La Cyberzaintza, la entidad de seguridad de la comunidad autónoma vasca, ha confirmado el pasado martes que un total de seis entidades públicas vascas han sido blanco de ataques cibernéticos en fechas recientes. Estos ataques han sido orquestados por el colectivo de hackers prorrusos conocido como NoName057(16). Entre los incidentes ya conocidos, se incluyen dos intentos de intrusión en el Parlamento Vasco, cuyo sitio web experimentó caídas tanto el martes como el sábado. Además, según se ha informado a través de su canal de Telegram, este grupo también tenía en su mira a los Ayuntamientos de Vitoria y Bilbao, así como al puerto de Bilbao. Sin embargo, la Cyberzaintza no ha especificado la totalidad de los organismos afectados, y ha emitido una advertencia sobre el estado de “alerta” en el que se encuentra.
NoName057(16) ha justificado esta serie de ataques contra organismos públicos en España —incluyendo niveles estatal, autonómico y local— basándose en el apoyo de estos hacia Ucrania. Además, han descrito sus acciones como un gesto de solidaridad hacia las protestas del primer sector. El primer aviso de estos ataques se dio hace siete días, el 6 de febrero, marcando la primera caída del sitio web del Parlamento Vasco. Este último ha asegurado que, gracias a sus medidas de seguridad, no se ha producido ninguna filtración de datos. Este es el primer caso en el que se confirma la autoría de NoName057(16) en Euskadi, aunque el Parlamento de Navarra también sufrió un ataque simultáneo y la rama de ciberseguridad del CNI, conocida como CCN, había expresado sus sospechas sobre este grupo desde el inicio.
NoName057(16) ha estado ejecutando este tipo de ataques durante varios meses a diversas instituciones españolas, incluidas aquellas de otras comunidades autónomas. Sus ciberataques se enfocan principalmente en sitios web de instituciones públicas, entidades de transporte e infraestructuras críticas, dirigidos a países que, en su opinión, muestran apoyo a Ucrania en el conflicto bélico. En los últimos meses, se han registrado incidentes en varios Estados miembros de la Unión Europea, reporta la Cyberzaintza. Recientemente, Italia ha sido testigo de las mayores incidencias.
El primer aviso se emitió la mañana del martes 6 de febrero, cuando solo dos instituciones vascas aparecían en la lista de objetivos. El miércoles 7 de febrero, NoName057(16) añadió a su lista de ataques los dominios de dos nuevas entidades públicas vascas. Ante la expansión de la amenaza a otros organismos públicos vascos, se emitió un segundo aviso. Un tercer aviso se lanzó el jueves, al incluirse dos entidades públicas vascas más, sumando un total de seis instituciones vascas amenazadas. Durante el fin de semana, el Parlamento y otra entidad no especificada sufrieron un segundo ataque de hackeo, lo que llevó a la emisión de una cuarta alerta.
La agencia ha desplegado una «respuesta rápida y coordinada» ante los ataques, con su nueva división de policía virtual accediendo anticipadamente a los objetivos marcados, alertando a las entidades comprometidas antes de la ejecución de los ataques; específicamente, el Parlamento Vasco optó por desactivar su sitio web como precaución. Actualmente, la Agencia Vasca de Ciberseguridad mantiene un nivel constante de alerta, esperando posibles ataques futuros. A pesar de una notable falta de información comunicada en el Parlamento Vasco, este ha sido el único ente en ofrecer explicaciones mediante comunicados sobre los ataques de NoName057(16), clasificados como de denegación de servicio.
¿Quiénes son NoName057 (16)?
NoName057(16) es un grupo de hackers que ha ganado notoriedad por sus ciberataques dirigidos principalmente contra instituciones y organizaciones. Se les asocia con motivaciones prorrusas, debido a la naturaleza de sus objetivos y las justificaciones que han ofrecido para sus ataques. Este colectivo se ha implicado en acciones cibernéticas contra entidades públicas y privadas, enfocándose en países o instituciones que, según ellos, apoyan a Ucrania en el contexto del conflicto geopolítico con Rusia.
Los ataques de NoName057(16) han variado en técnica y objetivo, pero han incluido, de manera significativa, ataques de denegación de servicio (DoS y DDoS), que buscan sobrecargar y hacer inaccesibles los sitios web de sus objetivos. También han manifestado realizar intrusiones para la exfiltración de datos, aunque la naturaleza exacta y el alcance de tales actividades pueden ser variados y no siempre son públicamente verificados.
El grupo utiliza canales de comunicación como Telegram para anunciar sus objetivos, justificar sus ataques y, en ocasiones, para difundir información obtenida de sus incursiones. Su elección de objetivos y la justificación de sus acciones sugieren un esfuerzo por influir en la opinión pública y las políticas a favor de los intereses rusos, especialmente en el contexto de la tensión política y militar en Europa del Este.