MENÚ
El lunes 2 de marzo de 2025, el grupo de hackers prorrusos TwoNet se atribuyó en una publicación en Telegram una serie de ciberataques a las webs del Ministerio de Defensa, el Ministerio de Inclusión, el de Seguridad Social y Migraciones, el Centro Criptológico Nacional (CCN), la fundación Real Instituto Elcano y Newtral. “Con estos ataques, queremos decirle al Gobierno de España que debe cesar su apoyo a Ucrania”, señaló TwoNet en su publicación.
Al día siguiente lanzaron una nueva amenaza: en colaboración con otros grupos planean desactivar todos los sitios web estatales y gubernamentales en un mes. Según dicen, esta campaña de ataques es su respuesta al anuncio de un paquete de ayuda militar a Ucrania y el respaldo de Pedro Sánchez al presidente ucraniano, Volodímir Zelenski.
Al momento de publicación de este artículo, de los presuntos afectados, sólo Newtral ha confirmado el ataque y ha señalado que durante la jornada del lunes tuvo algunos problemas puntuales con su web que ya se han resuelto. Según indicó a Maldita.es el Instituto Nacional de Ciberseguridad (INCIBE), en principio estos ataques fueron de denegación de servicio distribuido (DDoS por sus siglas en inglés), en los que se ataca una web desde varios equipos diferentes para que colapse.
El grupo de hackers prorrusos TwoNet se ha atribuido una serie de ataques a las webs del Ministerio de Defensa, Centro Criptológico Nacional, Real Instituto Elcano y Newtral
El Instituto Nacional de Ciberseguridad (INCIBE) identificó una publicación en Telegram del 2 de marzo de 2025 a las 19:45 horas en la que TwoNet, un grupo de hackers prorrusos (que comparten en su canal mensajes como Слава России, Gloria a Rusia), se atribuye los presuntos ciberataques a varios sitios webs de España. Según su mensaje en la app de mensajería, habrían atacado las páginas web del Ministerio de Defensa, el Ministerio de Inclusión, el de Seguridad Social y Migraciones, el Centro Criptológico Nacional (CCN), la fundación Real Instituto Elcano y Newtral.
Los enlaces incluidos en el mensaje redirigen a Check-Host.net, que permite verificar el funcionamiento de sitios web. El INCIBE ha indicado a Maldita.es que no pueden confirmar si estos organismos han sido afectados y que deben ser ellos quienes hagan pública esta información. Ha sido el caso de Newtral, que ha explicado en su web que el lunes 2 de marzo su página sufrió “problemas de estabilidad aislados que lograron resolverse tras tomar las medidas necesarias y que se están investigando”.
TwoNet justifica su ataque como una respuesta al apoyo del Gobierno de España a Ucrania, y amenaza con desactivar todos los sitios webs estatales y gubernamentales en un mes
En el mensaje detectado del 2 de marzo en Telegram, el grupo concluye: “Con estos ataques, queremos decirle al Gobierno de España que debe cesar su apoyo a Ucrania. Si esto no sucede, pasaremos a atacar sitios gubernamentales y también grandes empresas”. En otro mensaje del 3 de febrero de 2025 advierten de que se “realizarán ataques a DDoS contra sitios webs de países hostiles a Rusia”.
En otros dos mensajes publicados el 3 de marzo, TwoNet lanza una nueva amenaza: “Dentro de un mes todos los sitios web estatales y gubernamentales serán desactivados”. El mensaje advierte de que estos próximos ataques se harán en coordinación con otros grupos como Sector16, Overflame, Partisan y Sector091. En el mensaje, atribuyen la decisión de iniciar estos ataques al anuncio del 24 de febrero de 2025 del presidente del Gobierno de España, Pedro Sánchez, de un paquete de ayuda militar a Ucrania de 1.000 millones de euros, y al respaldo de Sánchez al presidente ucraniano, Volodímir Zelenski, tras su “disputa” en la Casa Blanca el 28 de febrero con el presidente estadounidense, Donald Trump.
No son los primeros ataques de este grupo de hackers a España y otros países. El 1 de marzo, TwoNet publicó en su canal de Telegram que había realizado ataques a webs de Israel, Letonia, Alemania, Lituania y España. En el caso español, la web afectada habría sido spain.info, el portal turístico oficial. Marcelino Madrigal, experto en ciberseguridad, indicó a través de su cuenta de Twitter (ahora X) que este canal prorruso tendría relación con otros grupos similares, como uno “pro marroquí del mismo corte” y otro “pro ruso en español”.
Los ciberataques serían del tipo DDoS (denegación del servicio), que consiste en hacer peticiones recurrentes al sitio web hasta que se cae
Como confirmó INCIBE a Maldita.es, “en principio” estos ataques fueron del tipo de denegación de servicio distribuido (DDoS por sus siglas en inglés). Como explica el organismo, estos atacan al servidor web desde varios equipos diferentes y al mismo tiempo para hacer que este colapse y deje de funcionar, lo que “produce la denegación de servicio a los usuarios e impide el tráfico web”.
Desde INCIBE explican a Maldita.es que si ahora las webs están operativas es porque el ataque no está teniendo efecto o ya ha terminado; “si siguen caídas es que siguen insistiendo con esta fuerza bruta”. Para evitar ser víctima de un ataque de este tipo y de los riesgos asociados, INCIBE recopila estas recomendaciones.
