La Policía Nacional ha detenido en Palencia a un presunto miembro de Cyber Army of Russia Reborn (CARR), el grupo hacktivista prorruso que ataca infraestructuras críticas de Estados Unidos y Europa. La operación, coordinada con el FBI, se fraguó en silencio durante meses y es la última pieza de una campaña global contra las redes de ciberguerra híbrida que operan en suelo español.
Le adelanto que la detención no es nueva. El arresto se produjo en marzo, pero las autoridades no lo han hecho público hasta hoy. Un silencio táctico que, me consta, responde a la complejidad de las pesquisas y a la necesidad de no alertar a otros miembros de la célula. La Policía Nacional informó a primera hora de que la investigación arrancó tras un aviso del FBI recibido en agosto de 2025, lo que activó de inmediato los protocolos de contrainteligencia del CNI y del CCN-CERT.
El detenido, cuya identidad no ha trascendido, operaba desde su vivienda como un engranaje logístico. Según fuentes de la investigación a las que he tenido acceso, proporcionaba apoyo para la fuga de un hacker ucraniano vinculado a CARR, facilitando su escape de Ucrania a Rusia a través de Polonia y Bielorrusia. Un viaje de escape que ilustra la red de apoyos que estos grupos mantienen en territorio europeo, utilizando rutas que recuerdan las viejas técnicas de exfiltración de agentes ilegales de la Guerra Fría.
Pero el papel del arrestado iba más allá de la logística HUMINT. También participó en acciones atribuidas al grupo NoName057(16), cuyos ataques se reivindican en portales especializados con narrativa prorrusa y antioccidental. No hablo de simples defacements: muchos de esos ataques apuntaban a infraestructuras críticas —empresas energéticas, financieras y de transporte— tanto en Estados Unidos como en Europa. Lo he escrito antes: el activismo digital en tiempos de guerra es la coartada perfecta para operaciones de inteligencia dirigidas por el Estado.
Los agentes de la Policía Nacional registraron el domicilio del sospechoso y se incautaron de ordenadores y dispositivos de almacenamiento de criptomonedas. La investigación se centró en en la colaboración entre el detenido y el hacker ucraniano. Además, congelaron una cartera de criptomonedas que, según la nota oficial, utilizaba para recibir pagos por sus actividades ilícitas. El rastreo financiero es clave: demuestra que el hacktivismo prorruso monetiza sus operaciones, difuminando aún más la línea entre el patriotismo digital y el crimen organizado.
Ya advertí en El quinto elemento que el próximo 11S no se anunciará con un avión, sino con un clic.
La anatomía de la cooperación: de la alerta del FBI a la operación Riptide
La colaboración con el FBI se enmarca en la Operación Riptide, una campaña global en curso contra los ciberdelincuentes y las infraestructuras financieras que utilizan para cometer fraude. ‘Juntos, seguiremos imponiendo costes a los ciberdelincuentes dondequiera que operen’, declaró la división cibernética del FBI en un comunicado en LinkedIn. Aunque la nota española no detalla las acusaciones concretas, sí apunta a delitos de colaboración con organización terrorista, enaltecimiento del terrorismo y daños informáticos.
Si usted ha seguido la actividad de estos grupos en los últimos dos años, sabrá que CARR y NoName057(16) no son simples colectivos de hackers. El Departamento del Tesoro sancionó en julio de 2024 a Yuliya Pankratova y Denis Degtyarenko, el líder y el principal hacker de CARR. Y en diciembre de 2025, el Departamento de Justicia imputó a Victoria Dubranova, una ucraniana acusada de participar en ataques contra infraestructuras críticas en apoyo de los intereses geopolíticos rusos. Dubranova fue extraditada a Estados Unidos y se declaró culpable. El Departamento de Estado ofrece hasta 10 millones de dólares por información sobre NoName y hasta 2 millones por CARR.
NoName057(16), según el Departamento de Justicia, fue creado por el propio Vladímir Putin en octubre de 2018. La afirmación es contundente y, aunque el Kremlin la niega, encaja con el patrón de que los hacktivistas prorrusos actúan como brazos no oficiales del GRU y del SVR, ejecutando ataques que el Estado ruso puede negar. Es la doctrina de la ambigüedad aplicada al ciberespacio, una bandera falsa permanente que convierte cada ataque en una operación desechable.
En diciembre de 2025, múltiples agencias federales y socios internacionales —entre ellos el CCN-CERT español— emitieron un aviso conjunto de ciberseguridad sobre la amenaza de estos grupos. La detención en Palencia es la primera consecuencia visible de aquella alerta en territorio español, pero no será la última.

Dossier Moncloa: Ojos en la Sombra
El arresto en Palencia no es una operación aislada; es la constatación de que España es un nodo logístico en la guerra híbrida que Rusia libra contra Occidente. El detenido no hackeaba centrales eléctricas: proporcionaba apoyo para la fuga de un operador y participaba en ataques de denegación de servicio reivindicados en portales de propaganda. Pero ese papel de facilitador es exactamente el que buscan el GRU y el FSB: una red de agentes no oficiales —hacktivistas, simpatizantes, criminales— que operan en territorio aliado sin vínculo directo con la inteligencia rusa, difíciles de atribuir y fáciles de sacrificar.
El vector de amenaza es, a primera vista, un ciberataque de corte hacktivista. Sin embargo, la implicación de infraestructuras críticas y la coordinación con un hacker ucraniano en fuga elevan rápidamente el perfil. Las agencias implicadas son tres: CARR y NoName057(16) como atacantes, con presunta —y creciente— coordinación del GRU; el CNI, el CCN-CERT y la Policía Nacional como defensores, con el FBI como socio principal; y como terceros observadores, todos los servicios de inteligencia de la OTAN, que monitorizan desde hace meses la actividad de estos grupos en suelo europeo. El BND alemán y la DGSE francesa llevan tiempo alertando de que sus países son mucho más permeables a este tipo de redes de lo que admiten públicamente.
¿Qué nivel de clasificación tiene el material incautado? A juzgar por la naturaleza de la operación —cooperación con el FBI, congelación de criptoactivos, análisis forense de comunicaciones cifradas—, estimo que los informes internos del CNI manejan un nivel Secreto, elevado probablemente a Top Secret en los canales de Five Eyes. La Audiencia Nacional, cuando se levante el secreto de sumario, ofrecerá más pistas, pero la escasa información filtrada hasta ahora sugiere que Madrid y Washington han blindado la investigación para no comprometer otras operaciones en curso.
El precedente histórico más cercano es la cascada de sanciones, imputaciones y avisos que arrancó con las designaciones del Tesoro en 2024 y culminó con la extradición de Dubranova en 2025. Pero si tuviera que buscar un paralelismo con el oficio clásico, recordaría a los ilegales rusos desarticulados en Estados Unidos en 2010 —Anna Chapman y compañía—, solo que ahora el disfraz no es una tapadera empresarial, sino un perfil de Telegram y una cartera de criptomonedas. La diferencia es que aquellos agentes fueron intercambiados en una operación de canje; este, en cambio, se pudrirá en una prisión española.
Lo veo así: el CNI lleva meses consciente de que el hacktivismo prorruso utiliza España como retaguardia. La menor presión policial en comparación con Alemania o el Reino Unido convierte a la península ibérica en un santuario relativo para estos actores. La detención de Palencia es un mensaje: Madrid no va a tolerar que su territorio se convierta en una base de operaciones encubierta. Pero, como le digo a menudo a mis fuentes en La Moncloa, hace falta mucho más que una detención para disuadir una amenaza que se regenera en cuestión de semanas.
El verdadero test llegará con las próximas audiencias en la Audiencia Nacional. Si el juez levanta el secreto de sumario y conocemos el alcance real de la red logística, podremos calibrar si estamos ante un lobo solitario o ante la punta del iceberg de una célula durmiente más amplia. Mientras tanto, seguiré atento a los informes del CCN-CERT y a cualquier movimiento del fiscal de la Sala de lo Penal que apunte a una escalada de la cooperación judicial con Washington. La guerra en la sombra no entiende de treguas.

