La FIOD holandesa ha desmantelado una red de servidores perteneciente a Stark Industries, la empresa sancionada por la Unión Europea por facilitar ciberataques y campañas de desinformación prorrusas. Dos individuos han sido arrestados y más de 800 servidores decomisados en registros simultáneos en sedes empresariales y centros de datos de distintas localidades del país. La operación confirma, una vez más, que las infraestructuras digitales que soportan las operaciones encubiertas del Kremlin se extienden mucho más allá de sus fronteras.
Anatomía de la operación: el rastreo de una trama en diez días
La investigación, que comenzó a raíz de las sanciones de la UE contra Stark Industries en mayo de 2025, se ha basado en la vigilancia de flujos de tráfico y la colaboración internacional. Los agentes de la FIOD peinaron tres sedes empresariales en Enschede y Almere, junto con dos centros de datos en Dronten y Schiphol-Rijk. En total, se incautaron registros administrativos, portátiles, teléfonos y los más de 800 servidores que alojaban páginas web y servían de infraestructura de mando y control para ataques de denegación de servicio distribuido (DDoS) y para campañas de desinformación.
La empresa que ha servido de fachada, registrada en Países Bajos el 10 de febrero de 2022 —apenas diez días antes de la invasión rusa de Ucrania—, fue identificada por la prensa local como WorkTitans B.V., controlada por un consultor organizativo de 57 años. Una segunda firma, Mirhosting, propiedad de un pianista concertista, habría mantenido la conectividad de los servidores con internet. Los detenidos, de 57 y 57 años, están acusados de prestar apoyo a operaciones de difusión de desinformación, interferencia y ataques cibernéticos contra objetivos de la Unión Europea.
No es la primera vez que una red de este tipo se camufla bajo una empresa legítima. Stark Industries, fundada en Transnistria por el moldavo Ivan Neculiti y dirigida por su hermano Iurie, ha sido durante años un actor recurrente en los informes de inteligencia europeos. La red de los Neculiti ha alojado dominios utilizados por el grupo prorruso NoName057(16) y ha funcionado como un servicio de proxy para enmascarar el origen de los ataques. De hecho, el tráfico malicioso se enrutaba a través de direcciones IP que pasaban de Stark a WorkTitans, haciendo mucho más difícil la atribución inmediata.
El largo brazo del cibercrimen ruso en Europa
Las sanciones europeas de 2025 pusieron en el punto de mira a Stark Industries y a los hermanos Neculiti, pero la respuesta no se hizo esperar: apenas nueve días después, una de las tres empresas de la familia, PQ Hosting, cambiaba su nombre a THE.Hosting, la misma denominación bajo la que WorkTitans operaba en los Países Bajos. Los mismos operadores, la misma infraestructura, otra capa de empresa fantasma. Un movimiento clásico del tradecraft ruso para eludir sanciones y mantener vivas las redes de ataque.
Los servidores decomisados estaban ubicados en centros de datos de de Dronten y Schiphol-Rijk, y también en sedes empresariales de Enschede y Almere. Los investigadores de la FIOD confirmaron que buena parte del tráfico malicioso dirigido contra organismos gubernamentales daneses durante la segunda mitad de 2025 pasaba por estos nodos. La infraestructura de Stark/WortTitans actuaba, en la práctica, como una red de distribución de ataques DDoS, desinformación y posiblemente spear-phishing contra funcionarios de la UE.
Si usted sigue de cerca la guerra cibernética, sabrá que NoName057(16) es un actor persistente vinculado a los intereses del Kremlin, especializado en tumbar webs institucionales de países que apoyan a Ucrania. La red holandesa les proporcionaba el músculo digital. La lectura que hago es nítida: el desmantelamiento de esta red no es un golpe a un proveedor de hosting cualquiera, sino a un nodo de distribución de operaciones de influencia rusas en suelo europeo.
La guerra cibernética no se libra solo con malware: necesita servidores, empresas fantasma y cómplices locales. Esta red era uno de esos eslabones.
El informe confidencial al que tuvieron acceso De Volkskrant y la radiotelevisión danesa DR detalla cómo, entre el 13 y el 19 de noviembre de 2025, las infraestructuras de WorkTitans y Mirhosting fueron las más utilizadas en ataques prorrusos contra organismos daneses. Es decir, la operación de la FIOD ha cortado un proxy de ataque justo cuando más activo estaba.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es claro: una red de ciberataque por delegación, financiada con capital ruso y operada por intermediarios locales. La clasificación como delito es la facilitación de actividades desestabilizadoras para la UE, pero en términos de inteligencia es una operación clásica de cut-out: una empresa pantalla que aísla a los servicios rusos del contacto directo con la actividad criminal. Stark Industries y sus franquicias funcionaban como un proxy estratégico, exactamente el mismo modelo que utilizó el GRU durante la Operación SolarWinds, cuando recurrió a proveedores de infraestructura intermedios para ocultar la intrusión en agencias federales estadounidenses.
Las agencias implicadas son múltiples. Como atacante, el conglomerado Stark Industries, ligado a los servicios de inteligencia rusos y al grupo NoName057(16). Como defensora, la FIOD holandesa, con el respaldo de las agencias de ciberseguridad aliadas. Como terceros interesados, el CNI y el CCN-CERT españoles, que llevan años monitorizando cómo este tipo de redes utilizan territorio europeo como puente para atacar infraestructuras críticas. No me consta que haya habido una participación directa de los servicios españoles en esta operación, pero sí sé que la alerta estaba activa desde las sanciones de 2025. Verá usted que, en España, con más de 8.000 infraestructuras críticas conectadas —como advertí en El quinto elemento—, el riesgo de que un nodo de este tipo hubiera sido utilizado como trampolín para un ataque contra una institución nacional es real.
Estimo que el nivel de clasificación del material incautado puede rozar el de Reservado en la nomenclatura de la UE, por la naturaleza de los datos de tráfico y los vínculos con grupos de inteligencia rusos. La clave ahora será la cooperación judicial para analizar los discos duros: cada servidor es una cápsula del tiempo con registros de ataques, direcciones IP de mando y control y posibles correos electrónicos de los operadores. Si los hermanos Neculiti acaban en un tribunal europeo, será la primera vez que se sienten en el banquillo por dar soporte material a una guerra cibernética que no tiene frentes visibles.
La operación holandesa es un paso adelante en la doctrina de aplicar la ley de sanciones europeas a los habilitadores digitales del Kremlin. Pero, como siempre en este oficio, el desmantelamiento de una red es una foto fija: probablemente otra ya esté siendo levantada en otro país miembro. Usted y yo lo sabemos: la ciberguerra es una partida de ajedrez que se juega en decenas de tableros simultáneos, y el próximo movimiento lo dará el adversario antes de que los forenses terminen su análisis.
