Las autoridades de Países Bajos han detenido a dos hombres y han incautado 800 servidores relacionados con una empresa de alojamiento web acusada de facilitar ciberataques, operaciones de interferencia y campañas de desinformación. La investigación, dirigida por el servicio neerlandés de información e investigación fiscal FIOD, se centra en la actividad de Stark Industries, una compañía de hosting fundada el 10 de febrero de 2022, pocos días antes del inicio de la invasión rusa de Ucrania.
Según las autoridades, los sospechosos habrían proporcionado de forma indirecta recursos económicos a entidades rusas y bielorrusas sancionadas por la Unión Europea. Entre los detenidos se encuentran un hombre de 57 años, director de la empresa investigada, y otro de 39 años, responsable de una firma independiente que suministraba conectividad a internet.
Una infraestructura señalada por apoyar operaciones híbridas
FIOD sostiene que la compañía de alojamiento web habría prestado apoyo a acciones de la Federación Rusa destinadas a socavar la democracia y la seguridad, incluyendo manipulación informativa y la alteración de sistemas públicos y económicos. La Unión Europea incluyó a Stark Industries en su lista de entidades sancionadas el 20 de mayo de 2025 por su papel en este tipo de actividades.
Tras esas sanciones, la infraestructura de hosting habría sido transferida a una nueva empresa neerlandesa que los investigadores consideran una sociedad pantalla. Según el diario neerlandés De Volkskrant, esa entidad sería WorkTitans B.V., que operaría servicios de alojamiento bajo la marca THE.Hosting.
La operación policial incluyó registros en centros de datos de Dronten y Schiphol-Rijk, además de actuaciones en Enschede y Almere. Durante los registros se incautaron servidores, ordenadores portátiles, teléfonos móviles y documentación administrativa.
Posibles vínculos con ataques DDoS y campañas de desinformación
De acuerdo con la información publicada, autoridades danesas y proveedores de infraestructura habrían vinculado a WorkTitans con ataques atribuidos al grupo hacktivista prorruso NoName057(16), conocido por campañas de denegación de servicio distribuida, o DDoS, contra organizaciones europeas.
Este tipo de proveedores de alojamiento, conocidos en el sector como bulletproof hosting, son especialmente relevantes para el cibercrimen porque ofrecen infraestructura resistente a denuncias, retiradas de contenido o solicitudes de cooperación. En la práctica, pueden servir como base para alojar paneles de mando y control, campañas de desinformación, herramientas maliciosas o tráfico asociado a ataques.
La investigación también apunta al papel de Mirhosting, con sede en Almere, como proveedor de servidores físicos, servicios de colocación y conectividad de alta capacidad hacia grandes puntos de intercambio de internet en Ámsterdam y Fráncfort. Según la información disponible, esta capa de conectividad habría permitido que el tráfico asociado a Stark entrara en Europa y alcanzara la infraestructura de WorkTitans.
Un golpe contra la infraestructura del cibercrimen
La incautación de 800 servidores supone un golpe importante contra la infraestructura utilizada para operaciones maliciosas y pone de manifiesto el creciente uso de herramientas legales, financieras y policiales para perseguir a proveedores tecnológicos vinculados a actividades sancionadas.
El caso también evidencia una tendencia clave en la ciberseguridad internacional: muchos ataques no dependen únicamente de malware o grupos concretos, sino de una cadena de proveedores que ofrecen alojamiento, conectividad, anonimización y resiliencia operativa. Cortar esa infraestructura puede afectar a múltiples campañas al mismo tiempo.
WorkTitans no respondió a las solicitudes de declaración de De Volkskrant, mientras que Mirhosting negó haber apoyado conscientemente operaciones ilegales y aseguró que actuaba con rapidez cuando recibía quejas por abuso.
La investigación continúa abierta y las autoridades neerlandesas analizan el material intervenido para determinar el alcance de la infraestructura, sus clientes y su posible relación con campañas de ciberataques, interferencia y desinformación vinculadas a entidades sancionadas por la Unión Europea.
