Los hackers rusos atacan el sector turístico español: quién está detrás y por qué

La oleada de ciberataques rusos contra España no da tregua. La organización NoName057, que lleva desde la semana pasada atacando objetivos en nuestro país e incluso trató de sabotear las elecciones generales del pasado domingo, ha arremetido este jueves contra el sector turístico, en un intento claro de castigar uno de los pilares de la economía española en plena temporada alta.

“Mientras Alberto Núñez Feijóo, que ganó las elecciones, forma gobierno, y el perdedor ‘Pedro el guapo’ grita en silencio en algún sitio, vamos a organizar una siesta para la industria turística de este país”, dice el grupo en su canal de Telegram. “Por cierto, es improbable que Feijóo pueda formar gobierno: incluso teniendo en cuenta la asociación con la ultraderecha de VOX, su partido no tiene suficientes escaños para lograr el mínimo requerido, lo que significa que la pobre España está entrando en un período de caos político”, añade.

TE PUEDE INTERESAR

'Hackers' prorrusos atacan la infraestructura del Ministerio del Interior en plena votación

J. M. Olmo

Durante la jornada, NoName057 lanzó ataques contra el portal oficial de turismo de España, Spain.info; contra las webs de las áreas turísticas de Madrid y Barcelona, Paradores Nacionales, las páginas de reservas de alojamiento online Reservalis y Best Hotels, y las de varios hoteles y cadenas de establecimientos de lujo, incluyendo Riu, Majestic, Petit Palace, Only You y Catalonia Hotels & Resorts, que en algunos casos experimentaron disrupciones temporales del servicio.

Tanto las referencias electorales en sus mensajes reivindicativos como el amplio abanico de objetivos atacados este jueves —en muchos casos sin apenas relación entre sí, más allá de pertenecer al sector del turismo en un sentido amplio— dejan claro que se trata de un ciberataque de origen político, cuyo objetivo no es otro que castigar a España por el apoyo prestado a Ucrania ante la invasión rusa, como parte de la coalición internacional. Algo que los propios hackers han expresado de forma repetida en sus canales propagandísticos.Aunque en muchos medios se habla de

Qué es NoName057

NoName057 como “hackers prorrusos”, lo cierto es que los vínculos de esta organización con el Estado ruso son transparentes. El grupo fue creado en marzo de 2022, pocos días después del inicio de la invasión de Ucrania, y a diferencia de otros ciberataques de alto perfil con componentes económicos o de ransomware, como el hackeo de SolarWinds en diciembre de 2020, los de esta organización han sido exclusivamente operaciones de corte disruptor o destructivo.

TE PUEDE INTERESAR

¿Crees que la propaganda rusa no es eficaz? Deberías ver estos 'memes'

Daniel Iriarte

“El grupo NoName057(16) está enfocado en la disrupción de páginas webs importantes para las naciones críticas con la invasión rusa de Ucrania. Ataques de denegación de servicio (DDoS) son el método para llevar a cabo esos esfuerzos de disrupción. Los ataques iniciales se enfocaban en páginas web ucranianas, para después pasar a objetivos asociados con la OTAN”, señala un informe de la empresa de ciberseguridad Sentinel Lab sobre este grupo.

“Los objetivos finales de estos atacantes no son siempre conocidos en su totalidad, incluso es desaconsejable creer al cien por cien sus declaraciones públicas, no debemos olvidar que son criminales”, explica Jonathan Nelson, director de inteligencia de la firma privada Constella Intelligence. “En el contexto actual de España, con su posición en la Presidencia Europea y sus resultados electorales, los actores desestabilizadores buscan reflejar la debilidad de las democracias europeas, así como mantener presión sobre las mismas en el contexto de la guerra de Ucrania”, dice a El Confidencial.

TE PUEDE INTERESAR

¿Ha tratado Rusia de sabotear las elecciones en España? Estos son los indicios que tenemos

Daniel Iriarte

Además de en EEUU y Ucrania, este grupo ha llevado a cabo ciberataques de cierta importancia en al menos una docena de estados de la Unión Europea, así como en Turquía. En principio, nada que lo haga destacar frente a otro tipo de amenazas, “si bien estos actores aprovechan de forma táctica cualquier evento local para maximizar su capacidad de impacto”, indica Nelson. En el caso de España, “todo indica que NoName057 deliberadamente ha concentrado sus acciones en los días previos y posteriores a las elecciones generales, una práctica habitual cuando se quiere alterar la integridad electoral de unos comicios. Los ataques cibernéticos en este contexto se suelen acompañar de campañas de desinformación e influencia, ya que aumentan la capacidad de dificultar la toma de decisiones por parte de los estados. En ese sentido, podemos hablar de amenazas híbridas”, señala este experto.

Tal y como ya contó El Confidencial, eso fue lo que sucedió en España: además de los intentos de hackeo, desde cuentas o medios rusos se difundió el hashtag #queosvotezelenski promoviendo la abstención, se publicaron artículos cuestionando la integridad del proceso electoral, e incluso se enviaron mensajes de móvil a los ciudadanos rusos residentes en España alertando de un posible atentado de ETA, que incluían un enlace a una página falsa de la Comunidad de Madrid donde se daba toda la información al respecto.La lista de objetivos atacados en los últimos días afecta a múltiples sectores, desde la banca a las instituciones públicas. También varios medios de comunicación, como las webs de los diarios

En busca de reconocimiento

El Español, El Mundo, Expansión, La Razón y ABC. Algo que probablemente está lejos de ser casual. “Si estos medios de comunicación no han publicado nada sobre los ataques que el grupo ha llevado a cabo durante los pasados días, ¿qué mejor manera que atacarles, para que lo sufran en sus carnes y así lo publiciten y se hagan eco de sus ataques a instituciones en posibles momentos clave para el país”, apunta Nelson.

Porque está claro que el grupo ansía la publicidad. “Las evidencias del canal de Telegram de NoName057(16) indican que el grupo valora el reconocimiento que logran sus ataques en referencias online, incluyendo en artículos de Wikipedia. El canal también postea memes prorrusos, posts motivacionales, y actualizaciones generales de estatus durante las vacaciones”, señala el informe de Sentinel Labs. “La actividad observada en Telegram deja claro que el grupo se considera un actor ruso de amenaza de máximo nivel, cuando en realidad el impacto de sus ataques DDoS es una disrupción de corta duración con escasa o ligera consecuencia”, añade el documento.

TE PUEDE INTERESAR

Un grupo 'hacker' bloquea durante horas las páginas web de bancos españoles

J. Z.

Pero lo cierto es que tanto los equipos del sector privado de ciberseguridad como los del Centro Criptológico Nacional (CCN-CERT) llevan varias jornadas trabajando con éxito para contener estos ataques, lo que explica que la mayoría de estos incidentes apenas hayan trascendido. El motivo de que algunas operaciones de denegación de servicios estén consiguiendo más resultados que otros es que “no todas las instituciones u organizaciones están preparadas o son capaces de activar sus medidas de resiliencia a la misma velocidad, de forma que los niveles de exposición son diferentes”, explica Nelson.

“Es muy posible que las campañas continúen con distintos niveles de intensidad”, opina este experto. “No podemos anticipar si serán estos u otros actores, en cualquier caso la mejor respuesta es la de mitigar su impacto, recuperar los servicios de forma rápida y levantar los niveles de alerta, a la vez que dejar que las fuerzas y cuerpos de seguridad identifiquen y persigan a los autores”, comenta.