El Gobierno del Reino Unido ha vuelto a encender las alarmas sobre un patrón persistente de ataques digitales que están dejando fuera de servicio webs y servicios esenciales: grupos hacktivistas afines a Rusia han estado lanzando olas de denegación de servicio (DDoS) contra infraestructuras críticas y ayuntamientos, según un aviso reciente del Centro Nacional de Seguridad Cibernética británico (NCSC).
En esencia, un ataque DDoS busca saturar los recursos de un servicio —ancho de banda, memoria, procesos— hasta que deje de responder. No es necesario un arsenal técnico sofisticado para causar grandes daños; ataques simples pero persistentes obligan a equipos a invertir tiempo y dinero en análisis forense, contención y restauración, además de degradar la confianza pública en servicios que dependen de la disponibilidad continua.
El NCSC señala a un actor concreto que ha ganado notoriedad en este escenario: NoName057(16). Este colectivo, identificado como pro‑ruso y activo desde 2022, ha promovido la plataforma conocida como DDoSia, que permite a simpatizantes aportar potencia de cómputo para lanzar ataques coordinados y, a cambio, obtener reconocimiento o pequeñas recompensas internas. Aunque autoridades internacionales lograron una intervención contra la infraestructura del grupo —una operación que incluyó detenciones, órdenes de arresto y la caída de numerosos servidores—, la actividad volvió a repuntar cuando los operadores principales quedaron fuera del alcance de la justicia, según el propio boletín del NCSC.
Hay que subrayar que NoName057(16) se percibe más como un actor político que como una organización criminal enfocada en el lucro. Su motivación es ideológica, y eso supone un reto particular: los atacantes no buscan necesariamente un beneficio económico inmediato, por lo que sus campañas pueden ser impredecibles y persistentes. Además, el NCSC advierte que el riesgo ya no se limita a páginas web y portales públicos; los entornos de tecnología operacional (OT), que controlan procesos industriales y servicios esenciales, también están empezando a ser afectados, lo que eleva el potencial impacto hacia la seguridad física y la continuidad operativa —para quienes gestionan OT, el NCSC ha recopilado recomendaciones específicas que pueden consultarse aquí.
Frente a este panorama, la pregunta práctica es: ¿qué pueden hacer las organizaciones para no ser víctimas fáciles? La respuesta no es una bala de plata, pero sí un conjunto de medidas razonables y aplicables. Primero, conviene mapear con claridad qué servicios son críticos y dónde están los cuellos de botella que un atacante podría explotar para agotar recursos. También resulta esencial trabajar con los proveedores: mitigaciones a nivel de operador de red, soluciones especializadas en protección contra DDoS y el uso de redes de distribución de contenido (CDN) pueden absorber gran parte del tráfico malicioso antes de que llegue al servicio objetivo. Complementariamente, diseñar arquitecturas que permitan escalar de forma rápida —por ejemplo, usando capacidades de autoescalado en la nube o máquinas virtuales reservadas— ayuda a mantener la operatividad cuando la demanda legítima se mezcla con el tráfico de un ataque.
La preparación organizativa es igualmente decisiva. Tener planes de respuesta perfilados, practicados y pensados para degradar servicios de manera controlada permite priorizar funciones esenciales y conservar accesos administrativos durante la crisis. Ensayar esas respuestas y monitorear continuamente son prácticas que permiten detectar campañas emergentes y comprobar que las defensas funcionan realmente cuando más se necesita. Para entender el problema técnico y las estrategias de defensa con más detalle, recursos de la industria como la guía sobre DDoS de proveedores de infraestructura ofrecen explicaciones prácticas y herramientas de mitigación —por ejemplo, la serie de Cloudflare sobre qué es un DDoS y cómo contrarrestarlo resulta útil para equipos técnicos (Cloudflare)—.
También es importante enmarcar estos incidentes en una dimensión geopolítica más amplia. Desde 2022 se ha observado un aumento en las campañas de actores afines a Moscú dirigidas contra instituciones públicas y empresas de países que critican las políticas rusas. Esa componente política explica por qué algunos grupos priorizan el impacto sobre el beneficio económico y por qué sus acciones pueden persistir aun cuando su infraestructura sea parcialmente desmantelada por las fuerzas del orden. En el plano europeo, agencias como la Agencia de la Unión Europea para la Ciberseguridad (ENISA) han publicado análisis y recomendaciones que ayudan a contextualizar amenazas y a preparar defensas pan‑europeas (ENISA).
La lección principal para administraciones locales, operadores de servicios críticos y empresas es doble: por un lado, la prevención técnica y la colaboración con proveedores y fuerzas del orden reducen la superficie de ataque; por otro, la resiliencia operativa —planes practicados, redundancias y capacidad de escalado— determina la rapidez con la que una organización se recupera. En un mundo en el que la protesta política puede trasladarse a la red con gran facilidad, esa capacidad de respuesta es, en muchos casos, la mejor defensa.
Si gestionas servicios que podrían ser objetivo, vale la pena comenzar por repasar las guías oficiales y materiales de referencia: el aviso del NCSC sobre estas campañas (NCSC), la colección de buenas prácticas para entornos OT del propio centro (guía OT) y los recursos técnicos de proveedores y agencias europeas que explican mitigaciones concretas y escenarios de respuesta (Cloudflare, ENISA). La ciberseguridad ya no es solo un asunto de especialistas: la disponibilidad y el buen funcionamiento de servicios digitales afectan a ciudadanos y empresas, y por eso la preparación debe ser transversal y continua.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...