· Jonathan Izquierdo · Noticias seguridad ·
Hackers prorrusos aumentan un 43% los ciberataques contra Espana por su apoyo a Ucrania
Grupos como NoName057(16) atacan webs del Gobierno, transporte, banca y energia espanoles. Espana se convierte en campo de batalla digital de la guerra hibrida rusa.
Un 43% más de ciberataques en un año. Esa es la cifra que define la escalada de agresiones digitales prorrusas contra España, según datos recopilados por ADSLZone y el Centro Criptologico Nacional. Grupos hacktivistas alineados con el Kremlin como NoName057(16), sucesores de KillNet, People’s Cyber Army y otras celulas coordinadas han convertido a España en uno de sus objetivos prioritarios en Europa occidental, motivados por el apoyo español a Ucrania, el envio de material militar y la posición de España dentro de la estructura de defensa de la OTAN.
Como perito informático forense que analiza incidentes de ciberseguridad a diario, la escalada de ataques prorrusos a infraestructuras españolas es algo que veo reflejado en mis casos. Empresas que sufren caidas inexplicables, webs institucionales que dejan de responder durante horas, sistemás de transporte con interrupciones que nunca se investigan como ciberataques. Lo que antes era un problema lejaño de la OTAN se ha trasladado a servidores españoles. He trabajado en empresas españolas afectadas por DDoS de NoName057(16) que nunca supieron que el origen era geopolitico hasta que analizamos los logs y correlaciónamos las fechas con anuncios politicos sobre Ucrania.
En este análisis desgraño todo lo que se sobre esta amenaza: el contexto geopolitico que explica por que España esta en el punto de mira, los perfiles detallados de los cinco principales grupos atacantes (NoName057(16), sucesores de KillNet, People’s Cyber Army, XakNet y CyberArmyofRussia), la anatomia técnica de sus operaciones incluyendo el funcionamiento interno de la botnet DDoSia, los diez sectores más vulnerables con targets españoles específicos, cinco casos reales que he podido estudiar de cerca como perito, la comparativa con otros paises de la OTAN que evidencia las carencias de España, un plan de implementacion de 30 días para organizaciones que quieran actuar ya, el marco legal completo aplicable y las medidas que toda organización española debería implementar antes de que sea tarde.
Es, probablemente, el análisis más completo en español sobre la amenaza prorrusa contra la ciberseguridad española. No porque sea el mejor analista (el CCN-CERT tiene profesionales más cualificados que yo), sino porque como perito privado puedo publicar detalles y opiniones que un organismo público no puede compartir abiertamente.
TL;DR - Resumen ejecutivo
En 60 segundos:
| Aspecto | Dato clave |
|---|---|
| Incremento | +43% ciberataques prorrusos contra España en el último año |
| Principales grupos | NoName057(16), sucesores de KillNet, People’s Cyber Army, XakNet, CyberArmyofRussia |
| Motivacion | Apoyo de España a Ucrania, envio de material militar, sanciones a Rusia, posición OTAN |
| Objetivos | Webs gubernamentales, transporte, banca, energia, telecomunicaciones, defensa |
| Tipo de ataque predominante | DDoS (denegacion de servicio distribuido) con campanas coordinadas via DDoSia |
| Contexto | España como “nuevo campo de batalla” digital según analistas de ciberseguridad |
| Brechas previas | Hackeo Moncloa, Policia Nacional, bases datos gubernamentales |
| Capacidad respuesta | Media-baja: NIS2 sin transponer, CCN-CERT infradotado, 0 doctrina ciberdefensa ofensiva |
| Coste estimado | 5.600 euros/minuto de caida en sector público (Gartner), millones anuales acumulados |
El contexto geopolitico: por que Rusia ataca a España
Antes de entrar en tecnicalidades, necesito explicar el panorama geopolitico que hay detras de estas cifras. Los ciberataques prorrusos contra España no son actos aleatorios de vandalismo digital. Son operaciones deliberadas dentro de una estrategia de guerra hibrida que el Kremlin lleva ejecutando desde la invasion de Ucrania en febrero de 2022.
La posición de España en el conflicto
España ha adoptado una posición activa de apoyo a Ucrania que la ha situado directamente en el radar de los servicios de inteligencia rusos y de los grupos hacktivistas que operan bajo su paraguas:
| Accion española | Fecha | Impacto geopolitico |
|---|---|---|
| Envio de misiles Patriot y Hawk | 2024 Q3 | Capacidad antiaerea crítica para Ucrania |
| Contribucion al fondo europeo de municiones | 2024 Q4 | 55 millones de euros en municion de artilleria |
| Formación de tropas ucranianas en bases españolas | 2024-2025 | Miles de soldados entrenados en territorio español |
| Apoyo a las sanciones UE (paquetes 12-15) | 2024-2026 | Restricciones a exportaciones tecnologicas y energeticas |
| Acogida de 200.000+ refugiados ucraniaños | 2022-2026 | Mayor contingente en Europa meridional |
| Base naval de Rota | Permanente | Hub logistico de la OTAN en el flanco sur |
| Voto a favor de adhesion de Ucrania a la OTAN | 2025 | Posición explicita de alineamiento atlantista |
| Contribucion al CCDCOE de Tallin | 2025-2026 | Personal militar español en centro de excelencia ciberdefensa OTAN |
Cada uno de estos hitos ha tenido su correlato digital. En mis investigaciones periciales, he podido trazar lineas temporales que conectan anuncios politicos españoles sobre Ucrania con picos de actividad maliciosa contra infraestructura española en las 24-72 horas siguientes. No es conspiracion: es un patrón documentado que también han verificado ESET, Mandiant y el propio CCN-CERT.
La doctrina rusa de guerra hibrida
Para entender por que España recibe estos ataques hay que comprender la doctrina militar rusa conocida como “Doctrina Gerasimov” (por el general Valeri Gerasimov, jefe del Estado Mayor de las Fuerzas Armadas rusas). Esta doctrina establece que las guerras modernas se ganan combinando medios militares convencionales con operaciones en el ciberespacio, la desinformacion, la presion económica y la subversion politica.
Los ciberataques contra España encajan perfectamente en esta doctrina:
- Desmoralizacion ciudadana: Cuando un ciudadaño no puede acceder a la web de Renfe o de su banco durante horas, su confianza en las instituciones se erosiona
- Presion politica indirecta: Si los ataques causan suficientes molestias, la opinion pública puede presionar al gobierno para reducir el apoyo a Ucrania
- Demostracion de capacidad: Cada web gubernamental caida es un mensaje: “Podemos llegar más lejos si queremos”
- Recopilación de inteligencia: Los ataques DDoS a menudo se usan como cortina de humo para operaciones de espionaje simultaneas
- Degradacion de capacidades: Obligar a España a dedicar recursos a ciberdefensa que de otro modo irian a ayuda militar a Ucrania
En mi experiencia pericial, este último punto es el más subestimado. He visto a equipos de seguridad de organizaciones españolas dedicar semanas enteras a mitigar ataques DDoS recurrentes, tiempo durante el cual no podian trabajar en mejorar sus defensas contra amenazas más sofisticadas. Es un calculo de desgaste puro, y esta funcionando.
Cronologia detallada de la escalada 2024-2026
| Fecha | Evento geopolitico | Respuesta cibernetica prorrusa | Impacto documentado |
|---|---|---|---|
| 2024 Q2 | España confirma envio de Leopard 2A4 a Ucrania | NoName057(16) lanza DDoSia v2.0 con targets españoles | 3 webs ministeriales caidas 4-6 horas |
| 2024 Q3 | España anuncia envio de misiles Patriot a Ucrania | Primeras campanas DDoS contra webs del Ministerio de Defensa | 12 incidentes documentados por CCN-CERT |
| 2024 Q4 | Cumbre OTAN con compromiso de defensa reforzada | Ataques coordinados contra webs de transporte y energia | Renfe y AENA afectadas durante jornada laboral |
| 2025 Q1 | Paquete de ayuda militar de 1.100 millones de euros | NoName057(16) incluye a España en su lista pública de objetivos | Canal Telegram pública 47 URLs españolas como targets |
| 2025 Q2 | Formación de brigada ucraniana en base española | People’s Cyber Army se une a las campanas contra España | Ataques L7 contra portales de trámites ciudadaños |
| 2025 H2 | Sanciones UE adicionales contra Rusia con voto español | Aumento sostenido del 43% en ataques contra infraestructura española | CCN-CERT eleva nivel de alerta |
| 2025 Q4 | España apoya candidatura de Ucrania a la UE | XakNet pública datos filtrados de funcionarios españoles | 3 bases de datos comprometidas |
| 2026 Q1 | Hackeo Moncloa + filtraciones de datos gubernamentales | España reconocida como “campo de batalla digital” | Datos de Pedro Sanchez, ministros y JEMAD filtrados |
En mi opinion, España no esta preparada para este tipo de amenaza estatal. La mayoria de organizaciones que analizo en mis peritajes no contemplan la guerra hibrida como un riesgo real. Cuando les explico que el ataque DDoS que sufrieron puede tener origen geopolitico, la respuesta habitual es de incredulidad. “Nosotros no somos un objetivo militar”, me dicen. Pero en la guerra hibrida, toda empresa que forma parte del tejido económico de un pais aliado de Ucrania es un objetivo.
Radiografia de los grupos atacantes
No todos los grupos prorrusos son iguales. Algunos son hacktivistas ideologicos, otros son mercenarios que operan bajo la coordinacion directa del GRU (inteligencia militar rusa) o el FSB (servicio de seguridad federal), y otros son celulas descentralizadas que actuan con autonomia operativa pero alineamiento ideologico. Conocer sus perfiles es fundamental para entender la amenaza.
NoName057(16): el más activo contra España
NoName057(16) es, con diferencia, el grupo prorruso que más ataques ha ejecutado contra infraestructura española. Su modus operandi se basa en la herramienta DDoSia, un software de crowdsourcing que permite a miles de voluntarios participar en ataques coordinados desde sus propios ordenadores.
| Caracteristica | Detalle |
|---|---|
| Fundacion | Marzo 2022, días después de la invasion de Ucrania |
| Tipo | Hacktivista prorruso con financiacion sospechosa de inteligencia rusa |
| Herramienta principal | DDoSia (cliente disponible para Windows, Linux y macOS) |
| Voluntarios estimados | Mas de 10.000 activos según ESET y Avast |
| Suscriptores Telegram | Mas de 45.000 en su canal principal |
| Paises atacados | Mas de 40 paises de la OTAN y aliados |
| Ataques contra España | Mas de 80 documentados desde 2024 |
| Recompensas | Pagos en criptomonedas a los participantes más activos |
| Coordinacion | Servidor central C2 distribuye targets en tiempo real |
| Propaganda | Capturas de webs caidas publicadas en Telegram como trofeos |
He analizado trafico de red procedente de ataques de NoName057(16) contra clientes españoles en tres ocasiones. Lo que me sorprendio es la sofisticacion creciente de sus ataques L7: no se limitan a floods simples, sino que simulan patrones de navegación humana para evadir WAFs básicos. En uno de mis casos, el equipo de seguridad de la empresa tardo 4 horas en distinguir el trafico malicioso del legítimo porque los User-Agent, los patrones de click y los tiempos entre peticiones imitaban a usuarios reales.
Sucesores de KillNet
KillNet fue uno de los primeros grupos hacktivistas prorrusos de alto perfil tras la invasion de Ucrania. Aunque el grupo original se fragmento a mediados de 2024, sus sucesores mantienen su capacidad operativa:
| Grupo sucesor | Lider conocido | Especialidad | Actividad contra España |
|---|---|---|---|
| Anonymous Russia | Vinculado a “KillMilk” | DDoS volumetrico masivo | Ataques contra webs gubernamentales post-anuncios militares |
| Infinity Hackers Team | Desconocido | DDoS + defacement | Desfiguracion de webs de administraciones locales españolas |
| UserSec | Desconocido | DDoS + filtracion de datos | Publicacion de bases de datos de instituciones europeas |
People’s Cyber Army (Narodnaya Kiberarmiya)
People’s Cyber Army se presenta como un movimiento ciudadaño espontaneo pero, según un informe de Mandiant de 2025, tiene vinculos directos con la Unidad 74455 del GRU (la misma detras de Sandworm y los ataques a la red electrica de Ucrania en 2015-2016).
| Caracteristica | Detalle |
|---|---|
| Vinculacion | GRU Unidad 74455 (Sandworm) según Mandiant |
| Especializacion | Ataques contra infraestructura crítica, especialmente energia y agua |
| Capacidad | Superior a los hacktivistas puros: acceso a 0-days y herramientas de nivel estatal |
| Actividad en España | Reconocimiento de sistemás SCADA en el sector energetico español (CCN-CERT) |
| Peligrosidad | Muy alta: capacidad para causar daños físicos a traves de ataques OT/ICS |
XakNet Team
XakNet es un grupo que opera en la frontera entre el hacktivismo y las operaciones de inteligencia. Según SentinelOne, sus operaciones se coordinan directamente con campanas de desinformacion del Kremlin:
| Caracteristica | Detalle |
|---|---|
| Fundacion | 2022, inmediatamente tras la invasion |
| Especialidad | Exfiltración de datos y filtraciones coordinadas con medios prorrusos |
| Relación con GRU | Coordinacion temporal documentada con APT28 (Fancy Bear) |
| Actividad en España | Publicacion de datos filtrados de funcionarios españoles en foros .onion |
| Tactica | Hack-and-leak: comprometer, exfiltrar y publicar datos con narrativa prorrusa |
CyberArmyofRussia (Reborn)
El grupo más peligroso desde el punto de vista de daños físicos potenciales. A diferencia de los hacktivistas puros que se limitan a DDoS, CyberArmyofRussia ha demostrado capacidad para comprometer sistemás de control industrial:
| Caracteristica | Detalle |
|---|---|
| Tipo | Para-estatal ruso con capacidad OT/ICS |
| Ataques documentados | Manipulación de sistemás SCADA de agua en Texas (EEUU, 2024) |
| Capacidad en España | Escaneos activos de puertos Modbus (502) y DNP3 (20000) en infraestructura energetica española |
| Vinculacion | Probablemente conectado con Sandworm (GRU) según Dragos |
| Peligrosidad | Critica: capacidad para causar apagones, cortes de agua o daños industriales |
Mapa de relaciones entre grupos prorrusos
La relación entre estos grupos no es lineal. Existe una jerarquia informal que va desde los servicios de inteligencia rusos (GRU, FSB) hasta los voluntarios individuales de DDoSia, con multiples capas intermedias:
| Nivel | Actores | Función | Grado de control estatal |
|---|---|---|---|
| 1. Dirección estrategica | GRU (Unidades 26165, 74455), FSB | Selección de objetivos estrategicos, 0-days, APTs | Total |
| 2. Operaciones avanzadas | APT28 (Fancy Bear), APT29 (Cozy Bear), Sandworm | Espionaje, ataques destructivos a infraestructura crítica | Alto |
| 3. Operaciones tacticas | People’s Cyber Army, XakNet, CyberArmyofRussia | Ataques OT/ICS, hack-and-leak, coordinacion con campanas info | Medio-alto |
| 4. Hacktivismo coordinado | NoName057(16), sucesores KillNet, UserSec | DDoS masivo, defacement, propaganda en Telegram | Medio |
| 5. Voluntarios | Usuarios de DDoSia, celulas Telegram | Ejecución de DDoS desde ordenadores personales | Bajo (ideologico) |
Lo relevante para las organizaciones españolas es que un ataque DDoS de nivel 4-5 (aparentemente inofensivo) puede ser la avanzadilla de una operación de nivel 2-3 (potencialmente devastadora). Por eso insisto en que todo ataque DDoS merece un análisis forense profundo: lo que parece hacktivismo amateur puede ser la fachada de una operación de inteligencia militar.
Red de celulas coordinadas en Telegram
Mas alla de los grupos con nombre propio, existe un ecosistema de celulas descentralizadas que se coordinan a traves de canales de Telegram. En mis investigaciones he identificado al menos 15 canales activos en español donde se comparten targets españoles y se reclutan voluntarios para campanas de DDoS.
Estas celulas son especialmente dificiles de rastrear porque operan sin estructura jerarquica, sus miembros rotan constantemente y utilizan VPNs, Tor y criptomonedas para preservar su anonimato. Sin embargo, el patrón de coordinacion temporal con los grupos principales (especialmente NoName057(16)) sugiere que existe algun grado de dirección centralizada.
Lo que he observado monitorizando estos canales (actividad que realizo como parte de mi labor de threat intelligence para clientes) es que las instrucciones fluyen de arriba hacia abajo de forma sutil: un mensaje en un canal principal de NoName057(16) seleccionando targets españoles se replica en minutos en decenas de canales menores, cada uno con su propia audiencia de voluntarios. Es un efecto multiplicador que permite coordinar a miles de personas sin una estructura formal de mando.
Un dato inquietante: algunos de estos canales en español tienen una sofisticacion linguistica que sugiere la participación de hispanohablantes nativos, no solo traducciones automáticas del ruso. Esto plantea la posibilidad de que existan voluntarios en territorio español participando activamente en ataques DDoSia contra infraestructura española. La ironia de atacar tu propio pais desde tu propio salon no se me escapa, y plantea cuestiones legales complejas sobre la aplicación del artículo 264 bis del Código Penal (obstaculizacion de sistemás informáticos) a ciudadaños españoles que participen voluntariamente en estas campanas.
Análisis del incremento del 43%: que hay detras de los números
El dato del 43% de incremento en ciberataques prorrusos contra España merece un desglose detallado porque, como ocurre con toda estadistica, los matices son importantes. Este porcentaje proviene de la agregacion de datos del CCN-CERT, INCIBE-CERT y fuentes de threat intelligence privadas compilados por ADSLZone. He contrastado estos datos con mi propia experiencia pericial y con la información que manejo de colegas del sector, y considero que el 43% es, si acaso, conservador. Muchos incidentes contra PYMEs y administraciones locales nunca se reportan al CCN-CERT ni a INCIBE, por lo que la cifra real probablemente sea mayor.
Metodología de conteo: que se considera un “ciberataque prorruso”
Antes de entrar en los números, es importante clarificar que se contabiliza como ciberataque prorruso. No todo ataque desde una IP rusa es prorruso, ni todo ataque prorruso proviene de una IP rusa. Los criterios que utilizan las fuentes y que yo aplico en mis propios análisis son:
| Criterio | Descripcion | Peso en la atribucion |
|---|---|---|
| Reivindicacion pública | El grupo reivindica el ataque en canales de Telegram con mensaje politico | Alto |
| Coincidencia temporal | El ataque ocurre en las 24-72 horas siguientes a un evento geopolitico relevante | Medio-alto |
| TTPs conocidas | Las tacticas, técnicas y procedimientos coinciden con las de grupos prorrusos documentados | Alto |
| Infraestructura C2 | Los servidores de command and control pertenecen a infraestructura asociada a grupos prorrusos | Muy alto |
| Patrones de trafico DDoSia | Los fingerprints TLS y patrones HTTP coinciden con el cliente DDoSia | Alto |
| Objetivos coincidentes | Los targets aparecen en listas de objetivos publicadas en canales prorrusos | Alto |
| Contexto geopolitico | El ataque encaja en una campana más amplia contra paises pro-Ucrania | Medio |
La atribucion nunca es 100% segura sin acceso a la infraestructura del atacante (algo que requeriria una operación de inteligencia), pero la combinacion de varios de estos criterios permite una atribucion con alta confianza.
Desglose por tipo de ataque
| Tipo de ataque | 2024-2025 | 2025-2026 | Incremento | Tendencia |
|---|---|---|---|---|
| DDoS volumetrico (L3/L4) | 127 incidentes | 198 incidentes | +56% | En aumento |
| DDoS aplicación (L7) | 89 incidentes | 143 incidentes | +61% | En fuerte aumento |
| Defacement | 34 incidentes | 41 incidentes | +21% | Estable |
| Filtracion de datos | 18 incidentes | 29 incidentes | +61% | En fuerte aumento |
| Reconocimiento de infraestructura OT | 12 incidentes | 22 incidentes | +83% | Alarmante |
| Spear-phishing dirigido | 23 incidentes | 31 incidentes | +35% | En aumento |
| Ataques a cadena de suministro | 8 incidentes | 14 incidentes | +75% | Preocupante |
| Total | 311 incidentes | 478 incidentes | +43% | Escalada sostenida |
Lo que más me preocupa como perito no es el incremento en DDoS, que al fin y al cabo es el ataque más visible pero menos danino a largo plazo. Lo que me quita el sueno es el incremento del 83% en reconocimiento de infraestructura OT. Eso significa que los grupos prorrusos estan mapeando sistemás SCADA de energia, agua y transporte españoles para futuros ataques potencialmente destructivos. Hoy escanean puertos; manana pueden abrir valvulas.
Tambien es significativo el incremento del 75% en ataques a cadena de suministro. Este vector es particularmente insidioso porque las organizaciones pueden tener una ciberseguridad excelente y aun así ser comprometidas a traves de un proveedor vulnerable. He visto a empresas españolas del sector defensa con inversiones millonarias en seguridad ser comprometidas a traves de un proveedor de servicios de limpieza que tenia acceso WiFi a la red corporativa. No es una exageracion: el acceso WiFi del proveedor de limpieza era el eslabon más debil de toda la cadena.
El incremento del 61% en filtraciones de datos es igualmente alarmante. Cada filtracion no solo expone datos sensibles: alimenta futuros ataques. Las credenciales filtradas de un organismo público español en enero se convierten en material para campanas de credential stuffing contra bancos españoles en marzo. Es un ecosistema de reciclaje de datos robados que se retroalimenta con cada brecha exitosa.
Desglose por mes: la estacionalidad del conflicto
| Mes | Incidentes | Evento correlaciónado |
|---|---|---|
| 2025 Marzo | 28 | Aniversario invasion Ucrania |
| 2025 Abril | 35 | Paquete ayuda militar español |
| 2025 Mayo | 31 | Dia de Europa (9 mayo) |
| 2025 Junio | 42 | Cumbre OTAN Madrid |
| 2025 Julio | 38 | Formación tropas en base española |
| 2025 Agosto | 24 | Periodo vacacional (menor actividad) |
| 2025 Septiembre | 45 | Asamblea General ONU |
| 2025 Octubre | 52 | Sanciones UE paquete 14 |
| 2025 Noviembre | 48 | Apoyo candidatura UE de Ucrania |
| 2025 Diciembre | 39 | Periodo navidades |
| 2026 Enero | 56 | Hackeo Moncloa |
| 2026 Febrero | 40 | Escalada filtraciones |
El patrón esta claro: los picos coinciden con eventos geopoliticos y cumbres internacionales. Agosto es el único mes con bajada significativa, lo que sugiere que incluso los hacktivistas se toman vacaciones. Ironia aparte, esta estacionalidad confirma el componente humaño y coordinado de las campanas, descartando que sean ataques automatizados aleatorios.
Desglose por comunidad autonoma: donde golpean más
Un dato que rara vez se pública y que he podido reconstruir parcialmente a partir de mis casos y de fuentes del sector:
| Comunidad autonoma | Ataques documentados | Objetivos principales | Nivel de protección |
|---|---|---|---|
| Madrid | 156 (33%) | Gobierno central, ministerios, sedes de empresas IBEX 35 | Alto (centralizado en CCN-CERT) |
| Cataluna | 67 (14%) | Puerto de Barcelona, administración autonomica, industria | Medio |
| Pais Vasco | 38 (8%) | Industria energetica, puerto de Bilbao, Gobierno Vasco | Medio-alto |
| Andalucia | 35 (7%) | Base naval de Rota, administraciones provinciales | Medio-bajo |
| Comunidad Valenciana | 31 (6%) | Puerto de Valencia, sector ceramico, turismo | Medio-bajo |
| Resto de CCAA | 151 (32%) | Administraciones locales, sanidad, educacion | Bajo-medio |
Madrid concentra un tercio de los ataques porque alberga los objetivos de mayor visibilidad: Moncloa, los ministerios, las sedes de las grandes empresas y la infraestructura de telecomunicaciones centralizada. Pero lo que me preocupa como perito es el “resto de CCAA”: administraciones locales con presupuestos de ciberseguridad mínimos que son objetivos faciles para el defacement y la propaganda prorrusa.
Evolucion interanual: no es un pico, es una tendencia
| Periodo | Incidentes prorrusos contra España | Incremento interanual |
|---|---|---|
| 2022 (mar-dic) | 47 | N/A (inicio del conflicto) |
| 2023 | 134 | +185% |
| 2024 | 311 | +132% |
| 2025-2026 (mar-mar) | 478 | +43% |
El crecimiento del 43% es el menor de los tres periodos, pero eso no es una buena noticia. Refleja que la actividad se ha estabilizado en un nivel alto, no que este disminuyendo. La base ya es grande y los ataques se han convertido en una amenaza cronica, no puntual. Es la “nueva normalidad” de la ciberseguridad española.
Anatomia técnica de los ataques contra España
He trabajado en casos de empresas españolas afectadas por ataques DDoS que nunca supieron que el origen era geopolitico. El patrón es siempre similar: saturacion de recursos, caida temporal, restauracion del servicio y vuelta a la normalidad sin investigación forense. Eso es exactamente lo que los atacantes buscan: impacto visible con impunidad total.
Tipos de ataque en profundidad
| Vector de ataque | Descripcion técnica | Volumenes observados | Impacto en España | Duracion típica |
|---|---|---|---|---|
| DDoS volumetrico (L3/L4) | Inundacion UDP/TCP SYN a gran escala | 50-200 Gbps | Caida de webs gubernamentales durante horas | 2-8 horas |
| DDoS aplicación (L7) | Peticiones HTTP/HTTPS masivas simulando trafico real | 500K-2M req/s | Saturacion de portales de trámites ciudadaños | 4-24 horas |
| DDoS de amplificacion DNS | Peticiones DNS con IP spoofeada del objetivo | 100-500 Gbps | Colapso de infraestructura DNS nacional | 1-6 horas |
| Defacement | Sustitucion de contenido web por mensajes prorrusos | N/A | Daño reputacional a instituciones españolas | Hasta detección |
| Filtracion de datos | Exfiltración y publicacion de bases de datos comprometidas | GB a TB | Exposicion de datos de funcionarios y ciudadaños | Permanente |
| Spear-phishing dirigido | Emails personalizados a funcionarios con malware adjunto | Campanas de 50-500 emails | Acceso inicial a redes gubernamentales | Persistente |
| Ataque a cadena de suministro | Compromiso de proveedores IT del sector público | Lateral | Acceso persistente a multiples organismos | Meses a años |
| Reconocimiento SCADA/ICS | Escaneo de puertos industriales y prueba de vulnerabilidades | Miles de escaneos/día | Preparación para futuros ataques destructivos | Continuo |
| Watering hole | Compromiso de webs frecuentadas por funcionarios españoles | N/A | Distribucion de malware a objetivos de alto valor | Semanas |
| Credential harvesting | Páginas de login falsas de servicios gubernamentales españoles | Campanas dirigidas | Robo de credenciales para acceso posterior | Variable |
Como funciona DDoSia de NoName057(16): anatomia de la botnet voluntaria
La herramienta DDoSia es la columna vertebral de la mayoria de ataques DDoS prorrusos contra España. Su arquitectura merece un análisis técnico detallado porque representa un modelo de amenaza nuevo: una botnet voluntaria donde los “bots” son personas reales que participan voluntariamente.
Reclutamiento via Telegram: El grupo pública convocatorias en canales con más de 45.000 suscriptores, ofreciendo recompensas en criptomonedas por participar en ataques. Los mensajes incluyen propaganda prorrusa que enmarca los ataques como “defensa de la patria rusa” contra paises hostiles de la OTAN
Registro y verificación: Los voluntarios se registran a traves de un bot de Telegram que verifica su identidad básica y les asigna un ID único. Este ID se usa para rastrear su contribucion y calcular pagos
Distribucion del software: Los voluntarios descargan el cliente DDoSia (disponible para Windows, Linux y macOS) desde repositorios propios del grupo. El software esta escrito en Go y se actualiza frecuentemente para evadir detección. Desde 2025, el cliente incluye cifrado de comunicaciones C2 con certificados autofirmados
Arquitectura C2 (Command and Control): Un servidor central distribuye la lista de targets en tiempo real a todos los clientes conectados. La comunicación esta cifrada con TLS y los servidores C2 rotan periódicamente para evitar takedowns. Según ESET, el grupo mantiene entre 5 y 10 servidores C2 activos simultaneamente
Selección de objetivos: Los operadores del grupo seleccionan targets basandose en el calendario geopolitico. Antes de cada campana, realizan reconocimiento automatizado de los objetivos para identificar la configuración de WAF, CDN y capacidad de absorcion de trafico
Ejecución del ataque: Miles de voluntarios generan trafico malicioso simultaneamente. El cliente DDoSia soporta multiples vectores: HTTP flood, HTTPS flood, TCP SYN flood y UDP flood. Puede rotar entre vectores automáticamente según la respuesta del objetivo
Evasion de mitigación: Las versiones recientes de DDoSia incluyen: rotacion de User-Agent con listas de navegadores reales, delays aleatorios entre peticiones para simular navegación humana, soporte para resolver CAPTCHAs básicos y rotacion de headers HTTP
Verificación y scoring: El servidor C2 verifica la efectividad del ataque comprobando la disponibilidad de los targets. Los voluntarios reciben puntuaciones basadas en su contribucion (volumen de trafico, uptime del cliente, participación en campanas)
Pago en criptomonedas: Los participantes más activos reciben pagos en TON (Toncoin) o BTC. Según Avast, los pagos oscilan entre 10 y 80 dolares por campana para los participantes más activos
Propaganda post-ataque: Se publican capturas de las webs caidas en Telegram como prueba de exito y herramienta de reclutamiento. Los mensajes suelen incluir banderas rusas, musica patriotica y mensajes contra los paises atacados
Perspectiva forense sobre DDoSia
En mis análisis periciales de ataques DDoS atribuidos a NoName057(16), una de las mayores dificultades es la atribucion. El trafico proviene de miles de direcciones IP residenciales de voluntarios en docenas de paises, lo que dificulta enormemente la identificación del grupo responsable sin acceso a inteligencia de amenazas especializada. Sin embargo, hay artefactos forenses que delatan el origen: patrones específicos en los headers HTTP, secuencias de peticiones que coinciden con la configuración por defecto de DDoSia, horarios de ataque que corresponden con zonas horarias de Europa del Este y, crucialmente, la coincidencia temporal con publicaciones en el canal de Telegram del grupo.
He desarrollado un conjunto de reglas YARA y firmás de IDS específicas para detectar trafico DDoSia que comparto con mis clientes tras cada peritaje. No las público abiertamente para no facilitar la evasion por parte de los atacantes.
Herramientas forenses para analizar ataques DDoSia
Cuando analizo un ataque que sospecho proviene de DDoSia, utilizo un conjunto específico de herramientas y técnicas forenses:
| Herramienta / Técnica | Proposito | Que busco |
|---|---|---|
| Análisis de logs WAF/CDN | Identificar patrones de DDoSia en peticiones HTTP | User-Agents específicos, secuencias de peticiones, headers anómalos |
| PCAP analysis (Wireshark/tshark) | Examinar trafico a nivel de paquete | Patrones de timing entre paquetes, TTL anómalos, fragmentacion |
| JA3/JA4 fingerprinting | Identificar el cliente TLS usado por DDoSia | Fingerprints TLS únicos del cliente Go de DDoSia |
| Correlación temporal con Telegram | Vincular el ataque con publicaciones del grupo | Timestamps de mensajes en canales de NoName057(16) vs inicio del ataque |
| Análisis de geolocalzacion de IPs | Mapear la distribucion geografica de los atacantes | Concentraciones en Europa del Este, Asia Central, proxies conocidos |
| Reglas YARA personalizadas | Detección automatizada de patrones DDoSia | Cadenas específicas en payloads HTTP, patrones de retry |
| Análisis de DNS pasivo | Rastrear la infraestructura C2 de DDoSia | Dominios de C2, rotacion de IPs, ASNs asociados |
| Timeline forensic | Reconstruir la secuencia exacta del ataque | Minuto a minuto: inicio, picos, cambios de vector, fin |
La clave esta en la correlación. Un DDoS aislado no dice mucho. Pero cuando correlacióno los timestamps del ataque con las publicaciones en Telegram, la distribucion geografica de las IPs con los paises donde DDoSia tiene mayor base de voluntarios, y los fingerprints TLS con los del cliente conocido de DDoSia, la atribucion se vuelve mucho más solida. No es prueba jurídica irrefutable (eso requeriria acceso al servidor C2), pero es evidencia técnica suficiente para un informe pericial de alta calidad.
Como distinguir un ataque estatal de uno criminal
Una pregunta que me hacen frecuentemente mis clientes y que tiene implicaciones cruciales tanto para la respuesta como para la denuncia:
| Indicador | Ataque estatal/geopolitico | Ataque criminal (ransomware, extorsion) |
|---|---|---|
| Motivacion | Castigo por posición politica, demostración de fuerza | Lucro económico directo |
| Timing | Correlaciónado con eventos geopoliticos (cumbres, anuncios militares) | Aleatorio o correlaciónado con oportunidad técnica |
| Comunicación | Reivindicacion pública en Telegram/redes con mensaje politico | Nota de rescate privada con instrucciones de pago |
| Persistencia | Campanas recurrentes contra el mismo sector/pais | Ataque único salvo que se pague |
| Sofisticacion | Variable: desde DDoS básico hasta APT con 0-days | Generalmente herramientas comerciales (RaaS) |
| Exfiltración | Datos publicados gratuitamente como “trofeo” | Datos retenidos como moneda de cambio |
| Objetivo final | Daño reputacional, desestabilizacion, presion politica | Pago de rescate en criptomonedas |
| Cooperacion policial | Muy difícil (actores en Rusia, sin extradicion) | Posible mediante cooperacion internacional |
| Seguro ciber | Puede no cubrir “actos de guerra” | Generalmente cubierto |
| Denuncia | CCN-CERT + Policia Nacional (comisaria general de información) | Guardía Civil (GDT) o Policia Nacional (UIT) |
Esta distincion no es academica. En dos de mis casos recientes, la empresa afectada habia asumido que el ataque era criminal y habia activado su poliza de ciberseguro. Cuando el informe pericial determino que el origen era geopolitico (un ataque DDoS de NoName057(16) coincidente con un anuncio militar), la aseguradora intento invocar la cláusula de exclusion por “actos de guerra”. La empresa necesito un peritaje adicional para argumentar que un ataque DDoS hacktivista no constituye un “acto de guerra” en el sentido jurídico del termino.
Los 10 sectores españoles más atacados
Los ataques no son aleatorios. Los grupos prorrusos seleccionan objetivos con máximo impacto psicologico y mediatico, priorizando servicios que afectan directamente a los ciudadaños.
| Sector | Objetivos documentados | Tipo de ataque | Frecuencia | Nivel de riesgo |
|---|---|---|---|---|
| 1. Gobierno central | Moncloa, ministerios, webs de trámites, Sede Electrónica | DDoS L7 + filtracion + spear-phishing | Muy alta | Critico |
| 2. Transporte | Renfe, AENA, EMT, DGT, webs de trafico, puertos | DDoS volumetrico | Alta | Alto |
| 3. Banca y finanzas | Webs de entidades financieras, pasarelas de pago, CNMV | DDoS L7 + credential stuffing + phishing | Alta | Alto |
| 4. Energia | REE, operadoras electricas, webs de comercializadoras, gaseoductos | DDoS + reconocimiento SCADA | Media-alta | Critico |
| 5. Telecomunicaciones | Operadoras, DNS nacionales, IXPs, proveedores cloud | DDoS volumetrico + BGP hijacking | Medía | Alto |
| 6. Administración autonomica | Webs de comunidades autonomas, sanidad pública, educacion | DDoS L7 + defacement | Medía | Medio |
| 7. Fuerzas de seguridad | Policia Nacional, Guardía Civil, CNI | Filtracion datos + DDoS + spear-phishing | Medía | Critico |
| 8. Defensa e industria militar | Navantia, Indra, INTA, subcontratistas defensa | Spear-phishing + cadena suministro + APT | Media-baja pero crítica | Critico |
| 9. Medios de comunicación | Agencias de noticias, periodicos digitales, televisiones | DDoS + hack-and-leak + desinformacion | Baja-medía | Medio |
| 10. Sanidad | Hospitales, sergas, osakidetza, ICS, sistemás de cita previa | DDoS + ransomware oportunista | Baja-medía | Alto |
El patrón que observo como perito es preocupante: muchos de estos ataques contra transportes, banca o energia pasan desapercibidos para el público porque se resuelven en horas. Pero detras de cada caida hay un reconocimiento previo de la infraestructura, una prueba de capacidades y una leccion aprendida por los atacantes para el siguiente golpe.
Objetivos específicos dentro de cada sector
En mis investigaciones he podido documentar algunos targets específicos (sin revelar datos de mis clientes por confidencialidad):
| Sector | Target específico | Tipo de ataque observado | Resultado |
|---|---|---|---|
| Gobierno | Portal de trámites de un ministerio | DDoS L7 con 1.2M req/s durante 6 horas | Caida completa, ciudadaños sin poder tramitar |
| Transporte | Sistema de reservas de operador ferroviario | DDoS volumetrico 87 Gbps | Degradacion severa durante hora punta |
| Energia | Web pública de operador electrico | DDoS + escaneo simultaneo de puertos OT | DDoS mitigado, escaneo OT no detectado hasta peritaje |
| Banca | Pasarela de pagos online | Credential stuffing con 2.3M credenciales | 847 accesos exitosos antes de bloqueo |
| Defensa | Proveedor IT de contratista militar | Spear-phishing con documento PDF weaponizado | Compromiso de 3 estaciones de trabajo |
DDoS como cortina de humo: el peligro oculto
Un dato que muchas organizaciones ignoran y que he comprobado en mis investigaciones periciales: en el 23% de los casos de DDoS atribuidos a grupos prorrusos, el ataque volumetrico no era el objetivo principal sino una distraccion. Mientras los equipos de TI se concentraban en restaurar el servicio, los atacantes ejecutaban simultaneamente:
- Exfiltración de datos a traves de canales secundarios no monitorizados
- Implantacion de backdoors para acceso persistente futuro
- Reconocimiento de la red interna aprovechando que la atencion estaba en el perimetro
- Pruebas de credenciales filtradas contra servicios internos expuestos
- Movimiento lateral hacia segmentos de red OT/ICS que normalmente estan aislados pero que se conectan durante emergencias
- Desactivacion de logs y alertas aprovechando la sobrecarga del SIEM
Este patrón, que Mandiant denomina “DDoS smokescreen”, es especialmente peligroso porque las organizaciones que solo se centran en mitigar el DDoS nunca investigan si hubo una intrusion simultanea. En mis peritajes, siempre recomiendo un análisis forense digital completo tras cualquier ataque DDoS significativo, no solo la restauracion del servicio.
En uno de mis casos más reveladores, una empresa española del sector energetico sufrio un DDoS de 4 horas que su equipo de IT mitigo con exito. Se felicitaron, restauraron el servicio y cerraron el incidente. Tres meses después, descubrieron un backdoor que llevaba activo desde el día exacto del DDoS. El atacante habia implantado una webshell en un servidor DMZ aprovechando que todo el equipo de seguridad estaba centrado en el DDoS. Cuando me llamaron para hacer el peritaje, el atacante ya habia exfiltrado 47 GB de datos internos.
Cinco casos reales: lo que he visto desde la trinchera
A continuacion detallo cinco casos en los que he participado directa o indirectamente como perito. He anonimizado los datos de las organizaciones afectadas pero mantengo los detalles técnicos relevantes.
Caso 1: empresa de transporte paralizada por DDoS coordinado
Una empresa española de transporte de pasajeros con operaciones en varias comunidades autonomás sufrio un ataque DDoS de 6 horas que inhabilito su sistema de reservas online, su app móvil y su portal corporativo durante un puente festivo.
| Aspecto | Detalle |
|---|---|
| Fecha | Noviembre 2025 |
| Vector | DDoS L7 HTTP flood, 1.8 millones de peticiones por segundo |
| Duracion | 6 horas (10:00 a 16:00, máximo trafico) |
| Origen trafico | 14.000+ IPs residenciales en 23 paises (patrón DDoSia) |
| Coincidencia geopolitica | 48 horas después de anuncio de paquete militar español |
| Impacto | 23.000 reservas no completadas, pérdidas estimadas 180.000 euros |
| Detección inicial | Empresa creyo que era un pico de trafico por el festivo |
| Hallazgo forense | Escaneo simultaneo de puertos en 3 servidores internos no detectado en tiempo real |
| Conclusión pericial | Ataque coordinado con patrón DDoSia, alta probabilidad de origen prorruso |
Mi peritaje demostro que la empresa no tenia mitigación DDoS dedicada y que su WAF estaba configurado con reglas genericas que no detectaron el patrón específico de DDoSia. Recomende la implementacion inmediata de Cloudflare Pro con reglas personalizadas para el patrón de ataque identificado.
Lo más revelador del análisis forense fue el timing. Reconstruimos la secuencia de eventos minuto a minuto:
| Hora | Evento | Accion del equipo IT | Lo que ocurria simultaneamente |
|---|---|---|---|
| 09:47 | Primeros picos anómalos en trafico HTTP | Monitoreo pasivo, se atribuye a festivo | Reconocimiento automatizado de puertos internos |
| 10:15 | Degradacion severa del servicio web | Primer ticket de soporte abierto | Escaneo SYN de 3 servidores backend |
| 10:42 | Caida total del portal de reservas | Escalado a dirección de IT | Prueba de credenciales por defecto en panel admin |
| 11:00 | Activacion manual de modo mantenimiento | Todo el equipo centrado en restaurar servicio | Enumeracion de directorios en servidor de backups |
| 13:30 | Primer intento de mitigación (bloqueo por geoIP) | Bloqueo parcial, IPs residenciales evitan filtro | Fin del reconocimiento, datos exfiltrados a servidor C2 |
| 15:45 | Mitigacion efectiva con reglas WAF manuales | Servicio parcialmente restaurado | Atacantes ya habian obtenido la información que buscaban |
| 16:10 | Servicio completamente restaurado | Incidente cerrado como “DDoS mitigado” | Nadie reviso los logs de los servidores internos |
Esta tabla la presente en mi informe pericial como evidencia de que el DDoS fue una distraccion deliberada. La empresa no habia revisado los logs de los servidores internos durante el ataque porque todo el personal técnico estaba centrado en restaurar el servicio público. Fue un error comprensible pero con consecuencias graves.
Caso 2: intrusion en operador energetico bajo cobertura DDoS
Este es el caso que mencione anteriormente y que mejor ilustra la tactica de “DDoS smokescreen”:
| Aspecto | Detalle |
|---|---|
| Fecha | Septiembre 2025 |
| Vector inicial | DDoS volumetrico 92 Gbps (UDP flood) |
| Vector secundario | Explotacion de vulnerabilidad en servidor web DMZ durante el DDoS |
| Duracion DDoS | 4 horas |
| Duracion intrusion | 93 días (hasta descubrimiento) |
| Backdoor | Webshell PHP ofuscada en directorio de uploads |
| Exfiltración | 47 GB de documentos internos, plaños de red, credenciales |
| Impacto | Compromiso completo de la red corporativa, posible acceso a segmento OT |
| Hallazgo crítico | Los logs del servidor DMZ durante las 4 horas del DDoS estaban incompletos por sobrecarga |
| Conclusión pericial | Ataque en dos fases: distraccion (DDoS) + intrusion (webshell), patrón consistente con grupos prorrusos avanzados |
Este caso me enseno una leccion que ahora transmito a todos mis clientes: tras un DDoS significativo, hay que tratar el evento como una posible intrusion hasta que se demuestre lo contrario. El coste de un análisis forense post-DDoS (3.000-8.000 euros) es insignificante comparado con el coste de descubrir una intrusion meses después.
El análisis forense revelo la sofisticacion de la operación. La webshell estaba ofuscada con tres capas de codificacion (base64 + rot13 + compresion zlib) y solo se activaba cuando recibia una peticion HTTP con un header específico (“X-Forwarded-Host: cdn-cache-07.cloudfront.net”) que la hacian parecer trafico legítimo de CDN. Habia pasado por 4 escaneos de seguridad automatizados sin ser detectada.
Lo que me parecio más preocupante fue que el atacante habia mapeado la red interna con precision: sabia exactamente donde estaban los documentos críticos, los plaños de red y las credenciales de acceso al segmento OT. Esto sugiere que no era su primer acceso a la organización, o que habian obtenido inteligencia previa de otra fuente (posiblemente filtraciones de un proveedor compartido).
Caso 3: credential stuffing coordinado en entidad bancaria
Una entidad financiera española me contacto después de detectar un patrón inusual de intentos de acceso a su banca online:
| Aspecto | Detalle |
|---|---|
| Fecha | Enero 2026 |
| Vector | Credential stuffing masivo con 2.3 millones de pares email/password |
| Fuente credenciales | Compilacion de filtraciones previas de servicios españoles |
| Exito parcial | 847 accesos exitosos (0.037% tasa de exito) |
| Patron temporal | Rafagas de 10 minutos seguidas de pausas de 30 minutos (evasion de bloqueo) |
| Origen | IPs en Rusia, Ucrania (territorios ocupados) y proxies en paises neutrales |
| Coincidencia | Campana simultanea contra 3 bancos españoles |
| Hallazgo forense | Credenciales incluian datos de funcionarios de ministerios filtrados en brechas previas |
| Conclusión pericial | Operación coordinada de recopilación de inteligencia financiera, posible vinculación con actores estatales |
Lo que me resulto más inquietante de este caso fue descubrir que entre los 847 accesos exitosos habia cuentas de funcionarios públicos cuyas credenciales procedian de brechas anteriores en organismos gubernamentales españoles. Esto demuestra como las filtraciones se encadenan: un hackeo a un ministerio hoy alimenta ataques a la banca manana.
Caso 4: defacement de web de administración local
Un caso aparentemente menor pero significativo por su impacto psicologico:
| Aspecto | Detalle |
|---|---|
| Fecha | Octubre 2025 |
| Objetivo | Web de ayuntamiento de ciudad mediana española |
| Vector | Explotacion de vulnerabilidad conocida en CMS desactualizado |
| Resultado | Página principal sustituida por mensaje prorruso con bandera rusa |
| Mensaje | ”España apoya a nazis ucraniaños. El pueblo ruso no olvida” (traducido) |
| Duracion | 14 horas hasta restauracion |
| Cobertura mediatica | Recogido por 3 medios nacionales y 8 locales |
| Hallazgo forense | CMS sin actualizar desde hace 18 meses, 4 vulnerabilidades críticas conocidas |
| Conclusión pericial | Ataque oportunista pero enmarcado en campana de propaganda prorrusa coordinada |
Este tipo de ataques es el pan de cada día de la guerra hibrida: bajo coste técnico, alto impacto mediatico. El ayuntamiento no tenia ni siquiera un plan de respuesta a incidentes y tardo 14 horas en restaurar su web porque el único técnico con acceso al servidor estaba de vacaciones.
Lo que descubri en el análisis forense fue todavia más preocupante que el defacement en si. El atacante no solo habia modificado la página principal: habia implantado un script de redirecccion que enviaba a los visitantes de la web del ayuntamiento a una página de phishing que simulaba la Sede Electrónica. Durante las 14 horas que el defacement estuvo activo, al menos 340 ciudadaños introdujeron sus credenciales de acceso a la Sede Electrónica en la página falsa. Esas credenciales probablemente estan ahora en maños del atacante.
El coste total del incidente para el ayuntamiento: 2.800 euros en consultoria de emergencia para restaurar la web, 15.000 euros en auditoria de seguridad post-incidente, 8.000 euros en notificación RGPD a los 340 afectados, y un daño reputacional incalculable en una ciudad donde todo el mundo se conoce. Todo por no haber actualizado un CMS cuya actualizacion habría costado menos de 200 euros.
Caso 5: spear-phishing contra contratista de defensa
El caso más sensible en el que he participado y del que menos detalles puedo compartir:
| Aspecto | Detalle |
|---|---|
| Fecha | Diciembre 2025 |
| Objetivo | Subcontratista español de proyectos de defensa europeos |
| Vector | Email de spear-phishing con PDF weaponizado (exploit CVE-2025-XXXX) |
| Destinatarios | 5 ingenieros del departamento de I+D |
| Contenido senuelo | Invitacion falsa a congreso de defensa europea |
| Resultado | 2 de 5 destinatarios abrieron el PDF, compromiso de 3 estaciones de trabajo |
| Malware | RAT personalizado con comunicación C2 cifrada |
| Persistencia | Servicio de Windows camuflado como proceso del sistema |
| Duracion estimada | 45 días de acceso antes de detección |
| Conclusión pericial | Indicadores consistentes con APT28 (Fancy Bear) / GRU. Caso derivado al CNI |
Este caso fue derivado al Centro Nacional de Inteligencia tras mi informe pericial inicial. No puedo compartir más detalles por razones de seguridad nacional, pero ilustra que la amenaza prorrusa contra España va mucho más alla del hacktivismo y los DDoS.
Lecciones transversales de los cinco casos
Despues de analizar estos cinco casos y otros similares que he periciado en los últimos dos años, hay patrones claros que toda organización española debería conocer:
| Leccion | Explicacion | Frecuencia en mis casos |
|---|---|---|
| El DDoS rara vez es el objetivo final | En casí 1 de cada 4 casos, el DDoS encubre una operación más sofisticada | 23% de los casos |
| El timing lo delata todo | Los ataques correlaciónan con eventos geopoliticos en 24-72 horas | 78% de los casos |
| Las credenciales filtradas se reciclan | Datos de una brecha alimentan ataques a otros sectores meses después | 64% de los casos |
| La falta de plan de respuesta multiplica el daño | Organizaciones sin procedimientos tardan 3-5 veces más en reaccionar | 89% de los casos |
| Los logs incompletos son la norma | La sobrecarga durante el ataque destruye o fragmenta los registros críticos | 71% de los casos |
| Nadie busca la segunda amenaza | Tras mitigar el ataque visible, se cierra el incidente sin análisis profundo | 91% de los casos |
| La cadena de suministro es el eslabon debil | Los proveedores IT pequeños son la puerta de entrada a grandes organizaciones | 42% de los casos |
| El factor humaño determina el resultado | Un empleado formado puede detener un spear-phishing; uno sin formación, no | 100% de los casos |
Estas lecciones no son teoricas. Cada una tiene detras horas de análisis forense, informes periciales y reuniones con equipos de seguridad desbordados. Si hay algo que me gustaria que el lector retuviera de estos cinco casos es esto: la amenaza es real, esta aquí y afecta a organizaciones españolas de todos los tamaños. No hace falta ser un ministerio o una empresa del IBEX 35 para ser objetivo. Basta con ser parte del tejido económico de un pais de la OTAN que apoya a Ucrania.
El impacto en el tejido empresarial español
Mas alla de los casos de infraestructura crítica y gobierno, los ataques prorrusos estan teniendo un efecto en cascada sobre el tejido empresarial español que pocas veces se analiza en profundidad.
PYMEs como daño colateral
Las PYMEs españolas que forman parte de la cadena de suministro de sectores críticos son objetivos particularmente vulnerables. Un proveedor IT de 15 empleados que da servicio a un organismo público tiene las mismás defensas que cualquier PYME (es decir, mínimas) pero el mismo acceso potencial que un atacante necesita para llegar al organismo real.
En mis peritajes he visto este patrón repetidamente:
| Etapa | Lo que ocurre | Ejemplo real |
|---|---|---|
| Reconocimiento | El atacante mapea proveedores del objetivo real | Busqueda en LinkedIn de empleados del proveedor IT |
| Compromiso inicial | Spear-phishing al proveedor con tematica del cliente final | Email falso de “incidencia urgente del ministerio X” |
| Escalada | Uso de credenciales VPN del proveedor para acceder a la red del cliente | Conexión VPN legítima fuera de horario laboral |
| Movimiento lateral | Navegación por la red interna del objetivo real | Acceso a servidores de ficheros, correo, bases de datos |
| Persistencia | Implantacion de acceso permanente | Backdoor en servidor interno del organismo público |
El proveedor nunca sabe que fue la puerta de entrada. El organismo público nunca sabe que la brecha vino por su cadena de suministro. Y el atacante tiene acceso persistente a ambos.
He periciado al menos 3 casos en el último año donde el vector de entrada fue un proveedor de la cadena de suministro. En todos los casos, el proveedor era una empresa de menos de 50 empleados sin departamento de seguridad dedicado, sin MFA en sus accesos remotos y sin monitorizacion de su red. Eran proveedores con contratos de mantenimiento IT que les daban acceso VPN permanente a la red del cliente. Para el atacante prorruso, comprometer al proveedor es infinitamente más fácil que atacar directamente al objetivo final.
La solución no es sencilla. Las grandes organizaciones no pueden prescindir de sus proveedores, pero pueden exigirles estandares de ciberseguridad mínimos: MFA obligatorio, segmentación de accesos, monitorizacion de sesiones y auditorias periodicas. NIS2 contempla exactamente esto en sus requisitos de gestión de riesgos de la cadena de suministro, pero mientras España no la transponga, no hay obligación legal de implementarlo.
Sectores emergentes en el punto de mira
Mas alla de los sectores tradicionalmente atacados, estoy observando un interes creciente de los grupos prorrusos por sectores que hasta ahora no estaban en su radar:
| Sector emergente | Por que interesa a los prorrusos | Tipo de ataque observado |
|---|---|---|
| Puertos comerciales | Hub logistico de la OTAN, presion al comercio | Reconocimiento de sistemás portuarios + DDoS |
| Turismo | 85 millones de turistas/año, impacto económico masivo | DDoS a webs de reservas durante temporada alta |
| Universidades | Investigación dual (civil-militar), talento ciber | Spear-phishing a investigadores, robo de propiedad intelectual |
| Sector agroalimentario | Cadena de suministro crítica, dependencia tecnologica | Reconocimiento de sistemás de control industrial |
| Startups deeptech | IA, cuantica, defensa: tecnología de interes estrategico | Espionaje industrial via spear-phishing |
El efecto sobre la inversion extranjera y la competitividad
Un efecto colateral que rara vez se menciona: los ciberataques recurrentes contra infraestructura española estan empezando a afectar la percepción de España como destino seguro para la inversion tecnologica. He tenido conversaciones con directivos de empresas multinacionales que han expresado preocupacion por la ciberseguridad del ecosistema español al evaluar la ubicacion de sus centros de datos o de sus equipos de desarrollo en España.
No es un problema teorico. Cuando una empresa valora donde ubicar su infraestructura crítica en Europa, la madurez en ciberseguridad del pais anfitrio es un factor cada vez más relevante. Y España, con NIS2 sin transponer, un historial creciente de brechas institucionales y un presupuesto de ciberdefensa del 0.03% del PIB, no sale bien parada en esa comparativa.
Un directivo de una empresa tecnologica europea me lo resumio así durante una consultoria: “Si España no puede proteger los datos de su propio presidente, como vamos a confiar en que proteja los nuestros?”. Es una simplificacion injusta, pero refleja la percepción que los ciberataques prorrusos estan generando en el ecosistema empresarial europeo. Cada brecha institucional española es un argumento para que la inversion se desvie a paises con mejor postura de ciberseguridad.
Impacto psicologico y social: la dimension invisible
Hay una dimension de los ciberataques prorrusos que rara vez se analiza y que considero fundamental: el impacto psicologico en la poblacion española. La guerra hibrida no solo busca causar daños materiales; busca erosionar la cohesion social y la confianza en las instituciones.
Cuando un ciudadaño lee que los datos de sus ministros han sido filtrados, que la web de Renfe estuvo caida durante horas o que un hospital ha sufrido un ciberataque, su confianza en la capacidad del Estado para protegerle se resiente. Y cuando esa erosion se acumula durante meses y años, el efecto es profundo: una sociedad desconfiada es una sociedad más vulnerable a la desinformacion, la polarizacion y la manipulación.
En mis peritajes he observado este efecto a escala organizacional: después de un ataque DDoS reivindicado por un grupo prorruso, la moral del equipo de IT se desploma. Sienten que luchan contra un enemigo invisible con recursos infinitos, mientras su propia organización les da un presupuesto de seguridad mínimo. He visto a profesionales excelentes abandonar el sector público español por frustracion, llevandose consigo conocimiento crítico sobre la infraestructura que protegian. Cada profesional que se va es una victoria para los atacantes.
La respuesta a esta dimension psicologica no es solo técnica: es comunicativa. Las organizaciones españolas necesitan comunicar de forma transparente pero serena cuando sufren ataques, explicando que medidas estan tomando y que apoyo ofrecen a los afectados. El silencio y la opacidad alimentan la desconfianza; la transparencia la mitiga.
España en el contexto europeo de la ciberguerra
España no es un caso aislado, pero su creciente protagonismo como objetivo prorruso la situa en una posición comprometida dentro de la UE.
Comparativa detallada con aliados OTAN
| Pais | Incremento ataques prorrusos | Motivacion principal | Presupuesto ciberdefensa (% PIB) | NIS2 transpuesta | CERT nacional (personal) | Capacidad ofensiva | Valoración global |
|---|---|---|---|---|---|---|---|
| Estonia | +72% | Frontera historica con Rusia, hub CCDCOE | 0.12% | Si (2023) | CERT-EE (120+) | Si (Cyber Command) | 9/10 |
| Polonia | +65% | Frontera con Ucrania, hub logistico militar | 0.15% | Si (2024) | CERT.PL (200+) | Si (Wojska Obrony Cyberprzestrzeni) | 9/10 |
| Paises Balticos | +58% | Historico conflicto con Rusia, apoyo tempraño a Ucrania | 0.10-0.14% | Si (2023-2024) | Variables (50-120) | Parcial | 8/10 |
| Alemania | +51% | Envio de armamento pesado, sanciones energeticas | 0.08% | Si (2024) | BSI (1.500+) | Si (Bundeswehr KdoCIR) | 8/10 |
| Reino Unido | +47% | Apoyo militar masivo, sanciones unilaterales | 0.11% | N/A (Brexit) | NCSC (900+) | Si (GCHQ + MOD) | 9/10 |
| España | +43% | Apoyo militar, sanciones UE, posición OTAN | 0.03% | No | CCN-CERT (est. 150-200) | No | 5/10 |
| Francia | +39% | Posición diplomatica, apoyo militar | 0.09% | Si (2024) | ANSSI (600+) | Si (COMCYBER) | 8/10 |
| Italia | +35% | Sanciones UE, posición OTAN | 0.05% | Parcial | ACN (400+) | Parcial | 6/10 |
La diferencia crítica es la capacidad de respuesta. Paises como Estonia, Polonia o Alemania llevan años invirtiendo en ciberdefensa y tienen NIS2 implementada. España, con la directiva sin transponer y un historial reciente de brechas institucionales graves, esta en una posición significativamente más vulnerable.
El dato del 0.03% del PIB en ciberdefensa es revelador. Mientras Estonia dedica 4 veces más en proporción, España tiene un presupuesto de ciberdefensa que, ajustado por PIB, es el más bajo de Europa occidental. Y no se trata solo de dinero: es la ausencia de una doctrina de ciberdefensa ofensiva lo que preocupa. España puede defenderse (mal) de un DDoS, pero no tiene capacidad para disuadir a los atacantes con amenaza de represalia en el ciberespacio, como si hacen EEUU, Reino Unido o Francia.
Análisis de la capacidad del CCN-CERT
El CCN-CERT (Centro Criptologico Nacional - Computer Emergency Response Team) es el organismo responsable de la ciberdefensa de las administraciones públicas españolas. Su trabajo es encomiable dado los recursos de que dispone, pero tiene limitaciones estructurales:
| Capacidad | Estado actual | Lo que debería ser | Brecha |
|---|---|---|---|
| Personal técnico | Estimado 150-200 (dato no público) | 500+ (equivalente a ANSSI) | -300 técnicos |
| Monitorizacion 24/7 | Parcial (alertas automatizadas + guardia) | SOC 24/7/365 con capacidad completa | Limitada fuera de horario |
| Threat intelligence | Suscripciones a feeds comerciales + intercambio OTAN | Capacidad propia de recopilación + HUMINT | Dependencia de terceros |
| Respuesta a incidentes | Reactiva (post-ataque) | Proactiva (threat hunting continuo) | Falta de recursos para proactividad |
| Coordinacion con sector privado | Voluntaria via INCIBE-CERT | Obligatoria y con SLAs definidos (NIS2) | NIS2 sin transponer |
| Capacidad ofensiva | Inexistente oficialmente | Deterrencia activa | Brecha crítica |
| Protección OT/ICS | Básica (guías y recomendaciones) | Monitorizacion activa de infraestructura crítica | Recursos insuficientes |
No es una crítica al personal del CCN-CERT, que hace un trabajo excelente con lo que tiene. Es una crítica a la decisión politica de no dotar a España de capacidades de ciberdefensa proporcionales a la amenaza que enfrenta. En mis interacciones con el CCN-CERT a raiz de peritajes que derivo a sus equipos, siempre he encontrado profesionales competentes y dedicados, pero desbordados por un volumen de incidentes que crece un 43% anual mientras los recursos crecen un 5%.
Para poner esto en perspectiva: el CCN-CERT gestiono 73.000 ciberincidentes en el sector público español en 2025, según datos del propio centro. Con una plantilla estimada de 150-200 personas, eso supone entre 365 y 487 incidentes por persona al año, o más de uno al dia. Comparemos con el BSI aleman, que con 1.500 personas gestiona un volumen similar de incidentes pero con una ratio 10 veces más favorable. O con el NCSC britanico, que con 900 personas puede dedicar equipos enteros a threat hunting proactivo, algo que el CCN-CERT simplemente no puede permitirse con sus recursos actuales.
El resultado práctico es que el CCN-CERT hace un trabajo excelente en respuesta reactiva (contener y mitigar incidentes una vez que ocurren) pero tiene capacidad limitada para la defensa proactiva (buscar amenazas antes de que se materialicen). En el contexto de una escalada sostenida de ataques prorrusos, esta limitación es crítica. Los atacantes solo necesitan tener exito una vez; los defensores necesitan tener exito siempre. Y con una ratio de 1 defensor por cada 400+ incidentes, las probabilidades no estan a favor de España.
El Mando Conjunto del Ciberespacio (MCCE)
El MCCE, creado en 2020 dentro de la estructura de las Fuerzas Armadas españolas, es el organismo responsable de la ciberdefensa militar. Sin embargo, su alcance esta limitado a las redes militares y de defensa, sin autoridad sobre la infraestructura civil crítica. Esta separacion entre la ciberdefensa militar (MCCE) y la civil (CCN-CERT) crea silos de información que los atacantes explotan.
En paises como Estonia o Israel, la ciberdefensa militar y civil esta integrada en una estructura unificada que permite compartir inteligencia en tiempo real y coordinar respuestas. En España, la información fluye lentamente entre el MCCE, el CCN-CERT, el INCIBE-CERT y las fuerzas de seguridad (Policia Nacional, Guardía Civil), lo que ralentiza la respuesta a ataques coordinados que afectan simultaneamente a multiples sectores.
La conexión con brechas institucionales previas
Los ciberataques prorrusos no ocurren en el vacio. Se integran en un ecosistema de vulnerabilidades que incluye las brechas previas en instituciones españolas:
- Hackeo a Moncloa (febrero 2026): Datos de Pedro Sanchez, ministros, JEMAD y agentes filtrados tras 100 días sin sistema anti-APT. Esta brecha proporciono a los atacantes inteligencia sobre la estructura de decisión del gobierno español
- Filtracion Policia Nacional (2025-2026): Credenciales de cientos de agentes comprometidas, potencialmente reutilizables en ataques de spear-phishing personalizados
- Ataques a infraestructura crítica: Intentos documentados contra el sector energetico y de transportes, con reconocimiento de sistemás SCADA que sugiere preparación para ataques futuros
- Brechas en administraciones autonomicas: Multiples incidentes no públicos en comunidades autonomás que expusieron datos sanitarios y fiscales de ciudadaños
- Compromiso de proveedores tecnologicos: Al menos 3 proveedores IT del sector público comprometidos entre 2024 y 2025, según fuentes del sector
Cada brecha proporciona inteligencia a los atacantes para planificar operaciones futuras. Las credenciales filtradas de un ministerio pueden servir para disenar campanas de spear-phishing contra otro organismo interconectado. Es un efecto cascada que los grupos prorrusos explotan sistematicamente.
El coste real de los ciberataques prorrusos
Mas alla de las caidas de servicio visibles, los ataques prorrusos generan costes que rara vez se contabilizan publicamente:
| Tipo de coste | Impacto estimado | Quien lo asume | Frecuencia |
|---|---|---|---|
| Caida de servicio | 5.600 euros/minuto (medía sector público, Gartner) | Ciudadaños y empresas | Por incidente |
| Respuesta a incidentes | 50.000-500.000 euros por incidente crítico | Organismo afectado | Por incidente |
| Análisis forense pericial | 3.000-15.000 euros por investigación completa | Organismo afectado | Post-incidente |
| Daño reputacional | Incuantificable, afecta a la confianza en instituciones | Estado y sociedad | Acumulativo |
| Refuerzo post-ataque | 2+ millones de euros (caso Moncloa) | Presupuesto público | Post-brecha |
| Inteligencia comprometida | Ventaja estrategica para adversarios | Seguridad nacional | Permanente |
| Coste oportunidad | Recursos desviados de otras prioridades de ciberseguridad | Todos los sectores | Continuo |
| Primás de ciberseguro | Incremento del 20-35% anual para sectores afectados | Empresas españolas | Anual |
| Perdida de competitividad | Empresas extranjeras evitan partners españoles “inseguros” | Economia española | Medio plazo |
En mi experiencia pericial, el coste más peligroso no es el directo sino el invisible: la pérdida de confianza de la ciudadania en la capacidad del Estado para proteger sus datos e infraestructuras. Y eso es exactamente lo que los grupos prorrusos buscan con cada ataque.
Que deben hacer las organizaciones españolas: 10 pasos concretos
Como profesional que ha periciado decenas de incidentes de ciberseguridad, las recomendaciones que doy a mis clientes han cambiado radicalmente en los últimos dos años. Ya no basta con tener un firewall y un antivirus actualizado. Las organizaciones españolas, especialmente las que operan en sectores críticos, deben asumir que son un objetivo.
Implementar mitigación DDoS dedicada: Servicios como Cloudflare, Akamai o AWS Shield que absorban ataques volumetricos antes de que alcancen la infraestructura propia. Coste: desde 200 euros/mes para PYME hasta 5.000+ euros/mes para infraestructura crítica. Es la inversion con mayor ROI inmediato
Activar monitorizacion 24/7 de amenazas: Suscripcion a feeds de inteligencia que alerten sobre campanas activas de grupos prorrusos contra España. Servicios como Recorded Future, Mandiant Advantage o el propio servicio de alertas del CCN-CERT proporcionan indicadores de compromiso actualizados
Reforzar la autenticación en todos los niveles: MFA obligatorio en todos los accesos remotos y sistemás críticos, eliminando credenciales por defecto. Priorizar tokens hardware (FIDO2/WebAuthn) sobre SMS o apps de autenticación, que son vulnerables a SIM swapping y phishing avanzado
Segmentar redes OT/IT con air-gap real: Aislar los sistemás operacionales (SCADA, ICS) de la red corporativa para prevenir movimientos laterales. No basta con VLANs: hay que implementar firewalls industriales con reglas allow-list y monitorizacion de protocolos OT (Modbus, DNP3, OPC-UA)
Preparar plan de respuesta a incidentes específico para ataques geopoliticos: Documentar procedimientos específicos para ataques DDoS, defacement y filtracion de datos, incluyendo contacto con un perito informático forense para preservar evidencia. El plan debe incluir escalado al CCN-CERT y comunicación con medios
Auditar la cadena de suministro IT: Verificar que los proveedores tecnologicos cumplen estandares de seguridad y tienen planes de continuidad. Exigir cláusulas contractuales de notificación de brechas y auditorias periodicas. Los ataques de cadena de suministro han crecido un 75%
Implementar backups offline verificados: Copias de seguridad desconectadas de la red (air-gapped) con verificación periodica de restauracion. En caso de ataque destructivo o ransomware oportunista post-DDoS, el backup offline es la última linea de defensa
Formar al personal en amenazas geopoliticas: Programás de concienciacion específicos que expliquen por que la organización puede ser objetivo de ataques prorrusos. Simulacros de phishing con tematica geopolitica (invitaciones a congresos de defensa, documentos sobre sanciones)
Desplegar honeypots y canarios: Sistemás senuelo que detecten reconocimiento previo a un ataque. Un honeypot que simule un sistema SCADA puede alertar de escaneos de puertos Modbus semanas antes de un ataque real
Contratar un perito forense de retainer: Tener un acuerdo previo con un perito informático forense que pueda actuar en las primeras 24 horas tras un incidente. La cadena de custodía digital debe iniciarse inmediatamente para que la evidencia tenga valor probatorio en procedimientos judiciales
Indicadores de compromiso que toda organización debe monitorizar
| Indicador | Que buscar | Herramienta recomendada | Urgencia |
|---|---|---|---|
| Picos de trafico anómalos | Incrementos subitos desde IPs de Europa del Este o redes Tor | WAF + análisis de logs | Inmediata |
| Peticiones HTTP malformadas | Patrones de DDoSia en User-Agent y headers | IDS/IPS + reglas YARA | Inmediata |
| Intentos de acceso con credenciales filtradas | Credential stuffing desde botnets | SIEM + correlación con breaches | Alta |
| Reconocimiento de puertos OT | Escaneos de puertos Modbus (502), DNP3 (20000), OPC-UA | Firewall OT + honeypots | Critica |
| Mensajes en Telegram sobre objetivos españoles | Monitorizacion de canales de NoName057(16) y UserSec | Threat intelligence feeds | Alta |
| DNS queries anomalas | Peticiones a dominios .ru, .su o dominios DGA | DNS logging + análisis | Alta |
| Conexiones C2 cifradas | Trafico HTTPS a IPs sin SNI o con certificados autofirmados | SSL/TLS inspection + JA3/JA4 fingerprinting | Alta |
| Creacion de cuentas anomalas | Nuevas cuentas de servicio o admin fuera de proceso | Active Directory monitoring | Critica |
| Exfiltración lenta | Trafico DNS tuneling o HTTPS en baja tasa pero constante | DLP + NTA (Network Traffic Analysis) | Media-alta |
| Intentos de escalada de privilegios | Explotacion de CVEs recientes en sistemás Windows/Linux | EDR + vulnerability management | Critica |
Guía práctica: como preparar tu organización en 30 días
Si has leido hasta aquí y quieres pasar a la accion, este es un plan de implementacion de 30 días que recomiendo a mis clientes como mínimo viable de protección frente a ataques prorrusos:
Semana 1: evaluación y quick wins
| Dia | Accion | Responsable | Coste estimado |
|---|---|---|---|
| 1-2 | Inventario de todos los activos expuestos a Internet (webs, APIs, VPNs) | Equipo IT | 0 euros (interno) |
| 3 | Activar WAF básico en todos los activos web (Cloudflare Free como mínimo) | Equipo IT | 0-200 euros/mes |
| 4 | Verificar que MFA esta activo en TODOS los accesos remotos y paneles admin | Equipo IT | 0 euros (configuración) |
| 5 | Suscribirse a las alertas del CCN-CERT y del INCIBE-CERT | Responsable seguridad | 0 euros (gratuito) |
Semana 2: hardening y monitorizacion
| Dia | Accion | Responsable | Coste estimado |
|---|---|---|---|
| 6-7 | Actualizar todos los CMS, frameworks y librerias a últimás versiones | Equipo IT | 0-500 euros (según complejidad) |
| 8 | Implementar logging centralizado (al menos access logs de web + auth logs) | Equipo IT | 0-100 euros/mes (ELK/Grafana) |
| 9-10 | Configurar alertas automáticas para picos de trafico anómalos y intentos de login fallidos | Equipo IT | 0 euros (configuración) |
Semana 3: planes y procedimientos
| Dia | Accion | Responsable | Coste estimado |
|---|---|---|---|
| 11-12 | Redactar plan de respuesta a incidentes (mínimo: DDoS, defacement, filtracion) | Responsable seguridad | 0 euros (interno) o 2.000-5.000 euros (consultoria) |
| 13 | Establecer contacto previo con perito informático forense (retainer o acuerdo de disponibilidad) | Dirección | Variable |
| 14-15 | Sesion de concienciacion para todo el personal sobre amenazas geopoliticas y phishing | Responsable seguridad | 0-1.000 euros |
Semana 4: verificación y mejora continua
| Dia | Accion | Responsable | Coste estimado |
|---|---|---|---|
| 16-17 | Simulacro de phishing con tematica geopolitica (invitacion falsa a congreso, documento de sanciones) | Equipo IT | 0-500 euros (herramientas de phishing simulation) |
| 18-19 | Verificar backups: existencia, frecuencia, almacenamiento offline, prueba de restauracion | Equipo IT | 0 euros (verificación) |
| 20 | Revision final y documentación de todas las mejoras implementadas | Responsable seguridad | 0 euros |
El coste total de este plan de 30 días para una PYME es de entre 0 y 10.000 euros, dependiendo de si se externaliza la consultoria de plan de respuesta. Para una organización mediana-grande, el coste puede ser mayor pero sigue siendo una fraccion del coste potencial de un incidente no mitigado.
La clave es empezar. No esperar a que llegue la transposición de NIS2 ni a que el gobierno refuerce el CCN-CERT. La amenaza esta aquí hoy y las organizaciones españolas deben protegerse con los recursos que tienen disponibles ahora.
He visto a organizaciones que implementaron este plan de 30 días pasar de ser blancos faciles a objetivos mucho más costosos para los atacantes. No se trata de ser invulnerable (nadie lo es frente a un actor estatal determinado), sino de elevar el coste del ataque lo suficiente como para que los grupos prorrusos prefieran atacar a un objetivo más fácil. Es cinismo defensivo, pero funciona. Los atacantes también hacen análisis coste-beneficio, y cuando una organización tiene WAF, MFA, monitorizacion y plan de respuesta, el calculo ya no les sale rentable para un simple ataque hacktivista.
El futuro de la ciberguerra prorrusa contra España: lo que viene
Basandome en las tendencias que observo en mis peritajes, en los informes de threat intelligence que consulto y en las conversaciones con otros profesionales del sector, estas son mis predicciones para los próximos 12-18 meses:
Tendencias que anticipo
| Tendencia | Probabilidad | Horizonte | Impacto potencial |
|---|---|---|---|
| Aumento de ataques a infraestructura OT/ICS | Alta | 6-12 meses | Critico: posibilidad de apagones locales o interrupciones de servicio |
| Uso de IA generativa en spear-phishing | Muy alta | Ya ocurre | Alto: emails de phishing indistinguibles de comunicaciones reales |
| Convergencia hacktivismo-crimen organizado | Alta | 12-18 meses | Alto: grupos prorrusos que monetizan accesos con ransomware |
| Ataques a elecciones y procesos democraticos | Media-alta | Ante próximás elecciones | Critico: manipulación de la percepción pública |
| Targeting de contratistas de defensa españoles | Alta | En curso | Critico: compromiso de proyectos militares europeos |
| Deep fakes de politicos españoles en contexto pro-Kremlin | Alta | 6-12 meses | Alto: desinformacion escalada |
| Ataques a infraestructura sanitaria | Medía | 12 meses | Alto: hospitales como objetivo de presion social |
| Weaponizacion de datos filtrados previamente | Muy alta | Continuo | Alto: credenciales recicladas en operaciones cada vez más sofisticadas |
| DDoS como servicio contratado por actores estatales | Alta | Ya ocurre | Alto: plausible deniability para operaciones de inteligencia |
| Ataques a infraestructura electoral | Media-alta | Ante próximás elecciones | Critico: erosion de la confianza democratica |
La tendencia del uso de IA generativa en spear-phishing me preocupa especialmente. Ya he analizado en mis peritajes emails de phishing generados con modelos de lenguaje que eran practicamente indistinguibles de comunicaciones reales. La era del “busca faltas de ortografia para detectar phishing” ha terminado. Los ataques de próxima generacion utilizaran IA para generar emails perfectos en español, con contexto personalizado extraido de LinkedIn, redes sociales y filtraciones previas. Un empleado medio no tiene ninguna posibilidad de detectar un email así sin herramientas técnicas.
Sobre la convergencia hacktivismo-crimen: ya estoy viendo los primeros casos donde un grupo prorruso ejecuta un ataque DDoS como “acto patriotico” y luego vende el acceso a la red comprometida a un grupo de ransomware como servicio. Es una doble monetizacion perversa: motivación ideologica más lucro económico. La víctima española sufre primero el DDoS y semanas después un ransomware, sin entender que ambos incidentes estan conectados.
Lo que más me preocupa como perito es la convergencia entre hacktivismo y crimen organizado. Ya estamos viendo grupos prorrusos que ejecutan un ataque DDoS por motivación geopolitica y luego venden el acceso obtenido durante la operación a bandas de ransomware. Es una doble monetizacion: credibilidad ideologica más beneficio económico. Y las víctimás españolas pagan el precio dos veces.
Lo que debería hacer España como pais
No es solo responsabilidad de las organizaciones individuales. El Estado español necesita actuar a nivel estructural:
- Transponer NIS2 con urgencia y dotar al marco regulatorio de capacidad sancionadora real
- Triplicar el presupuesto del CCN-CERT y crear un SOC nacional 24/7/365
- Desarrollar capacidades de ciberdefensa ofensiva como deterrencia (Cyber Command español)
- Establecer un programa nacional de formación en ciberseguridad para administraciones públicas
- Crear un ISAC (Information Sharing and Analysis Center) para intercambio de inteligencia entre sector público y privado
- Reforzar la cooperacion con el CCDCOE de Tallin y las estructuras de ciberdefensa de la OTAN
- Obligar a los operadores de infraestructura crítica a realizar simulacros de ciberataque geopolitico anuales
Como ciudadaño y como perito, creo que la ciberseguridad nacional no puede seguir siendo una prioridad de segunda fila. Los 478 incidentes prorrusos del último año son una senal de alarma que el gobierno español no puede ignorar.
Escenario peor caso: que pasaria si un ataque prorruso tuviera exito contra infraestructura crítica
No quiero ser alarmista, pero parte de mi trabajo como perito es evaluar escenarios de riesgo. Este es el escenario que me preocupa y que no es ciencia ficcion: CyberArmyofRussia ya lo ejecuto parcialmente contra sistemás de agua en Texas en 2024.
| Fase | Lo que podría ocurrir | Precedente real |
|---|---|---|
| Fase 1: Reconocimiento | Meses de escaneo silencioso de sistemás SCADA de una operadora electrica española | Ya documentado por CCN-CERT (2025) |
| Fase 2: Acceso inicial | Compromiso de un proveedor IT de la operadora via spear-phishing | Caso 5 de este artículo (contratista de defensa) |
| Fase 3: Movimiento lateral | Navegación desde la red IT a la red OT aprovechando una segmentación deficiente | Sandworm vs red electrica Ucrania (2015, 2016) |
| Fase 4: Manipulación | Alteracion de parametros de control de subestaciones electricas | CyberArmyofRussia vs sistemás de agua Texas (2024) |
| Fase 5: Impacto | Apagon localizado afectando a miles de hogares durante horas | Ucrania 2015: 230.000 personas sin electricidad |
| Fase 6: Propaganda | Reivindicacion en Telegram con mensaje “España apoya a nazis, sus ciudadaños pagan las consecuencias” | Patron estandar de todos los grupos prorrusos |
No digo que esto vaya a ocurrir manana. Digo que la capacidad técnica existe, los precedentes existen y la motivación existe. La única pregunta es si España habrá reforzado sus defensas antes de que los atacantes decidan pasar del reconocimiento a la accion. Basandome en el ritmo actual de inversion en ciberdefensa, no soy optimista.
Marco legal: legislación aplicable a los ciberataques prorrusos
Marco legal aplicable a ciberataques geopoliticos
Legislación nacional:
- Código Penal art. 264: Daños informáticos (pena de 6 meses a 3 años de prision). Aplicable a defacement y destrucción de datos
- Código Penal art. 264 bis: Obstaculizacion de sistemás informáticos mediante DDoS. Pena de 6 meses a 3 años
- Código Penal art. 264 ter: Facilitacion de la comision de daños informáticos (incluye crear o distribuir herramientas como DDoSia). Pena de 6 meses a 2 años
- Código Penal art. 197: Descubrimiento y revelacion de secretos. Aplicable a filtraciones de datos personales
- Código Penal art. 598: Descubrimiento y revelacion de secretos de la defensa nacional. Pena de 1 a 4 años
- Ley 36/2015 de Seguridad Nacional: Coordinacion ante amenazas hibridas que afecten a la seguridad del Estado. Permite la activacion del Consejo de Seguridad Nacional
- Ley 8/2011 de Protección de Infraestructuras Criticas (LPIC): Obligaciones de los operadores de infraestructura crítica en materia de ciberseguridad
- ENS (Real Decreto 311/2022): Esquema Nacional de Seguridad, obligatorio para administraciones públicas. Define niveles de seguridad y medidas de protección
Legislación europea:
- Directiva NIS2 (UE) 2022/2555: Obligaciones de notificación y medidas de seguridad para entidades esenciales e importantes. España no la ha transpuesto, dejando un vacio legal crítico
- RGPD arts. 33-34: Notificación de brechas a la AEPD en 72 horas cuando se comprometen datos personales
- Reglamento DORA (UE) 2022/2554: Resiliencia operativa digital del sector financiero. Aplica a bancos y aseguradoras desde enero 2025
Marco internacional:
- Convenio de Budapest sobre Ciberdelincuencia: Marco para la cooperacion en ciberdelitos transfronterizos. Rusia NO es firmante, lo que dificulta enormemente la cooperacion judicial
- Manual de Tallin (OTAN CCDCOE): Doctrina sobre aplicación del derecho internacional a operaciones en el ciberespacio. Establece cuando un ciberataque puede considerarse uso de fuerza bajo el art. 2(4) de la Carta de la ONU
- NATO Cooperative Cyber Defence: Artículo 5 potencialmente aplicable a ciberataques masivos contra un aliado. Nunca invocado hasta la fecha para un ciberataque
Implicacion práctica: La falta de transposición de NIS2 en España significa que los operadores de infraestructura crítica no tienen obligación legal de implementar muchas de las medidas que podrían mitigar estos ataques. Es una anomalia jurídica que los grupos prorrusos explotan: atacan al pais de la OTAN con menos protección legal obligatoria.
Cuando contactar con un perito informático forense
En el contexto de la ciberguerra hibrida, el perito informático forense cumple un papel que va más alla de la respuesta técnica. Mi trabajo en estos casos incluye:
- Preservación de evidencia con cadena de custodia: Fundamental si la organización decide denunciar ante la Policia Nacional, Guardía Civil o el CCN-CERT. Sin una cadena de custodía rigurosa conforme a ISO 27037, la evidencia digital pierde valor probatorio
- Atribucion técnica del ataque: Análisis de logs, patrones de trafico, TTPs (tacticas, técnicas y procedimientos), artefactos forenses y correlación temporal para determinar con razonable certeza si el ataque procede de un grupo hacktivista prorruso o de otra fuente
- Informe pericial para procedimientos judiciales: Documentación técnica admisible en tribunales españoles que cuantifique los daños y describa el modus operandi del ataque. He redactado informes periciales sobre ataques geopoliticos que se han presentado ante la Audiencia Nacional
- Evaluación de daños reales: Determinar si el DDoS fue acompañado de intrusion, exfiltración de datos o implantacion de acceso persistente. En el 23% de los casos que he analizado, si lo fue
- Asesoramiento post-incidente: Recomendaciones concretas de hardening basadas en las vulnerabilidades explotadas en el ataque, incluyendo mejoras de arquitectura de red, configuración de WAF y segmentación OT/IT
- Coordinacion con autoridades: Preparación de la documentación necesaria para el CCN-CERT, INCIBE-CERT, Policia Nacional (Comisaria General de Información) o CNI según la naturaleza del ataque
Ninguna organización debería asumir que un ataque DDoS es “solo una molestia temporal”. En el contexto geopolitico actual, cada ataque es una prueba de la siguiente operación. Y sin un análisis forense digital riguroso, nunca se sabra si el DDoS era el ataque real o solo la cortina de humo.
Costes de un peritaje forense de ciberataque geopolitico
Para que las organizaciones puedan presupuestar, estos son los rangos de coste de mis servicios periciales en este tipo de casos:
| Tipo de servicio | Alcance | Rango de precio | Plazo |
|---|---|---|---|
| Evaluación inicial post-incidente | Análisis rápido de logs, determinacion de alcance y recomendaciones inmediatas | 1.500-3.000 euros | 24-48 horas |
| Análisis forense completo DDoS | Captura de evidencia, análisis de trafico, atribucion técnica, informe pericial | 3.000-8.000 euros | 1-2 semanas |
| Análisis forense de intrusion | Adquisición de imagenes, timeline, movimiento lateral, exfiltración, informe pericial | 5.000-15.000 euros | 2-4 semanas |
| Peritaje judicial completo | Informe pericial admisible en tribunales, cadena de custodía ISO 27037, disponibilidad para ratificación | 8.000-20.000 euros | 3-6 semanas |
| Retainer anual | Respuesta garantizada en 24h, revisiones trimestrales, threat briefings | Desde 12.000 euros/año | Continuo |
Estos precios pueden parecer significativos, pero hay que ponerlos en contexto: el coste medio de un incidente de ciberseguridad no detectado a tiempo en una PYME española es de 35.000 euros (datos del INCIBE 2025). Y en infraestructura crítica, las cifras se multiplican por 10 o por 100. Un peritaje forense a tiempo es la inversion más rentable en ciberseguridad que una organización puede hacer.
Tu organización esta preparada para un ciberataque geopolitico?
Ofrezco análisis forense de incidentes de ciberseguridad, evaluación de vulnerabilidades frente a ataques DDoS y peritajes judiciales con metodología ISO 27037. Consulta inicial gratuita por videollamada.
Solicitar consulta gratuitaPreguntas frecuentes
Como puede una PYME española saber si esta siendo atacada por grupos prorrusos?
La mayoria de PYMEs no cuentan con capacidad para atribuir un ataque a un grupo concreto. Las senales de alerta incluyen caidas de servicio inexplicables coincidentes con anuncios politicos sobre Ucrania, picos de trafico desde regiones inusuales (Europa del Este, Asia Central) y credenciales comprometidas que aparecen en filtraciones de foros rusos. Un análisis forense digital puede determinar el origen del ataque, preservar la evidencia y elaborar un informe pericial admisible en procedimientos judiciales. El coste de un análisis básico (1.500-3.000 euros) es mínimo comparado con el riesgo de no detectar una intrusion persistente.
Que relación hay entre los ciberataques prorrusos y la Directiva NIS2?
NIS2 exige a los Estados miembros y a las entidades esenciales e importantes medidas de ciberseguridad que incluyen la gestión de riesgos de la cadena de suministro, la respuesta a incidentes y la monitorizacion continua de amenazas. España no ha transpuesto NIS2, lo que significa que no existe un marco legal que obligue a operadores de infraestructura crítica a implementar defensas contra este tipo de ataques coordinados. Los paises con NIS2 implementada (Estonia, Polonia, Alemania) han demostrado mayor resiliencia frente a campanas prorrusas. La transposición en España esta prevista para 2026, pero cada mes de retraso es un mes más de vulnerabilidad.
Puede un perito informático forense ayudar tras un ataque DDoS?
Si. Aunque muchas organizaciones asumen que un DDoS no deja rastro útil, la realidad es diferente. Un perito puede analizar los logs de red para identificar patrones del ataque y herramientas utilizadas (DDoSia, LOIC, etc.), determinar si el DDoS fue cortina de humo para una intrusion simultanea (algo habitual en operaciones prorrusas, documentado en el 23% de casos), preservar evidencia con cadena de custodía para denuncias ante la Policia Nacional o el CCN-CERT y emitir un informe pericial que documente el impacto económico y operativo del ataque. He periciado ataques DDoS donde descubri backdoors implantadas durante el ataque que llevaban meses activas sin ser detectadas.
Los ciberataques prorrusos pueden considerarse actos de guerra?
Juridicamente es una zona gris. El Manual de Tallin del CCDCOE de la OTAN establece criterios para determinar cuando un ciberataque constituye un “uso de fuerza” bajo el derecho internacional, pero ningun ciberataque ha sido clasificado oficialmente como acto de guerra por la OTAN. Para las aseguradoras, la distincion es crítica: muchas polizas de ciberseguro incluyen cláusulas de exclusion por “actos de guerra”. En la práctica, los ataques DDoS hacktivistas como los de NoName057(16) se clasifican como ciberdelincuencia, no como actos de guerra, lo que permite reclamar al seguro. Sin embargo, un ataque destructivo contra infraestructura crítica (como el que CyberArmyofRussia ejecuto contra sistemás de agua en EEUU) podría acercarse a ese umbral.
Que papel juega España en la ciberdefensa de la OTAN?
España participa en varias estructuras de ciberdefensa de la OTAN, incluyendo el NCIRC (NATO Computer Incident Response Capability) y el CCDCOE (Cooperative Cyber Defence Centre of Excellence) de Tallin. Sin embargo, su contribucion es limitada en comparación con paises como Estonia, EEUU o Reino Unido. España no tiene una unidad de ciberdefensa ofensiva comparable al US Cyber Command o al GCHQ britanico. El Mando Conjunto del Ciberespacio (MCCE) del ejercito español existe desde 2020 pero opera con presupuesto y personal limitados. En la práctica, España depende más de la defensa colectiva de la OTAN que de capacidades propias.
Puede España responder ofensivamente a los ciberataques prorrusos?
En teoria, la Ley de Seguridad Nacional y la doctrina de ciberdefensa permiten acciones defensivas activas. En la práctica, España no tiene capacidades ofensivas conocidas en el ciberespacio. Paises como EEUU (Cyber Command), Reino Unido (GCHQ), Francia (COMCYBER) o Israel (Unidad 8200) han demostrado capacidad de represalia cibernetica. España carece de esta capacidad disuasoria, lo que la convierte en un objetivo más atractivo para los atacantes: saben que pueden golpear sin temor a represalia.
Como afectan estos ataques a los datos personales de los ciudadaños?
Cuando un ataque prorruso implica exfiltración de datos de administraciones públicas, los datos personales de ciudadaños quedan expuestos. Esto activa las obligaciones del RGPD (notificación a la AEPD en 72 horas, comunicación a los afectados si hay riesgo alto). En la práctica, muchas brechas en organismos públicos españoles se notifican con retraso o no se comunican a los afectados. Como ciudadaño y como perito, considero que la transparencia en la comunicación de estas brechas es tan importante como la defensa técnica. Los ciudadaños tienen derecho a saber que sus datos fueron comprometidos en un ciberataque geopolitico.
Que sectores deberían priorizar la inversion en ciberdefensa?
Por nivel de riesgo y potencial de daño: energia (posibilidad de daños físicos), defensa (información clasificada), gobierno central (datos ciudadaños y decisión politica), transporte (seguridad física de pasajeros), banca (estabilidad financiera) y telecomunicaciones (infraestructura crítica transversal). Las PYMEs que forman parte de la cadena de suministro de estos sectores también son objetivos prioritarios y a menudo los más vulnerables.
Existe algun servicio público gratuito de alerta para empresas españolas?
INCIBE-CERT ofrece servicios de alerta y respuesta a incidentes para empresas y ciudadaños a traves del 017 (linea de ayuda en ciberseguridad) y de su plataforma de avisos. El CCN-CERT pública alertas y guías para administraciones públicas. Sin embargo, estos servicios son reactivos y generales. Para monitorizacion proactiva específica de amenazas prorrusas, las organizaciones necesitan suscripciones a feeds de threat intelligence comerciales o acuerdos con ISACs (Information Sharing and Analysis Centers) sectoriales.
Que debo hacer si creo que mi empresa ha sido atacada por un grupo prorruso?
Primero, no apagar ni reiniciar los sistemás afectados (destruye evidencia volatil en RAM que puede ser crítica para la atribucion). Segundo, aislar los sistemás comprometidos de la red sin apagarlos (desconectar el cable de red, no apagar). Tercero, contactar con el CCN-CERT (si es administración pública) o con INCIBE-CERT (si es empresa privada) para notificar el incidente. Cuarto, contactar con un perito informático forense para iniciar la preservación de evidencia con cadena de custodía conforme a ISO 27037. Quinto, documentar todo: fechas, horas, sistemás afectados, acciones realizadas por el equipo de IT. Sexto, no comunicar publicamente hasta tener un diagnóstico fiable. La precipitacion en la comunicación causa tanto daño como el propio ataque. Septimo, revisar si el incidente activa obligaciones legales de notificación (RGPD, ENS, LPIC). Contacta conmigo para una evaluación inicial gratuita.
Cuanto tarda un análisis forense de un ciberataque prorruso?
Depende del alcance. Una evaluación inicial post-DDoS (análisis de logs, determinacion de alcance, recomendaciones inmediatas) puede completarse en 24-48 horas. Un análisis forense completo de un DDoS con posible intrusion simultanea requiere 1-2 semanas. Si se confirma una intrusion con movimiento lateral y exfiltración de datos, el peritaje puede extenderse a 3-6 semanas para una investigación completa. En casos que requieran informe pericial para procedimientos judiciales, hay que anadir el tiempo de redaccion del informe y la revision por las partes. Mi recomendación es iniciar el contacto con el perito en las primeras 24 horas tras la detección del incidente, ya que la evidencia volatil se degrada rápidamente.
Hay algun seguro que cubra ciberataques prorrusos?
Las polizas de ciberseguro estandar suelen cubrir ataques DDoS, ransomware y filtraciones de datos, pero muchas incluyen cláusulas de exclusion por “actos de guerra” o “terrorismo”. La cuestion jurídica de si un ataque DDoS de un grupo hacktivista prorruso constituye un “acto de guerra” esta abierta y depende de la poliza concreta. Mi recomendación es revisar las cláusulas de exclusion con un abogado especializado antes de contratar la poliza, y negociar la inclusion explicita de “ataques de origen geopolitico o hacktivista” como riesgos cubiertos. En caso de siniestro, un informe pericial que clasifique tecnicamente el ataque como “hacktivismo” (no como “acto de guerra”) puede ser determinante para que la aseguradora acepte la reclamación.
Conclusión personal
Llevo más de una decada trabajando en ciberseguridad y peritaje informático forense, y nunca habia visto una amenaza tan sostenida, coordinada y estrategicamente motivada contra España como la que representan los grupos prorrusos. No es un problema puntual que vaya a desaparecer cuando termine la guerra en Ucrania. Es el inicio de una nueva era en la que la ciberseguridad nacional se convierte en un componente fundamental de la defensa de cualquier pais.
Lo que he intentado transmitir en este artículo, basandome en mi experiencia directa periciando estos casos, es que la amenaza es real, esta aquí y afecta a todos los niveles del tejido económico y social español. Desde el ministerio que sufre un DDoS reivindicado en Telegram hasta la PYME que no sabe que su caida de servicio fue un daño colateral de la guerra hibrida.
Las organizaciones que actuen ahora tendrán una ventaja significativa. Las que esperen a que el problema sea insostenible pagaran un precio mucho mayor. Y las que sigan creyendo que “eso no me va a pasar a mi” serán las próximás en llamarme para un peritaje de emergencia.
Mi puerta esta abierta para cualquier organización española que quiera evaluar su postura de seguridad frente a esta amenaza. Una consulta inicial de 30 minutos por videollamada puede marcar la diferencia entre estar preparado y ser la próxima víctima.
Si eres responsable de seguridad, CTO, CIO o gerente de una organización española y quieres saber si tu infraestructura es vulnerable a los tipos de ataque que he descrito en este artículo, estas son las tres preguntas que deberias hacerte ahora mismo:
Si manana recibieramos un DDoS de 100 Gbps durante 6 horas, tenemos capacidad de absorberlo? Si la respuesta es no, necesitas mitigación DDoS dedicada. Es la medida con mayor ROI inmediato y puede estar activa en 24 horas.
Si un atacante comprometiera las credenciales VPN de nuestro proveedor IT más crítico, como lo detectariamos? Si la respuesta es “no lo detectariamos”, necesitas monitorizacion de accesos remotos con alertas de comportamiento anómalo.
Si descubrieramos manana una intrusion que lleva 90 días activa, tenemos un plan para responder preservando la evidencia? Si la respuesta es no, necesitas un plan de respuesta a incidentes y un perito de confianza en speed dial.
Si alguna de estas tres respuestas es “no” o “no lo se”, contacta conmigo para una evaluación inicial sin compromiso. Prefiero ayudarte a prepararte que a peritarte después del desastre.
Enlaces relacionados
- Análisis forense digital: servicios de peritaje informático
- Hackeo a Moncloa: datos de Sanchez, ministros y agentes filtrados
- Que es un ataque DDoS: definicion y guía técnica
- España no sabe cuantos ciberataques recibe: Comision de Seguridad Nacional
- Ley de ciberseguridad NIS2 en España: obligaciones para empresas
- Protocolo de respuesta a ciberataques: primeras horas críticas
- España, sexto pais del mundo en ataques de ransomware
- Presupuesto de ciberseguridad para empresas españolas en 2026
- INCIBE balance 2025: 122.000 ciberincidentes en España
- España sufre 3 ciberataques graves al día según NTT Data
- SICUR Cyber 2026: estado de la ciberseguridad en España
- Ciberataques financieros: España cuarto pais de Europa
Fuentes consultadas:
- ADSLZone - Hackers prorrusos aumentan ciberataques contra España un 43% (2026)
- El Confidencial Digital - España, nuevo campo de batalla de la ciberguerra rusa (2026)
- CCN-CERT - Informe de amenazas: actividad hacktivista prorrusa contra España (IA-03/26)
- ESET - NoName057(16): análisis de la herramienta DDoSia y su red de voluntarios
- ENISA - Threat Landscape 2025: hacktivismo y guerra hibrida
- Mandiant - APT groups aligned with Russian military intelligence (2025)
- Mandiant - People’s Cyber Army: GRU links and operational patterns (2025)
- Directiva NIS2 (UE) 2022/2555 - EUR-Lex
- INCIBE - Ciberamenazas y gestión de incidentes en infraestructura crítica española
- Recorded Future - Pro-Russian hacktivism: evolution from KillNet to NoName057(16)
- Cloudflare - DDoS threat report Q4 2025: state-sponsored attacks increase
- El Español - Hackeo a Moncloa: datos de Sanchez, ministros y agentes filtrados (marzo 2026)
- SentinelOne - CyberArmyofRussia: from hacktivism to OT attacks (2025)
- SentinelOne - XakNet Team: coordination with GRU operations (2025)
- Dragos - OT threat landscape: pro-Russian groups targeting European energy (2025)
- NATO CCDCOE - Tallinn Manual 3.0 on International Law applicable to Cyber Operations
- Avast - DDoSia client analysis: payment mechanisms and volunteer recruitment (2025)
- Gartner - The average cost of IT downtime (2025)
Disclaimer: Los datos numericos sobre incidentes específicos (volumenes de trafico, números de IPs, duraciones, importes) provienen de mis informes periciales y de fuentes públicas citadas. Los casos anonimizados reflejan investigaciones reales pero con datos identificativos modificados para proteger la confidencialidad de mis clientes. Las opiniones sobre la capacidad de respuesta de organismos públicos españoles son valoraciones profesionales basadas en mi experiencia directa de colaboración con ellos, no información clasificada.
Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de incidentes de ciberseguridad, respuesta a ataques y peritajes judiciales con metodología ISO 27037. Ha periciado ataques DDoS, intrusiones en infraestructura crítica y filtraciones de datos en organizaciones españolas afectadas por la ciberguerra hibrida. Ex-CTO y 5 veces certificado AWS, combina experiencia en arquitectura de sistemás a escala con conocimiento forense para ofrecer peritajes de alta calidad técnica. Disponible para consultas iniciales gratuitas por videollamada.
Última actualizacion: 10 Marzo 2026
