforma, un patrón que ha contribuido a su notoriedad desde el inicio de la invasión rusa a Ucrania en 2022. Su proyecto ‘DDoSia’ busca desestabilizar a países que apoyan a Ucrania, especialmente miembros de la OTAN, atacando entidades gubernamentales, empresas financieras y centros de transporte.

Esta campaña global se ha centrado en España en las últimas semanas, después de La Moncloa anunciase un nuevo paquete de ayuda financiera a Kiev.

El pasado viernes, NoName057 golpeó varios ayuntamientos gallegos, entre ellos Santiago de Compostela, Vigo y ACoruña, además de otras instituciones locales. La serie de ataques también afectó a otros ayuntamientos de España, como los  de Mérida y Benavente, cuya webs fue capaz de tumbar.

La primera oleada, iniciada a finales de febrero, ya había puesto en el punto de mira a tres gobiernos autonómicos, incluido el de Galicia, junto a los de Asturias y Canarias.  

No es la primera vez que NoName pone en su punto de vista a la Xunta. Según un informe de la Agencia Vasca de Ciberseguridad, Cyberzaintza, el colectivo atacó xunta.gal dos veces en octubre de 2023. 

Los ataques se enmarcaron en una ofensiva que buscaba, en teoría, apoyar a los bomberos comarcales de Galicia, que por entonces llegaron a ser foco de la atención de televisiones internacionales por sus choques con la Policía durante las protestas en demanda de su estabililzación.

En febrero de 2024 logró tumbar la página del Parlamento de Galicia como una campaña de supuesto apoyo a los agricultores españoles.

En respuesta a las consultas de Galiciapress sobre los ataques recientes, la Xunta de Galicia ha optado por la cautela. Fuentes oficiales han explicado que, por motivos de seguridad, no se ofrecen detalles específicos sobre los ataques salvo que sean de relevancia pública o afecten significativamente a los servicios. Según la administración autonómica, los intentos más habituales buscan robar datos sensibles, bloquear sistemas o explotar vulnerabilidades, y se enmarcan en una dinámica recurrente que, hasta ahora, no ha causado daños graves en la región.

Los ayuntamientos de Vigo, Santiago y A Coruña también fueron contactados por esta redacción, sin recibir respuesta por ahora. El Ayuntamiento de Vigo sí confirmó a Atlántico que su web municipal recibió dos ataques el 7 de marzo.

A nivel nacional, los ataques de las últimas semanas han sido dirigidos entre otros a organismos como La Moncloa, la Casa Real, el Ministerio del Interior, el Estado Mayor de la Defensa, el Centro Criptológico Nacional, el Departamento de Seguridad Nacional y el Ejército de Tierra.

Un desafío constante para la ciberseguridad

La Xunta ha destacado la robustez de sus defensas digitales, afirmando que en 2024 sus plataformas de seguridad perimetral neutralizaron cerca de 237 millones de intentos de ataque, un 42% más que los 166 millones registrados en 2023. 

Alguien paga con criptomonedas a los que se sumen a los ataques

A pesar de las mejoras en en ciberseguridad, los expertos advierten que la amenaza de NoName057(16) sigue evolucionando. En noviembre de 2023, el grupo actualizó su herramienta DDoS para ampliar su compatibilidad con distintos sistemas operativos, lo que, junto a su popularidad, refuerza su capacidad ofensiva.

Según describe la Cyberzaintza “los voluntarios además pueden registrarse en el bot de Telegram utilizando su número de identificación y una billetera criptográfica para optar a ‘premios’ o ‘recompensas’ en función del número total de ataques que realicen todos los voluntarios activos en un día determinado”. 

Esos voluntarios reciben pagos en función de su éxito mediante criptomonedas como Ethereum, Bitcoin o Tether. En marzo de 2023, el grupo publicó que pagaría 80.000 rublos -unos 1.000 euros- al voluntario con más servidores tumbados. Antes de lanzar los ataques, los líderes analizan los portales objetivos. Buscan, por ejemplo, las consultas que provoquen más carga en los servidores para después ordenar una avalancha de peticiones justo contra esas funcionalidades.
 

El grupo se centra principalmente en atacar sitios web de Ucrania, así como de países miembros de la OTAN y de la Unión Europea.  Ucrania recibe ataques de forma constante y el grupo realiza rondas de ofensivas por países en función de la actualidad diplomática relacionada con la guerra.

No todos los voluntarios son rusos. En septiembre, la Guardia Civil  apresó a tres españoles por su presunta participación en ciberataques de denegación de servicios contra instituciones públicas y sectores estratégicos de España y otros países de la OTAN organizados por el grupo hacktivista NoName057(16). 

En su Informe de Cibercriminalidad de 2023, el Ministerio del Interior ya señalaba que “entre los incidentes más relevantes destacan las campañas de Denegación Distribuida de Servicio (DDoS) llevadas a cabo por el actor prorruso NoName057(16) con afectación en operadores de servicios esenciales de diferentes sectores estratégicos, motivado por el escenario geopolítico actual”.