**NoName057(16) reactiva su ofensiva: España bajo una nueva ola de ciberataques DDoS**
—
### 1. Introducción
La reciente operación internacional “Eastwood” parecía haber desarticulado gran parte de la infraestructura empleada por el grupo hacktivista pro-ruso NoName057(16). Sin embargo, lejos de amedrentarse, esta amenaza vuelve a estar en el punto de mira de los equipos de ciberinteligencia tras detectarse un repunte significativo de su actividad, especialmente dirigida contra entidades españolas. En este artículo, analizamos en profundidad la nueva campaña de ataques, los vectores utilizados, indicadores de compromiso y las estrategias recomendadas para mitigar el riesgo ante un adversario que demuestra resiliencia y capacidad de adaptación.
—
### 2. Contexto del Incidente o Vulnerabilidad
NoName057(16) es un conocido colectivo hacktivista pro-ruso, activo desde 2022 y famoso por sus campañas de denegación de servicio (DDoS) contra infraestructuras críticas, organismos gubernamentales y empresas occidentales. Tras la caída de varios nodos de su red de ataque gracias a la colaboración policial de Europol y otras agencias, el grupo ha reestructurado rápidamente su operativa. Las últimas investigaciones de Check Point Research (CPR) apuntan a una intensificación de ataques, con España entre los principales objetivos, en particular sectores como banca, logística, administración pública y medios de comunicación.
La motivación hacktivista, enmarcada en el actual contexto geopolítico, sigue siendo el motor de sus operaciones, utilizando la propaganda y la interrupción de servicios esenciales como herramientas de presión y desinformación.
—
### 3. Detalles Técnicos
#### Tipos de Ataques
NoName057(16) se especializa en ataques DDoS de capa 7 (HTTP Flood) y capa 4 (TCP/UDP Flood), ejecutados principalmente mediante botnets y herramientas de código abierto modificadas. Tras la operación “Eastwood”, el grupo ha migrado parte de su infraestructura a servicios de alojamiento bulletproof y redes Tor, dificultando la atribución y el takedown.
#### Vectores y TTPs
– **Herramientas identificadas**: DDosia (framework propio del grupo), variantes customizadas de LOIC/HOIC, scripts Python automatizados y abuso de servidores con proxies SOCKS5.
– **Infraestructura**: Uso extensivo de VPS adquiridos con criptomonedas, servicios de CDN mal configurados y nodos de salida Tor.
– **TTPs MITRE ATT&CK**:
– **T1499**: Endpoint Denial of Service
– **T1566**: Phishing (limitado a captación de voluntarios)
– **T1583.001**: Acquire Infrastructure: Domains
– **Indicadores de Compromiso (IoC)**: IPs de origen en Europa del Este y Asia Central, URLs de comando y control en Pastebin y Telegram, y hashes de binarios de DDosia.
#### Versiones y Exploits
No hay CVEs asociados directamente, ya que los ataques son de denegación de servicio, pero se ha detectado explotación de endpoints expuestos y APIs no securizadas, así como abuso de vulnerabilidades conocidas en proxies y firewalls para eludir mitigaciones.
—
### 4. Impacto y Riesgos
Según datos de CPR, durante las últimas semanas se ha registrado un incremento del 40% en la frecuencia de ataques DDoS atribuidos a NoName057(16) en España. El 60% de ellos han causado caídas temporales de servicios online críticos, afectando a la disponibilidad y la reputación de las organizaciones atacadas. El coste medio estimado de un ataque DDoS en Europa supera los 120.000 euros por incidente, incluyendo pérdidas operativas y gastos de recuperación.
La legislación europea, especialmente el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, obliga a las empresas afectadas a notificar incidentes de seguridad y puede conllevar sanciones si se demuestra negligencia en la gestión de la seguridad perimetral y la continuidad de negocio.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Refuerzo de la monitorización de tráfico**: Implementación de sistemas de detección de anomalías (IDS/IPS) y soluciones específicas anti-DDoS en perímetro y cloud.
– **Segmentación de red**: Minimizar la superficie expuesta y aplicar listas blancas para filtrado de tráfico.
– **Actualización de reglas de firewall y WAF**: Bloqueo proactivo de IPs y rangos identificados en los IoC.
– **Pruebas periódicas de resiliencia**: Simulaciones de ataques DDoS con herramientas como Metasploit o frameworks propios para evaluar la robustez de la infraestructura.
– **Planes de contingencia y respuesta**: Definición clara de roles y procesos en caso de incidente, incluyendo comunicación con el INCIBE y autoridades competentes.
—
### 6. Opinión de Expertos
Especialistas de CPR y analistas independientes coinciden en que la reactivación de NoName057(16) evidencia la importancia de la inteligencia de amenazas y la cooperación internacional. “El grupo ha demostrado una gran capacidad de adaptación, renovando infraestructura y técnicas en cuestión de días. No es una amenaza residual, sino un adversario persistente que aprovecha cualquier debilidad en las defensas de las organizaciones”, afirma Eusebio Nieva, director técnico de Check Point en España.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas deben revisar de inmediato sus políticas de ciberseguridad, priorizando la protección frente a ataques DDoS y reforzando la visibilidad sobre sus activos expuestos. Los servicios críticos y las aplicaciones públicas son especialmente vulnerables, por lo que es vital implementar medidas de redundancia y planes de respuesta ante incidentes. Por su parte, los usuarios pueden experimentar interrupciones de servicios y deben estar atentos a campañas de desinformación asociadas.
—
### 8. Conclusiones
La ofensiva renovada de NoName057(16) tras la operación “Eastwood” subraya que los grupos hacktivistas mantienen su capacidad operativa pese a las acciones policiales. El sector empresarial español debe mantenerse alerta, fortalecer sus defensas y apostar por una ciberresiliencia basada en la inteligencia colaborativa y la anticipación de amenazas. La cooperación público-privada y el cumplimiento normativo serán claves para mitigar el impacto de futuras campañas.
(Fuente: www.cybersecuritynews.es)