· Jonathan Izquierdo · Ciberseguridad ·
Desarticulado Anonymous Fénix: 4 detenidos por ciberataques a organismos públicos tras la DANA de Valencia
La Guardia Civil desmantela Anonymous Fénix en la Operación Quickhatch. 4 arrestados por ataques DDoS contra ministerios e instituciones públicas. El precedente de 2016 demuestra por qué el peritaje forense es decisivo.
La Guardia Civil ha desarticulado Anonymous Fénix, un grupo hacktivista que lanzaba ataques DDoS contra ministerios, partidos políticos e instituciones públicas españolas. La Operación Quickhatch, coordinada con la Fiscalía de Sala de Criminalidad Informática, la Fiscalía de Madrid y el Centro Criptológico Nacional (CCN), se ha saldado con 4 detenidos en dos fases: mayo de 2025 y febrero de 2026. El grupo aprovechó la indignación social tras la DANA de Valencia (octubre de 2024, más de 230 fallecidos) para intensificar sus ataques y difundir desinformación.
Pero este caso tiene un precedente histórico que lo cambia todo: en 2016, tres miembros de Anonymous fueron absueltos en Gijón porque un perito informático demostró que los hashes de los discos duros incautados no coincidían con los registros originales. La cadena de custodia estaba rota y las pruebas fueron declaradas inválidas. Como perito informático forense, explico por qué este precedente es crucial para entender cómo terminará el caso de Anonymous Fénix.
TL;DR - Resumen en 30 segundos
Lo esencial:
- Operación Quickhatch: Guardia Civil + Fiscalía + CCN desarticulan Anonymous Fénix
- 4 detenidos: administrador y moderador (mayo 2025), dos miembros activos (febrero 2026)
- Método: ataques DDoS contra ministerios, partidos e instituciones públicas
- Conexión DANA: el grupo explotó la tragedia de Valencia para intensificar ataques y captar voluntarios
- Sin robo de datos: los ataques fueron puramente disruptivos, sin acceso a sistemas internos
- Precedente clave (2016): 3 miembros de Anonymous absueltos porque el perito demostró hashes alterados
- Penas aplicables: art. 264 bis CP, de 6 meses a 8 años si concurren agravantes
Qué ha pasado: la Operación Quickhatch paso a paso
La Operación Quickhatch se ha desarrollado en dos fases, autorizadas por el Tribunal de Instancia de Madrid (Plaza 50):
| Fase | Fecha | Lugar | Detenidos | Perfil |
|---|---|---|---|---|
| Fase 1 | Mayo 2025 | Alcalá de Henares y Oviedo | 2 | Administrador del grupo y moderador |
| Fase 2 | Febrero 2026 | Ibiza y Móstoles | 2 | Los dos miembros más activos en la ejecución de ataques |
Además de las detenciones, la operación incluyó una intervención judicial de los canales digitales del grupo: su perfil en X (antes Twitter), su canal de YouTube y su canal de Telegram fueron cerrados o intervenidos por orden judicial. El CCN-CERT, que gestionó más de 200.000 incidentes de ciberseguridad en 2024 (278 clasificados como críticos, un +293% respecto al año anterior), colaboró activamente en el bloqueo de estas plataformas.
Al menos dos de los sospechosos son mayores de 30 años, lo que desmonta el estereotipo del hacker adolescente y refuerza la gravedad jurídica del caso.
Quién es Anonymous Fénix
Anonymous Fénix se fundó en abril de 2023 y se presentó como la rama española de Anonymous. Sin embargo, su tamaño real era muy reducido:
| Aspecto | Detalle |
|---|---|
| Fundación | Abril 2023 |
| Tamaño | Menos de 700 seguidores en X, decenas en Telegram |
| Estructura | 4 miembros con roles definidos |
| División de tareas | 2 gestionaban comunicaciones (X, Telegram, YouTube), 2 ejecutaban los ataques |
| Objetivos | Ministerios, partidos políticos, instituciones públicas españolas |
| Alcance internacional | También atacaron organismos gubernamentales en Sudamérica |
| Método | Ataques DDoS (saturación de servidores con volumen anormal de peticiones) |
| Datos robados | Ninguno. No accedieron a sistemas internos ni extrajeron información |
Es importante subrayar que Anonymous Fénix no robó datos ni accedió a sistemas internos. Sus ataques fueron exclusivamente de denegación de servicio (DDoS): saturar los servidores de las víctimas con un volumen anormal de peticiones para dejarlos inaccesibles temporalmente. Es un ataque disruptivo, no de exfiltración.
Que no te confunda el tamaño del grupo
Menos de 700 seguidores no significa poco impacto. Un ataque DDoS bien coordinado puede tumbar un servicio público durante horas. Y cuando ese servicio es un ministerio o una administración pública, el perjuicio afecta a miles de ciudadanos que dependen de él. El artículo 264 bis del Código Penal agrava las penas precisamente cuando el ataque afecta a servicios públicos esenciales.
La conexión con la DANA de Valencia
La DANA que golpeó Valencia a finales de octubre de 2024 causó la muerte de más de 230 personas y provocó una crisis social sin precedentes en España. Anonymous Fénix no solo aprovechó la indignación ciudadana: construyó toda su estrategia de reclutamiento alrededor de ella.
Cronología de la escalada
| Periodo | Acción de Anonymous Fénix |
|---|---|
| Abril 2023 | Fundación del grupo, actividad esporádica |
| Septiembre 2024 | Campaña de reclutamiento de voluntarios para ataques más ambiciosos |
| Octubre-noviembre 2024 | Pico de actividad: ataques intensificados contra instituciones públicas |
| Justificación pública | ”Las instituciones eran las responsables de la tragedia” |
| Desinformación | Difusión de información falsa sobre la respuesta gubernamental a la DANA |
| Mayo 2025 | Fase 1 de detenciones. La actividad del grupo cesa prácticamente |
| Febrero 2026 | Fase 2 de detenciones. Desarticulación completa |
El grupo utilizó la tragedia para justificar sus acciones con un discurso de “venganza ciudadana” contra las instituciones. Este patrón no es nuevo: los movimientos hacktivistas históricamente explotan crisis sociales para reclutar y legitimar ataques. Lo que España ya sufría como problema estructural en ciberseguridad se agravó con actores internos que se autoproclamaban defensores del pueblo.
DDoS en España: qué es y cuáles son las consecuencias penales
Un ataque de denegación de servicio distribuido (DDoS) consiste en saturar un servidor, servicio o red con un volumen de tráfico anormalmente alto para hacerlo inaccesible a sus usuarios legítimos. No requiere acceder al sistema ni robar datos: basta con enviarlo más peticiones de las que puede procesar.
Marco legal: artículos 264 y 264 bis del Código Penal
La reforma del Código Penal de 2015 (LO 1/2015) introdujo el artículo 264 bis específicamente para tipificar los ataques DDoS, que antes quedaban en una zona gris jurídica:
| Artículo | Conducta | Pena base | Pena agravada |
|---|---|---|---|
| Art. 264 CP | Daños informáticos (destruir, dañar o inutilizar datos, programas o documentos electrónicos) | 6 meses - 3 años de prisión | 2 - 5 años de prisión |
| Art. 264 bis CP | Interrumpir el funcionamiento de un sistema informático ajeno (DDoS) | 6 meses - 3 años de prisión | 3 - 8 años de prisión |
Circunstancias agravantes aplicables a Anonymous Fénix
El artículo 264 bis contempla penas agravadas de 3 a 8 años cuando concurren circunstancias como:
- Organización criminal: el grupo tenía estructura, roles definidos y continuidad en el tiempo
- Servicios públicos: los objetivos eran ministerios e instituciones públicas
- Administración pública: algunos ataques se dirigieron directamente contra servicios de la Administración General del Estado
- Especial gravedad: los ataques coincidieron con una crisis humanitaria (DANA) y se acompañaron de desinformación
En el caso de Anonymous Fénix, la Fiscalía podría aplicar varias de estas agravantes de forma simultánea, lo que elevaría las penas al tramo superior.
El precedente de 2016: cuando Anonymous fue absuelto gracias a un perito informático
Este es el punto clave de todo el caso. Y es el que debería preocupar tanto a la acusación como a la defensa en el procedimiento contra Anonymous Fénix.
Los hechos de 2011
En la llamada Operación Spanish Revolution, la Policía Nacional detuvo a 3 personas acusadas de pertenecer a Anonymous y de haber ejecutado ataques DDoS contra la Junta Electoral Central, el Congreso de los Diputados, el PSOE y la SGAE. Los hechos se produjeron en 2011, en el contexto de las protestas del 15-M.
El juicio de 2016 en Gijón: absolución total
Cinco años después, en 2016, los tres acusados fueron juzgados en Gijón. El resultado: absolución total de los tres. No se demostró que pertenecieran a Anonymous ni que hubieran coordinado los ataques.
Pero la razón técnica de la absolución fue demoledora.
El peritaje que cambió el resultado
Un perito informático independiente contratado por la defensa demostró ante el tribunal que los códigos hash de los discos duros incautados no coincidían con los registros originales. La cadena de custodia estaba rota: los equipos no habían sido precintados correctamente, y la policía encubierta había interactuado con los acusados antes de que se formulara la denuncia.
La evidencia fue declarada contaminada e inválida. El peritaje forense fue decisivo en la absolución.
Fuentes: Xataka, peritoinformaticocolegiado.es
Por qué este precedente es crucial para el caso Anonymous Fénix
| Lección de 2016 | Implicación para 2026 |
|---|---|
| Los hashes de los discos no coincidían con los originales | Toda la evidencia digital incautada a Anonymous Fénix debe tener hashes verificables desde la adquisición |
| Los equipos no fueron precintados correctamente | Las cadenas de custodia de los dispositivos incautados en Alcalá, Oviedo, Ibiza y Móstoles deben ser impecables |
| La policía interactuó con los acusados antes de la denuncia | Cualquier actuación previa a la formalización de la investigación debe estar documentada |
| No se demostró pertenencia al grupo | La Fiscalía necesita vincular a cada detenido con los ataques específicos, no solo con la pertenencia al canal |
| El peritaje independiente fue decisivo | Tanto la acusación como la defensa necesitan un perito informático que verifique la integridad de la evidencia |
La lección es clara: da igual lo obvio que parezca la culpabilidad si la evidencia digital no cumple los estándares técnicos. Un hash que no coincide, un disco sin precintar, una cadena de custodia con lagunas, y la prueba se cae en el juicio. Ocurrió en 2016 y puede ocurrir en 2026.
Por qué el peritaje forense es decisivo en casos de hacktivismo
El doble papel del perito informático
En un caso como el de Anonymous Fénix, el perito informático forense puede actuar en ambos lados del proceso:
Para la acusación (Fiscalía/víctimas):
- Verificar que los hashes de la evidencia incautada coinciden con los originales
- Rastrear las direcciones IP y vincularlas con los ataques DDoS documentados
- Analizar los logs de los servidores atacados para cuantificar el impacto
- Elaborar un informe pericial con validez judicial
Para la defensa:
- Auditar la cadena de custodia de los dispositivos incautados
- Verificar si los hashes se calcularon en el momento de la adquisición
- Comprobar que los equipos fueron precintados y almacenados correctamente
- Detectar contaminación o alteración de la evidencia digital
El precedente de 2016 demuestra que la intervención de un perito informático independiente puede ser la diferencia entre una condena y una absolución. En el caso de Anonymous Fénix, con 4 detenidos, dispositivos incautados en 4 ciudades distintas y canales digitales intervenidos judicialmente, la complejidad técnica del análisis forense es considerable.
Cómo actuar si tu organización sufre un ataque DDoS
No apagues los servidores: preserva los logs en caliente. Apagar destruye evidencia de la memoria RAM y dificulta el análisis forense
Documenta todo desde el minuto cero: capturas de pantalla con marca temporal, registros de tráfico anómalo, alertas del sistema. Cada minuto sin documentar es un minuto de evidencia perdida
Activa tu plan de respuesta a incidentes: si no tienes uno, sigue el protocolo de respuesta en las primeras horas. Notifica a tu proveedor de hosting y activa las mitigaciones DDoS disponibles
Preserva los logs con integridad forense: calcula hashes SHA-256 de todos los archivos de log, genera copias bit a bit y documenta quién, cuándo y cómo accedió a cada evidencia. La norma ISO 27037 establece el estándar
Contacta con un perito informático forense: necesitas un profesional que adquiera la evidencia digital con metodología forense antes de que se sobrescriba. El perito generará un informe pericial válido para presentar denuncia
Presenta denuncia ante la Guardia Civil o Policía Nacional: con el informe pericial y la evidencia preservada, tu denuncia tendrá base técnica sólida. Sin evidencia forense, la denuncia puede quedar archivada
El papel del CCN-CERT en la lucha contra el hacktivismo
El Centro Criptológico Nacional (CCN-CERT) ha sido una pieza clave en la Operación Quickhatch. En 2024, el CCN gestionó más de 200.000 incidentes de ciberseguridad, de los cuales 278 fueron clasificados como críticos (un incremento del 293% respecto al año anterior). Su colaboración en el bloqueo de los perfiles y canales de Anonymous Fénix demuestra la capacidad de coordinación entre organismos cuando hay voluntad institucional.
Sin embargo, como ya analicé en el artículo sobre las brechas estructurales en ciberseguridad de España, el país sigue sin un registro centralizado de ciberincidentes. Los ataques de Anonymous Fénix contra instituciones públicas podrían haberse detectado y mitigado antes si existiera esa coordinación sistemática entre CCN-CERT, INCIBE, Ciberdefensa y las fuerzas de seguridad.
Preguntas frecuentes
¿Es delito participar en un ataque DDoS aunque no seas el organizador?
Sí. El artículo 264 bis del Código Penal castiga a quien, sin estar autorizado, interrumpa o dificulte el funcionamiento de un sistema informático ajeno. No distingue entre quien organiza el ataque y quien aporta su equipo para generar tráfico. Participar como “voluntario” en un ataque DDoS coordinado por un grupo como Anonymous Fénix constituye un delito con penas de 6 meses a 3 años de prisión (hasta 8 años con agravantes). El desconocimiento de la ley no exime de responsabilidad, y el anonimato de Internet no es absoluto: las direcciones IP quedan registradas en los logs de los servidores atacados.
¿Qué diferencia hay entre un ataque DDoS y un hackeo con robo de datos?
Son delitos distintos con consecuencias técnicas y jurídicas diferentes. Un ataque DDoS (art. 264 bis CP) satura un servidor para hacerlo inaccesible, pero no accede a datos ni sistemas internos. Es como bloquear la puerta de un edificio con una multitud: nadie entra, pero tampoco nadie sale. Un hackeo con robo de datos (art. 264 CP + art. 197 CP) implica acceder sin autorización a un sistema y extraer información. En el caso de Anonymous Fénix, la Guardia Civil ha confirmado que no se robaron datos ni se accedió a sistemas internos: los ataques fueron puramente disruptivos. Esto no reduce la gravedad penal, pero sí cambia el tipo de evidencia forense necesaria para la acusación.
¿Puede un perito informático conseguir que se anulen pruebas digitales en un juicio?
Sí, y hay precedentes directos en España. En 2016, un perito informático independiente demostró ante el tribunal de Gijón que los hashes de los discos duros incautados a 3 miembros de Anonymous no coincidían con los registros originales. Los equipos no habían sido precintados correctamente y la cadena de custodia estaba comprometida. El tribunal declaró la evidencia contaminada e inválida, y los tres acusados fueron absueltos. Este precedente confirma que el peritaje forense puede ser decisivo tanto para la acusación (verificando la integridad de la prueba) como para la defensa (detectando fallos en la cadena de custodia). Si necesitas un informe pericial sobre evidencia digital, la metodología ISO 27037 es el estándar de referencia.
¿Es legal el hacktivismo en España?
No. Independientemente de la motivación política o social, ejecutar un ataque DDoS contra un sistema informático ajeno es un delito tipificado en el Código Penal (art. 264 bis). La libertad de expresión y el derecho de protesta no amparan la interrupción de servicios informáticos. El Tribunal Constitucional ha establecido repetidamente que los derechos fundamentales tienen límites, y causar daños a infraestructuras informáticas públicas o privadas excede esos límites. Anonymous Fénix justificaba sus ataques como respuesta ciudadana a la gestión de la DANA, pero eso no les exime de responsabilidad penal. Hay formas legítimas de protesta; un ataque DDoS no es una de ellas.
Conclusiones: lo que este caso enseña sobre evidencia digital
El caso de Anonymous Fénix ilustra dos realidades que conviven en la justicia española:
Las fuerzas de seguridad tienen capacidad para desarticular grupos hacktivistas, incluso los que operan con anonimato digital. La coordinación entre Guardia Civil, Fiscalía y CCN ha sido efectiva.
La condena no está garantizada por la detención. El precedente de 2016 demuestra que si la evidencia digital no se adquiere, preserva y presenta con rigor forense, el tribunal la invalidará. Y con ella, todo el caso.
Para abogados que representan a víctimas de ciberataques o a acusados en procesos de ciberdelincuencia: la prueba digital necesita un perito informático que la valide o la impugne con criterios técnicos. Es lo que decidió el caso de 2016, y es lo que puede decidir el de 2026.
¿Necesitas un perito informático para un caso de ciberdelincuencia?
Verificamos la integridad de la evidencia digital, auditamos cadenas de custodia y elaboramos informes periciales con validez judicial. Tanto para la acusación como para la defensa.
Solicitar consulta gratuitaSobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified, especializado en evidencia digital, cadena de custodia y análisis forense con metodología ISO 27037.
Última actualización: Febrero 2026
