>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-26-Hacktivismo Operaciones Psicológicas en el Ciberes 5c83b23650a6838b9da701a59ef58bba.md
Última modificación: 26-10-2025
Etiquetas: #CCN-CERT25

Hacktivismo: Operaciones Psicológicas en el Ciberespacio

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/antonio-fernandes y https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/rafael-lopez

Contexto general

Esta charla va de algo bastante atrevido: dos investigadores españoles (Rafael y Antonio) decidieron contactar y entrevistar directamente a los principales grupos hacktivistas pro-rusos que están atacando a España. No es periodismo sensacionalista, sino un ejercicio de inteligencia aplicando lo de Sun Tzu: "conoce a tu enemigo y te conocerás a ti mismo". La idea era entender qué hacen realmente estos grupos más allá de los DDoS típicos, cuáles son sus motivaciones y cómo operan. Las entrevistas están publicadas en YouTube en el canal de Antonio, y obviamente han generado controversia.

Conceptos clave

  • 5 grupos entrevistados: NoName, Cyber Army Russia (UserSec/KillNet), Cyber Spetsnaz (Z-Spetsnaz), Mister Hanza y Desinformado Ruso
    • Los QR codes de la presentación llevan directamente a las entrevistas en YouTube
  • NoName057(16) → El más conocido, grupo hacktivista pro-ruso
    • No solo hacen DDoS: intrusiones, robo de datos, ataques a operadores de telecomunicaciones
    • "Si cortas una cabeza salen mil más" → estructura descentralizada
    • España en el ranking #1 de países más ciberatacados a mediados de 2024
    • Operación Eastwood (julio 2024): Europol + Eurojust + fuerzas internacionales incautaron +100 servidores, 7 detenidos (también en España)
      • NoName respondió que se hicieron más fuertes, aumentaron de 53 ataques/semana a 90 después de la operación
      • Hashtag #FakimEastwood como contraataque
  • UserSec/KillNet → Los coordinadores del ecosistema hacktivista
    • Crearon la Holy League / Liga Sagrada: red de colaboración entre múltiples grupos hacktivistas con objetivos comunes
    • Comparten capacidades técnicas entre grupos (unos hacen DDoS, otros intrusiones)
    • Hacen crowdfunding para financiar ataques, colectas para "apoyar la causa"
    • Organizan CTFs con premios de hasta 80.000€ en cripto para quien consiga más ataques exitosos
  • Cyber Spetsnaz (Z-Spetsnaz) → Foco en infraestructuras críticas
    • Afirman tener capacidades para entrar en SCADA y sistemas industriales
    • Explotan cosas básicas que aparecen en Shodan (sistemas expuestos sin protección)
    • Mencionan el tema del kill switch en cadenas de suministro: submarinos británicos con tech rusa, F-35 con componentes americanos que podrían desactivarse remotamente
    • Mensaje: la soberanía digital europea es un problema serio
  • Mister Hanza → Hacktivista marroquí, el más "old school"
    • Actúa diferente al resto: más idealista, ataca a su propio país (Marruecos) si cree que lo merecen
    • Desarrolla sus propias herramientas de ataque
    • Colabora con grupos pro-rusos bajo el principio "el enemigo de mi enemigo es mi amigo"
    • Mezcla rara pero efectiva: musulmanes colaborando con rusos, indios con pakistaníes, etc.
  • Desinformado Ruso → El más peligroso para España, y resulta que no es ruso
    • Identidad real revelada (septiembre 2024): Enrique, español, buscado por Europol
    • Ex-profesor universitario, supuestamente colaboró en temas de inteligencia y yihadismo en España
    • Se siente "traicionado" por España, ahora hace campañas pro-rusas desde su canal
    • NO es técnico, es un experto en PSYOPS (operaciones psicológicas)
    • Canal de Telegram con 12.000 seguidores hispanohablantes muy activos
    • Produce vídeos de altísima calidad (nivel campaña de marketing profesional)
    • Su estrategia: juntar a toda la gente cabreada sin importar ideología política
      • "¿Por qué dar dinero a Ucrania si hay problemas en casa?" → mensajes adaptados a lo que cada perfil quiere oír
      • Consigue que españoles apoyen a Rusia y estén contra Ucrania
    • Retransmite y amplifica todos los ataques de los otros grupos en tiempo real
    • Incita ataques y recluta activamente: "policías, guardias civiles descontentos, uníos a mí"
    • Pintadas con la Z y referencias a Desinformado Ruso apareciendo en España (rollo V de Vendetta)
    • Cuando se reveló su identidad, lanzó la Operación Mort contra España
      • Todos los grupos pro-rusos atacaron masivamente a España bajo el hashtag #OperaciónMort
      • "Has tocado a uno de los nuestros, ahora os tocamos nosotros"
      • Durante la conferencia misma, NoName anunció ataques contra las jornadas SDIC

Desarrollo técnico

Lo interesante de todo esto es que el hacktivismo actual no tiene nada que ver con el cibercriminal típico. Un ciberdelincuente busca el camino fácil: ve que tienes alarma y se va a la casa de al lado. Los hacktivistas no. Van a por ti con motivación ideológica, van a insistir sin parar buscando cualquier vector de ataque posible hasta conseguir algo. Su objetivo no es robarte la cartera, es dañar tu reputación, tus servicios, tu narrativa.

La colaboración entre grupos es clave: la Holy League funciona como una especie de colectivo donde cada grupo aporta sus capacidades. Unos tienen herramientas de DDoS, otros saben hacer intrusiones, otros tienen acceso a exploits de infraestructuras críticas. Se coordinan, comparten recursos y además están financiados (crowdfunding, CTFs con premios gordos, y probablemente apoyo estatal aunque no lo admitan directamente).

El caso de Desinformado Ruso es especialmente preocupante porque demuestra que la amenaza no es solo técnica. Con 12.000 personas activas en su canal, este tío está consiguiendo cambiar opiniones, reclutar, legitimar narrativas pro-rusas en España. Y lo hace bien: contenido profesional, mensajes personalizados según tu perfil político, apelando al cabreo general de la gente. Eso es información warfare en toda regla.

Conclusión

Lo que saco de esta charla es que subestimamos a los hacktivistas. Llevamos años pensando que son solo script kiddies tirando DDoS, cuando en realidad están haciendo operaciones complejas: intrusiones, exfiltración de datos, campañas de desinformación coordinadas, reclutamiento activo. Y lo más importante: están motivados ideológicamente, lo que los hace mucho más persistentes y peligrosos que el cibercriminal común.

La parte de PSYOPS de Desinformado Ruso es un tema aparte que necesita más atención. No basta con defenderse técnicamente si al mismo tiempo están ganando la guerra narrativa y captando apoyos dentro de tu propio país.

También queda claro que estos grupos no operan desde Rusia exclusivamente: hay miembros detenidos en España y por toda Europa. Puede ser literalmente cualquiera.

Más

  • Sería interesante conseguir acceso a las entrevistas completas en YouTube (buscar canal de Antonio + NoName, UserSec, Z-Spetsnaz, Mister Hanza, Desinformado Ruso)
  • Profundizar en técnicas de detección de campañas de desinformación coordinadas
  • Ver los informes de INCIBE/CCN-CERT sobre ataques registrados en 2024
  • El tema de la soberanía digital y cadenas de suministro comprometidas merece investigación aparte

<< cd ..

>_