Innehåll
<p dir="ltr">Quién podría imaginar que los grupos de ciberdelincuentes prorrusos podrían tener un enlace en una ciudad mesetaria de <a href="https://www.elconfidencial.com/tags/lugares/castilla-y-leon-8265/" target="_self">Castilla y León</a>. Y, sin embargo, este martes se ha confirmado la detención de un ciudadano palentino <strong>acusado de delitos de terrorismo y daños informáticos</strong>, y vinculado a las principales organizaciones hackactivistas prorrusas del mundo.</p><p dir="ltr">Todo empezó en agosto del año pasado cuando la Policía Nacional recibió una información del <a href="https://www.elconfidencial.com/mundo/2026-05-13/kash-patel-director-fbi-prueba-alcohol_4354474/" target="_self">FBI</a> que apuntaba a la posibilidad de que estuviera afincado en la capital del río Carrión un posible colaborador de grupos de hackeo informático prorrusos. Meses después, en marzo, los agentes lo detuvieron y este martes la Policía Nacional confirmó que el detenido tenía estrechos lazos <strong>con las organizaciones de hackers prorrusas</strong>.</p><p dir="ltr">La información policial le vincula con los grupos<strong> CyberArmy of Russian Reborn (Armada Cibernética de la Rusia Renacida)</strong>, también conocido por sus siglas CARR, así como el grupo No Name057 y con Z-Pentest, que los investigadores consideran el resultado de la colaboración de miembros de los otros dos. En todos los casos se trata de grupos que tienen vínculos no formales con los servicios de inteligencia rusos, pero sin descartar que puedan recibir de ellos apoyo y financiación.</p><strong>Ayuda para llegar a Rusia</strong><p dir="ltr">La información del FBI vinculaba al detenido palentino con un hacker ucraniano, ubicado en aquel país, pero <strong>partidario del Gobierno de Putin</strong>, vinculado al <a href="https://www.elconfidencial.com/tecnologia/2025-09-27/ciberataque-aspersores-riego-valencia-sabotaje-hackers-rusos_4217130/" target="_self">grupo CyberArmy.</a> Al parecer, el detenido habría proporcionado cobertura logística y apoyo al hacker, con el fin de facilitar su huida hacia Rusia a través de Polonia y Bielorrusia. Aunque el Ministerio del Interior no ha proporcionado información precisa sobre el tipo de apoyo que le proporcionó, todo apunta a que pudo conseguirle medios de transporte para facilitar sus desplazamientos de escape.</p><p><a class="related-link" href="https://www.elconfidencial.com/tecnologia/2025-09-27/ciberataque-aspersores-riego-valencia-sabotaje-hackers-rusos_4217130/"><img class="img-related-preview" src="https://www.ecestaticos.com/imagestatic/clipping/0c0/a73/0c0a73d5c804a50075657d2f19b21a27/los-hackeos-rusos-a-los-aspersores-de-valencia-explican-la-ola-de-sabotajes-que-viene.jpg?mtime=1758903720" width="483" height="271"><h3 class="title-related">Los 'hackeos' rusos a los aspersores de Valencia explican la ola de sabotajes que viene</h3>Albert Sanchis<div class="text-related">Los ciberdelincuentes están dejando atrás la motivación económica para abrazar el sabotaje y la desestabilización. El objetivo ya no es conseguir un rescate, sino sembrar, literalmente, el caos en la infraestructura pública</div></a></p><p dir="ltr">El investigado utilizaba aplicaciones de mensajería cifrada para mantener contacto <strong>con otros integrantes de estos grupos terroristas</strong>, coordinando actuaciones y prestando apoyo a sus actividades, según la información del Ministerio de Interior. Según los investigadores, el detenido participó en acciones atribuidas a NoName057 “cuyas operaciones eran posteriormente reivindicadas en portales especializados relacionados con la geopolítica, con el objetivo de difundir narrativas prorrusas y antioccidentales”, añade la nota oficial.</p><p dir="ltr">Los investigadores sospechan que las actividades terroristas del detenido no estaban motivadas únicamente por una posible afinidad ideológica hacia la Rusia de Putin, sino que podría haber también <strong>intereses económicos de por medio</strong>. Durante la operación policial, los agentes del operativo realizaron un registro en su domicilio de Palencia, donde se intervinieron diversos equipos informáticos y dispositivos de almacenamiento de criptomonedas. Los agentes procedieron al bloqueo de una cartera de criptodivisas “en la que, presuntamente, se ingresaban los beneficios obtenidos por la comercialización de información derivada de su actividad delictiva”, según la nota oficial.</p><strong>El conflicto con Ucrania, punto de partida</strong><p dir="ltr">Según un informe de la norteamericana Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), avalado por una veintena de organizaciones policiales (incluidas la Guardia Civil y la Policía Nacional españolas), este tipo de organizaciones hackactivistas prorrusas comenzaron a proliferar tras <a href="https://www.elconfidencial.com/tags/temas/conflicto-de-ucrania-10136/" target="_self">la escalada del conflicto entre Rusia y Ucrania</a>. Se atribuye a la unidad militar 74455 del Centro de Tecnologías Especiales de Rusia, vinculado al servicio de inteligencia ruso (GRU), la creación de CARR, también conocido como Ejército Cibernético Popular de Rusia. Su nacimiento se produjo entre febrero y marzo de 2022 y “es probable que actores sospechosos de pertenecer a la unidad 74455 de la GRU financiaran las herramientas que los ciberdelincuentes utilizaron para llevar a cabo sus ataques”. A partir del mes siguiente, <strong>crearon un canal propio en Telegram</strong> para organizar y planificar sus actuaciones, y para darlas a conocer y presentarlas como operaciones de castigo en respuesta al apoyo brindado por EEUU y Europa a Ucrania.</p><p dir="ltr">Los hackers con los que colaboraba el detenido palentino suelen realizar ataques de denegación de servicio distribuido (DDoS) que consisten en c<a href="https://www.elconfidencial.com/tecnologia/2026-02-04/telegram-pavel-durov-pedro-sanchez_4297314/" target="_self">iberataques</a> que bloquean el funcionamiento de un servidor con tráfico malicioso o solicitudes falsas con el fin de impedir que pueda dar servicio a sus usuarios legítimos e impedir su funcionamiento temporalmente. En los ataques DDoS, el tráfico de bloqueo proviene de múltiples fuentes (a menudo miles) simultáneamente. Los atacantes suelen utilizar redes de dispositivos infectados, llamadas botnets, lo que <strong>dificulta mucho identificar y bloquear el origen real del ataque</strong>. Estas operaciones suelen ir dirigidas a infraestructuras de abastecimiento de agua y aguas residuales, alimentación y energía. Para lograr infiltrarse, se aprovechan de la proliferación de dispositivos VNC en los sistemas informáticos. Estos dispositivos permiten la conexión virtual tanto para el teletrabajo como para posibles reparaciones informáticas a distancia, pero son usados por los hackers para infiltrarse fácilmente en los sistemas objeto de su ataque.</p><p><a class="related-link" href="https://www.elconfidencial.com/tecnologia/2026-02-13/rusia-hackea-cerebros-palomas-drones-1qrt_4301485/"><img class="img-related-preview" src="https://www.ecestaticos.com/imagestatic/clipping/72d/4ff/72d4ff9dd2b5547fd40cf9ed18eac442/rusia-hackea-el-cerebro-de-las-palomas-y-soluciona-varios-grandes-problemas-de-sus-drones.jpg?mtime=1770819635" width="483" height="271"><h3 class="title-related">Rusia 'hackea' el cerebro de las palomas y soluciona varios grandes problemas de sus drones</h3>R. Badillo<div class="text-related">La empresa asegura que las palomas pueden recorrer hasta 400 km sin 'recargar sus baterías'. Además, se adaptan mucho mejor a los entornos urbanos y las inclemencias meteorológicas</div></a></p><p dir="ltr"> </p><p dir="ltr">El informe de la agencia CISA reconoce que estos grupos hackactivistas prorrusos “tienen capacidades limitadas y, con frecuencia, malinterpretan los procesos que pretenden interrumpir”. De hecho, a menudo no son capaces de prever con precisión los daños que causarán sus ataques, lo que no debe llevar a minusvalorar su impacto. “A pesar de estas limitaciones, las organizaciones que elaboraron estos informes han observado que estos grupos causan daños reales de forma deliberada a infraestructuras críticas vulnerables”. Daños que ellos luego magnifican y exageran en sus comunicaciones públicas con el fin de <strong>obtener más repercusión e impacto para sus ciberataques</strong>.</p><p dir="ltr">Otras organizaciones como <strong>Z Pentest</strong>, con la que también colaboraba el detenido palentino, prefieren realizar ciberataques de desfiguración para atraer la atención hacia su mensaje prorruso. Los ciberataques de desfiguración, conocidos en inglés como defacement, consisten en la alteración visual no autorizada de una página web. Los atacantes explotan vulnerabilidades en el servidor para reemplazar el contenido original con mensajes políticos, humorísticos o enlaces maliciosos, buscando principalmente dañar la imagen y reputación de la víctima. En este caso, se usan para colocar mensajes prorrusos y de crítica al apoyo que Estados Unidos y Europa brindan a Ucrania.</p><p><a class="related-link" href="https://www.elconfidencial.com/mundo/2026-07-06/rusia-lanza-mayores-bombardeos-de-la-guerra-antes-de-la-cumbre-de-la-otan_4383844/"><h3 class="title-related">Rusia lanza un ataque masivo contra Ucrania en vísperas de la cumbre de la OTAN</h3>Agencias<div class="text-related">En respuesta, Ucrania ha lanzado una oleada de drones ucranianos que ha alcanzado la refinería Yaroslavnefteorgsintez, en la región de Yaroslavl, situada a unos 250 kilómetros al noreste de Moscú</div></a></p><p dir="ltr"> </p><div> </div><img src="https://sb.scorecardresearch.com/b?c1=2&c2=7215267&ns__t=1783483084&ns_c=UTF-8&c8=Espa%C3%B1a&c7=https%3A%2F%2Frss.elconfidencial.com%2Fespana%2F&c9=https%3A%2F%2Fwww.elconfidencial.com%2F" width="1" height="1">