Los recientes movimientos de un conocido colectivo de ciberdelincuentes alineados muy estrechamente con intereses del Kremlin han vuelto a hacer saltar todas las alarmas de ciberseguridad en España. En esta ocasión el objetivo ha sido el transporte público de Mallorca.
Aunque el episodio no ha causado interrupciones reales en los servicios insulares, ha servido para evidenciar (una vez más) la persistencia de actores hostiles que buscan desestabilizar a los países que consideran adversarios del Gobierno de Vladimir Putin.
Según diversos analistas de seguridad digital, las acciones atribuidas a NoName057(16) encajan en un patrón que lleva meses repitiéndose. Este grupo se caracteriza por lanzar ofensivas de denegación de servicio contra organismos públicos europeos con el objetivo de proyectar una imagen de fuerza, difundir mensajes propagandísticos y generar ruido mediático, aunque el impacto técnico de sus ataques sea limitado.
Qué se sabe sobre el ataque reivindicado al transporte público mallorquín
La ofensiva señalada habría tenido lugar a finales de noviembre, coincidiendo con otros movimientos detectados por empresas especializadas en monitorización de amenazas.
De acuerdo con estas fuentes, los atacantes intentaron saturar las webs asociadas al transporte público de Mallorca mediante un ataque DDoS.
Este tipo de ofensivas se basa en enviar un volumen masivo de solicitudes para que el servicio afectado deje de responder, sin que ello implique la sustracción de datos ni la intrusión en sistemas internos.
A pesar de la reivindicación difundida en canales afines al grupo, no se ha observado ninguna disrupción en los servicios de transporte de la isla.
No hay registros de caídas en las plataformas del TIB ni incidencias que hayan afectado a trenes, autobuses o metro.
Desde el ámbito de la seguridad digital señalan que los responsables de estas infraestructuras cuentan con sistemas de mitigación que permiten neutralizar una parte importante del tráfico malicioso antes de que llegue a comprometer el funcionamiento de los servidores.
Un ataque con motivación propagandística
El colectivo prorruso difundió imágenes en las que se mostraba la web de un organismo español con un mensaje de error y un dibujo burlesco de un oso con indumentaria militar, un símbolo recurrente en su iconografía.
En estos mensajes, redactados en ruso, los hackers aseguraban estar “derribando la infraestructura española”, una afirmación que contrasta con la ausencia total de interrupciones reales.
La mención explícita al transporte público de Mallorca formó parte de esta narrativa, reforzada con expresiones como “muerto según ping”, una frase que en el argot técnico no implica necesariamente que un sistema esté comprometido, sino que simplemente puede dejar de responder temporalmente a una solicitud.
Plataformas dedicadas al seguimiento de amenazas emergentes, como DarkWebSonar.io y FalconFeeds.io, compartieron capturas de los mensajes publicados por los atacantes.
Estas cuentas, que monitorizan tanto la red convencional como zonas de la web oscura, confirmaron la inclusión de enlaces hacia direcciones asociadas al transporte interurbano balear, lo que permitió a los analistas verificar que la ofensiva se centraba en sobrecargar accesos públicos y no en penetrar en bases de datos o sistemas internos.
Otros organismos señalados en la ofensiva
El ataque no se limitó a las infraestructuras insulares. Los responsables también mencionaron acciones contra páginas relacionadas con el transporte público madrileño, las Cortes valencianas, el Parlamento vasco y el instituto Imdea Energía. Se trataría de un conjunto de objetivos escogidos por su visibilidad en la administración pública y su capacidad para atraer atención mediática.
La estrategia encaja con la dinámica habitual de este colectivo, que en el pasado ha dirigido ofensivas coordinadas contra portales gubernamentales, centros de investigación y entidades vinculadas al suministro energético.
Se trata de sectores especialmente sensibles dentro del marco de seguridad europea, cuya interrupción, incluso si es mínima, suele tener una enorme repercusión pública.
NoName057(16) bajo investigación europea
La amenaza que representa NoName057(16) ha sido objeto de seguimiento por parte de organismos especializados de la Unión Europea.
El pasado julio, una operación coordinada entre Europol, Eurojust y cuerpos policiales de doce países permitió desmantelar una parte relevante de la red de bots utilizada por el grupo para lanzar ataques masivos.
Además, se emitieron órdenes de detención contra varios de sus principales integrantes, todos ellos residentes en territorio ruso.
Eurojust ha subrayado en diferentes informes que este colectivo ha declarado abiertamente su apoyo al Gobierno de Putin desde la invasión de Ucrania.
Sus campañas de sabotaje digital han coincidido con citas políticas de alto nivel en varios países europeos, lo que refuerza la hipótesis de que se trata de acciones alineadas con los intereses estratégicos del Kremlin.
Aunque el episodio de Mallorca no generó consecuencias prácticas, la trayectoria del grupo incluye ataques de mayor gravedad. Solo un ejemplo: en Alemania se registraron ofensivas prolongadas que llegaron a afectar a unas 230 organizaciones, entre ellas empresas vinculadas a la producción de armamento, proveedores de energía y diferentes organismos estatales.
