Operación global dirigida contra la red de ciberdelincuencia prorrusa NoName057(16)
Los delincuentes atacaron a Ucrania y a países que los apoyaban, incluidos muchos Estados miembros de la Unión Europea (UE)
Oipol & Oijust Unidad OSINT Global Operación, cooperación, traducción y edición, julio 31 de 2025 | Agencia Europea para la Cooperación Policial (Europol), informe y fotos, julio 16 de 2025.- Entre el 14 y el 17 de julio de 2025, una operación internacional conjunta, conocida como Eastwood y coordinada por Europol y Eurojust, se centró en la red de ciberdelincuencia NoName057 (16).
Las autoridades policiales y judiciales de Chequia, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos, como así también Estados Unidos emprendieron acciones simultáneas contra los delincuentes y la infraestructura perteneciente a la red de ciberdelincuencia prorrusa.
La investigación también contó con el apoyo de ENISA, así como de Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumanía y Ucrania. Las empresas privadas ShadowServer y abuse.ch también colaboraron en la parte técnica de la operación.
Las acciones provocaron la interrupción de una infraestructura de ataque compuesta por más de cien sistemas informáticos en todo el mundo, mientras que gran parte de la infraestructura central de servidores del grupo quedó fuera de servicio.
Alemania emitió seis órdenes de arresto contra delincuentes residentes en la Federación Rusa. Dos de estas personas están acusadas de ser los principales instigadores de las actividades de «NoName057(16)».
En total, las autoridades nacionales han emitido siete órdenes de arresto dirigidas, entre otros, contra seis ciudadanos rusos por su participación en las actividades delictivas de «NoName057(16)». Todos los sospechosos figuran como personas buscadas internacionalmente y, en algunos casos, sus identidades se han publicado en los medios de comunicación. También se publicaron cinco perfiles en el sitio web de los más buscados de la UE .
Las autoridades nacionales han contactado a cientos de personas, que se cree que apoyan a la red de ciberdelincuencia. Los mensajes, compartidos a través de una popular aplicación de mensajería, informan al destinatario de las medidas oficiales, destacando la responsabilidad penal que les corresponde por sus acciones, de conformidad con la legislación nacional.
Quienes actúan para NoName057(16) son principalmente simpatizantes rusoparlantes que utilizan herramientas automatizadas para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Operan sin liderazgo formal ni habilidades técnicas sofisticadas, motivados por ideologías y recompensas.
Resultados generales de la Operación Eastwood
2 detenciones (1 detención preliminar en Francia y 1 en España).
7 órdenes de arresto emitidas (6 por Alemania y 1 por España).
24 registros domiciliarios (2 en Chequia, 1 en Francia, 3 en Alemania, 5 en Italia, 12 en España y 1 en Polonia).
13 personas interrogadas (2 en Alemania, 1 en Francia, 4 en Italia, 1 en Polonia y 5 en España).
Más de 1.000 simpatizantes, 15 de ellos administradores, notificados de su responsabilidad legal a través de una aplicación de mensajería.
Más de 100 servidores interrumpidos en todo el mundo.
Gran parte de la infraestructura principal de NoName057(16) se encuentra fuera de línea.
NoName057(16) Intentos de interrupción de DDoS a favor de Rusia.
Los delincuentes asociados a la red de delitos cibernéticos
NoName057(16) fue el responsable de atacar principalmente a Ucrania, pero han desplazado su atención para atacar a países que apoyan a Ucrania en su defensa en curso contra la guerra de agresión rusa, muchos de los cuales son miembros de la OTAN.
Las autoridades nacionales han informado de varios ciberataques relacionados con las actividades delictivas de NoName057(16). En 2023 y 2024, la red delictiva participó en ataques contra las autoridades suecas y sitios web bancarios. Desde el inicio de las investigaciones en noviembre de 2023, Alemania ha sido testigo de 14 oleadas de ataques contra más de 250 empresas e instituciones.
En Suiza, también se perpetraron múltiples ataques en junio de 2023, durante un videomensaje ucraniano dirigido al Parlamento Conjunto, y en junio de 2024, durante la Cumbre de Paz para Ucrania en Bürgenstock.
Recientemente, las autoridades neerlandesas confirmaron que se había perpetrado un ataque vinculado a esta red durante la última cumbre de la OTAN, en los Países Bajos. Todos estos ataques han sido mitigados sin interrupciones significativas.
Coordinación central para atacar la red de ciberdelincuencia prorrusa
Europol facilitó el intercambio de información y apoyó la coordinación de las actividades operativas, sirviendo como centro de comunicación entre las autoridades nacionales y las agencias de la Unión Europea (UE). Para ello, Europol organizó más de 30 reuniones en línea y presenciales, y dos sprints operativos. Europol también facilitó la cooperación con socios privados, quienes ofrecieron su asistencia, tanto antes como después de la operación. La Agencia proporcionó un amplio apoyo analítico, así como rastreo de criptomonedas y pericia forense durante la investigación. La Agencia Europea para la Cooperación Policial (Europol) coordinó la campaña de prevención, difundida a los presuntos afiliados a través de aplicaciones de mensajería y redes sociales.
Durante la jornada de acción contra los afiliados de NoName057(16), Europol instaló un centro de coordinación en su sede con representantes de Francia, Alemania, España, Países Bajos y Eurojust, poniendo a disposición un puesto de mando virtual para conectar a los demás países participantes con el centro de coordinación.
El Grupo de Trabajo Conjunto Contra la Ciberdelincuencia (J-CAT) de Europol también apoyó la operación. Este equipo operativo está formado por oficiales de enlace cibernético de diferentes países, que trabajan desde la misma oficina en la sede de Europol y prestan diversos tipos de apoyo a investigaciones de ciberdelincuencia de alto perfil.
A través de Eurojust, las autoridades pudieron coordinar las actividades judiciales y planificar sus respectivas medidas durante la jornada de acción. La Agencia Europea para la Cooperación Judicial Penal garantizó la ejecución de la asistencia judicial mutua y de múltiples Órdenes Europeas de Investigación. Durante la jornada de acción del 15 de julio de 2025, Eurojust coordinó las Solicitudes Judiciales de última hora, que se necesitaron durante la operación.
Manipulación gamificada para motivar ciberataques prorrusos
Las investigaciones de las autoridades nacionales identificaron a NoName057(16) como una red criminal ideológica que ha manifestado su apoyo a la Federación Rusa y, en el contexto de la guerra de agresión rusa contra Ucrania, ha estado vinculada a numerosos ciberataques DDoS. Durante estos ataques, un sitio web o servicio en línea se ve inundado de tráfico con el objetivo de saturarlo e inhabilitarlo.
Además de las actividades de la red, estimada en más de 4.000 miembros, el grupo también logró construir su propia botnet, compuesta por varios cientos de servidores, que utilizó para aumentar la carga de ataque.
Para compartir llamadas a la acción, tutoriales, actualizaciones y reclutar voluntarios, el grupo aprovechó canales prorrusos, foros e incluso grupos de chat especializados en redes sociales y aplicaciones de mensajería. Los voluntarios solían invitar a amigos o contactos de foros de videojuegos o hackers, formando pequeños círculos de reclutamiento. Estos actores utilizaron plataformas como DDoSIA, para simplificar los procesos técnicos y proporcionar directrices, lo que permitió a los nuevos reclutas comenzar a operar rápidamente.
Los participantes también recibían pagos en criptomonedas, lo que incentivaba la participación sostenida y atraía a oportunistas. Imitando dinámicas de juego, menciones frecuentes, tablas de clasificación o insignias, los voluntarios adquirían un sentido de estatus. Esta manipulación gamificada, a menudo dirigida a delincuentes jóvenes, se veía reforzada emocionalmente por una narrativa de defensa de Rusia o venganza política.
Países participantes
Países centrales
Chequia – República Checa
Agencia Nacional Contra el Terrorismo, el Extremismo y la Ciberdelincuencia.
Finlandia
Oficina Nacional de Investigación (NBI).
Francia
Unidad Nacional de Ciberseguridad de la Gendarmería Nacional y Fiscalía de París – Jurisdicción Nacional Contra la Delincuencia Organizada (JUNALCO).
Alemania
Oficina Federal de Policía Criminal (Bundeskriminalamt) y Fiscalía General de Fráncfort del Meno – Centro de Delitos Cibernéticos.
Italia
Policía Nacional (Polizia di Stato).
Lituania
Policía Nacional.
Países Bajos
Policía Nacional (Politie), Fiscalía.
Polonia
Oficina Central de Delitos Cibernéticos.
España
Guardia Civil y Policía Nacional (Policía Nacional).
Suecia
Polisen.
Suiza
Oficina Federal de Policía (Fedpol) y Fiscalía General de Suiza (OAG).
Estado Unidos
Oficina Federal de Investigaciones (FBI).
Países de apoyo
Bélgica.
Canadá.
Dinamarca.
Estonia.
Letonia.
Rumania.
Ucrania.
Agencias de la UE participantes
Europol.
Eurojust.
ENISA.
EMPACT
La Plataforma Multidisciplinar Europea Contra las Amenazas Delictivas ( EMPACT ) aborda las amenazas más importantes que plantea la delincuencia internacional organizada y grave que afecta a la UE. EMPACT refuerza la cooperación en materia de inteligencia, estratégica y operativa entre las autoridades nacionales, las instituciones, organismos de la UE y los socios internacionales. EMPACT funciona en ciclos de cuatro años, centrándose en las prioridades comunes de la UE en materia de delincuencia.
Oipol & Oijust 
Deja un comentario