La FIOD, el servicio de investigación financiera de los Países Bajos, ha ejecutado esta semana la mayor incautación de servidores contra el cibercrimen y la desinformación de Estado que recuerdo en Europa: ochocientos equipos, dos detenidos y una redada silenciosa que desnuda el papel del alojamiento web como columna vertebral de las operaciones encubiertas.
Anatomía de la operación: la redada en el puerto digital
El golpe se ha producido en un centro de datos de Ámsterdam. La FIOD, en colaboración con el Centro Nacional de Ciberseguridad (NCSC) neerlandés, irrumpió en las instalaciones de una compañía de hosting cuyo nombre no ha trascendido, pero que los investigadores describen como ‘bulletproof’: un proveedor que, a sabiendas, ignoraba sistemáticamente las solicitudes de retirada de contenido malicioso y ofrecía refugio seguro a actores de amenaza.
Los dos arrestados —los administradores, de cuarenta y dos y treinta y siete años— están acusados de blanqueo de capitales y participación en una organización criminal dedicada a dar cobertura técnica a ciberataques y campañas de interferencia. La FIOD sostiene que los servidores decomisados alojaban desde ransomware hasta infraestructura de mando y control para operaciones de desinformación electoral.
Según el comunicado de la Fiscalía, la empresa ofrecía sus servicios sin preguntar a quién ni para qué, un modelo de negocio que, en el oficio, llamamos ‘hosting tolerante’. Le busco un paralelismo con las casas francas del espionaje clásico: un lugar que no se registra, donde los agentes acuden sin levantar sospechas. Solo que aquí no hay paredes de ladrillo, sino racks de servidores.
El operativo, bautizado internamente como Operación Moerbei, ha contado con la asistencia de Europol y ha requerido meses de vigilancia financiera y técnica. La FIOD no ha revelado aún —y me consta que no lo hará en semanas— la identidad exacta de los grupos que alquilaban esos servidores. Pero el patrón apunta a un conglomerado de cibercriminales de alto perfil y, lo que es más inquietante, a agencias estatales que tercerizan sus campañas de influencia a través de intermediarios.
El silencio de las autoridades sobre los clientes alojados no es casual: la atribución en ciberguerra se juega en el terreno de la diplomacia y de la inteligencia, no en los juzgados.
El porfolio de la desinformación: ransomware, interferencia electoral y banderas falsas
La nota oficial detalla que la infraestructura intervenida daba servicio a campañas de ransomware —el clásico esquema de extorsión—, pero también a sitios de phishing destinados a robar credenciales de infraestructuras críticas y a portales de noticias falsas utilizadas para intoxicar procesos electorales. He seguido de cerca el ecosistema del ‘hosting tolerante’ y tengo claro que sin estos nodos ciegos, las operaciones de bandera falsa se quedan sin nervio digital.
Verá usted: la desinformación moderna necesita un andamiaje técnico: sitios clonados de medios reales, granjas de bots, perfiles falsos en redes y, sobre todo, servidores que permanezcan en línea incluso cuando los gobiernos empiezan a llamar a la puerta. Sin este hosting cómplice, las campañas de intoxicación se desinflan a las pocas horas. De ahí la importancia de los ochocientos equipos decomisados.
En los últimos meses, varias democracias europeas —Alemania, Francia y la propia España— han sido blanco de operaciones híbridas de las que sospechamos del GRU y del FSB. Moncloa.com ha documentado cómo el CNI monitoriza la actividad de estas redes desde el CCN-CERT, y aunque aún no hay pruebas públicas que vinculen directamente esos servidores con Moscú, el ‘modus operandi’ encaja con el de los ilegales digitales del SVR. Se lo explico: en lugar de lanzar ataques desde sus propios IP, las agencias rusas subcontratan proveedores ‘bulletproof’ en Holanda, Alemania o Rumanía que se encargan de la logística técnica, difuminando la atribución. Lo escribí en El quinto elemento: «El próximo 11S empezará con un clic». Pues bien, el clic puede salir de un servidor en Ámsterdam que nadie ha tirado abajo hasta ahora.
Los 800 servidores incautados no solo almacenaban datos de las campañas de desinformación; también servían como nodos de retransmisión para ataques de denegación de servicio (DDoS) y alojaban paneles de administración de botnets. La FIOD ha confirmado que se han incautado también monedas virtuales por valor de dos millones de euros, junto con documentación y material informático que permitirá seguir el rastro del dinero. El blanqueo a través de criptomonedas es la vía de financiación de estas plataformas; sin él, no hay negocio.
La lectura confidencial es otra. La desarticulación de este tipo de infraestructuras supone un golpe al corazón de las operaciones de inteligencia que utilizan el ciberespacio como campo de batalla. No me refiero solo a la cibercriminalidad, sino a las campañas de influencia que buscan erosionar la confianza en los sistemas democráticos. En este tablero, cada servidor caído es una victoria táctica que los servicios de contrainteligencia europeos llevan años persiguiendo. Y, sin embargo, siempre hay otro proveedor dispuesto a ocupar el hueco.
Dossier Moncloa: Ojos en la Sombra
Lo veo claro: la Operación Moerbei es un recordatorio de que la línea entre cibercrimen y ciberespionaje de Estado es cada vez más difusa. En este caso, el vector de amenaza es doble: por un lado, el alojamiento de ransomware y botnets; por otro, la construcción de plataformas de desinformación que, a menudo, se camuflan como actividades criminales comunes para eludir una atribución directa. El verdadero peligro no está en el malware, sino en la capacidad de modular la percepción pública de una sociedad.
Las agencias implicadas son tres, como se suele decir en el oficio. El atacante, aún no identificado oficialmente, apunta a una mezcla de grupos de ciberdelincuencia organizada y, muy probablemente, servicios de inteligencia extranjeros que podrían incluir al GRU y al SVR. La defensora es la FIOD, respaldada por el NCSC neerlandés y Europol, aunque la coordinación con los servicios de inteligencia militar (MIVD) permanece en la sombra. Los terceros que observan —y toman nota— son los socios de Five Eyes y, especialmente, el CNI español, que lleva meses reforzando sus capacidades de counter-influence en el CCN-CERT a la espera de las próximas elecciones generales.
El precedente histórico que me viene a la cabeza es la desarticulación en 2021 del proveedor bulletproof DoubleVPN, que daba cobijo a grupos de ransomware como REvil, pero que también había sido utilizado por el APT29 (Cozy Bear) en campañas de espionaje. Entonces, como ahora, la cooperación policial europea fue clave. La diferencia es que hoy la amenaza ha escalado de la simple extorsión económica a la injerencia en procesos electorales, como ya advertí en El quinto elemento cuando señalaba que «los primeros que atacamos nuestra intimidad somos nosotros mismos al no proteger las infraestructuras críticas».
El nivel de clasificación estimado de la información intervenida es, cuando menos, secreto. A juzgar por la naturaleza de las campañas de interferencia electoral, es probable que entre los servidores se encuentre material que cruza el umbral del Top Secret para los países afectados. La prudencia de la FIOD al no publicar detalles apunta precisamente a que el rastro conduce a territorios que pocos quieren pisar.
Para España, la lección es nítida. No podemos permitirnos un proveedor ‘bulletproof’ operando desde la península que sirva de plataforma a estos ataques. El CNI y el CCN-CERT monitorizan ya la amenaza, pero, como suelo repetir, la defensa activa exige una colaboración público-privada que todavía no hemos alcanzado. El próximo informe del ODNI sobre amenazas híbridas, previsto para julio, incluirá con toda seguridad una mención expresa al caso holandés. Ese será el termómetro real de hasta dónde llega la preocupación.
Mientras, me quedo con una certeza: las 800 máquinas decomisadas no harán desaparecer la desinformación, pero sí retrasan el clic del que hablaba en mi libro. Y en este juego, cada minuto cuenta.
