La policía holandesa ha confiscado 800 servidores vinculados a piratas informáticos rusos
TL; DR
Los investigadores holandeses de delitos financieros confiscaron 800 servidores y arrestaron a dos personas que supuestamente proporcionaron infraestructura de alojamiento al grupo de piratería vinculado al Kremlin NoName057(16). Los servidores operados por WorkTitans y MIRHosting estaban vinculados a organizaciones de evasión de sanciones controladas por dos hermanos moldavos incluidos en la lista negra de la UE.
Los investigadores holandeses de delitos financieros confiscaron 800 servidores y arrestaron a dos hombres en una ofensiva contra las empresas de hosting que proporcionaron infraestructura para ciberataques patrocinados por el estado ruso en toda Europa. El Servicio Holandés de Investigación e Información Fiscal (FIOD) allanó dos centros de datos la semana pasada y cerró servidores operados por WorkTitans y MIRHosting, dos empresas sospechosas de violar las prohibiciones de la UE al alquilar espacio en servidores a empresas controladas por personas autorizadas.
Youssef Zinad, de 57 años, propietario de WorkTitans, y Andrey Nesterenko, de 39 años, fundador de MIRHosting, fueron arrestados. Nesterenko, un ciudadano ruso afincado en los Países Bajos, es un concertista de piano galardonado. Negó haber actuado mal en un mensaje de LinkedIn, diciendo que cortó los vínculos con personas autorizadas después de haber sido incluido en la lista negra y que no había visto nada sospechoso que emanara de la red de MIRhosting.
El camino de la prohibición
El caso se remonta a Iuri e Ivan Neculity, que dirigen Stark Industries Solutions, una empresa de alojamiento que se convirtió en uno de los ciberataques rusos más eficaces en Europa después de la invasión a gran escala de Ucrania en 2022. Los piratas informáticos llevan a cabo ciberataques, campañas de desinformación y otras actividades desestabilizadoras contra los Estados miembros de la UE.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Pero, según los informes, los hermanos recibieron una advertencia previa. Según Krebs on Security, se enteraron de la inminente prohibición unos 12 días antes del anuncio, cuando los medios moldavos y de la UE informaron sobre la lista negra pendiente. Stark Industries cambió su nombre a THE.hosting y trasladó sus operaciones a WorkTitans BV, la empresa holandesa que ahora se encuentra en el centro de la investigación. La infraestructura que impulsó los ataques simplemente se trasladó a una nueva estructura corporativa en los Países Bajos y continuó operando desde los mismos servidores físicos.
NoName057(16) y la gamificación de la ciberguerra
Los servidores incautados en la operación holandesa estaban vinculados a NoName057(16), un grupo hacktivista prorruso que ha llevado a cabo ataques distribuidos de denegación de servicio (DDoS) contra sitios web gubernamentales, servicios bancarios e infraestructuras críticas en toda Europa desde 2022. Este grupo ha inundado sitios web funcionales con tráfico hasta que cerraron el tráfico con un simple truco. Agencia gubernamental del servicio postal francés.
NoName057(16) no es una operación independiente. El Departamento de Justicia de Estados Unidos lo identificó como un proyecto secreto que involucra a empleados de una organización respaldada por el Kremlin llamada Centro para el Estudio y la Red de Monitoreo del Entorno Juvenil. El grupo ejecuta una tabla de clasificación diaria que clasifica a los voluntarios según la cantidad de ataques y recompensa a los contribuyentes más productivos con criptomonedas. Ha convertido los ciberataques en una competencia ludificada, fomentando la participación masiva en lo que equivale a un sabotaje digital patrocinado por el Estado.
Según una investigación del periódico holandés Volkskrant, WorkTitans y MIRHosting fueron las redes más utilizadas en una serie de ataques prorrusos contra agencias gubernamentales danesas durante varios días en noviembre de 2025. Durante Navidad, NoName057(16) afectó al servicio postal francés y retrasó las entregas de paquetes en todo el país.
Por qué Holanda sigue apareciendo
La operación holandesa pone de relieve un problema estructural en la ciberseguridad europea. Los grupos de hackers vinculados a Rusia dependen de la infraestructura de alojamiento de los países occidentales para lanzar sus ataques, y los Países Bajos, hogar de algunos de los intercambios de Internet más grandes de Europa, son un lugar particularmente atractivo. Los Países Bajos han liderado algunas de las mayores operaciones de cibercrimen de Europa, incluida la Operación Endgame en 2024, que tuvo como objetivo botnets responsables de daños por cientos de millones de euros.
El problema es la velocidad, o la falta de ella. Sian Hesley, consultor principal de la firma británica de ciberseguridad Acumen Cyber, dijo a Bloomberg que los hackers rusos dependen más del hardware occidental de lo que les gustaría admitir, lo que los hace vulnerables a la acción policial. Pero se salen con la suya debido al tiempo que les lleva a las autoridades cerrar las empresas de hosting deshonestas. Cuando los investigadores construyen un caso y obtienen una orden judicial, la infraestructura suele replicarse en otros lugares.
La incautación holandesa no es la primera vez que las fuerzas del orden atacan la infraestructura de NoName057(16). En julio de 2025, una operación coordinada por Europol derribó 100 servidores que aparentemente el grupo contrataba para impulsar sus ataques. La incautación de otros 800 servidores en menos de un año sugiere que el grupo ha reconstruido rápidamente su poder, probablemente pasando por la misma estructura corporativa para evitar sanciones que los hermanos Neculity implementaron antes de ser incluidos en la lista negra.
Límites de aplicación
Los arrestos de Zinad y Nesterenko representan un caso poco común en el que las fuerzas del orden se acercan a los operadores humanos detrás de la infraestructura de alojamiento en lugar de simplemente confiscar el hardware. Pero el desafío de una implementación más amplia persiste. Europa fue la región más afectada por los ciberataques en 2023, representando el 32% de los incidentes globales, y los ataques de sabotaje vinculados al Estado a la infraestructura europea casi se triplicaron entre 2023 y 2024.
Los ataques DDoS realizados por NoName057(16) no son sofisticados. No roban datos ni comprometen los sistemas. Simplemente desconectan sitios web, creando interrupciones visibles que sirven a la estrategia más amplia de guerra de información de Rusia. Los daños se miden en la pérdida de confianza pública, la interrupción de los servicios públicos y el aumento de los costos de defensa contra ataques que son baratos de iniciar pero costosos de explotar.
Un resultado operativo importante fue la incautación de 800 servidores y el arresto de dos sospechosos. Pero a medida que la OTAN y los gobiernos europeos invierten en capacidades de ciberdefensa, el problema subyacente persiste: la infraestructura de hospedaje en países democráticos con fuertes conexiones a Internet seguirá siendo atractiva para los atacantes patrocinados por el Estado precisamente porque es rápida, confiable y, a menos que alguien presente una queja, legal.
