Las autoridades españolas han arrestado a un hombre sospechoso de apoyar a varios grupos hacktivistas prorrusos vinculados a ciberataques contra infraestructuras críticas en Europa y Estados Unidos. El arresto sigue a una investigación de varios meses iniciada con la ayuda del Buró Federal de Investigaciones (FBI) de EE. UU.
Según la Policía Nacional de España, se cree que el sospechoso fue miembro activo del CiberEjército de Rusia Renacida (CARR) y Z-Pentest. Los investigadores también alegan que participó en actividades asociadas con el colectivo hacktivista prorruso NoName057(16), que ha reivindicado la responsabilidad de numerosos ciberataques motivados políticamente desde la invasión rusa de Ucrania.
La policía dijo que el sospechoso vivía en la ciudad de Palencia y proporcionó apoyo logístico y operativo a un hacker ucraniano vinculado a CARR. Los investigadores alegan que ayudó a facilitar la fuga planeada del hacker hacia Rusia a través de Polonia y Bielorrusia, mientras mantenía contacto con otros miembros del grupo a través de plataformas de mensajería cifrada.
Las autoridades afirman que el sospechoso también coordinó actividades relacionadas con operaciones cibernéticas que luego se promovieron en sitios web centrados en conflictos geopolíticos. Según los investigadores, esos ataques tenían como objetivo amplificar mensajes prorrusos mientras dirigían a organizaciones consideradas apoyadoras de Ucrania o gobiernos occidentales.
La investigación comenzó en agosto de 2025 después de que las autoridades españolas recibieran inteligencia del FBI. Los agentes registraron la casa del sospechoso en marzo de 2026, incautando ordenadores, dispositivos de almacenamiento digital y carteras de criptomonedas que los investigadores creen que estaban relacionados con los ingresos del ciberdelito, incluida la venta de datos robados. Los activos de criptomonedas han sido congelados mientras continúa la investigación.
El sospechoso no ha sido formalmente acusado. Sin embargo, la policía española afirmó que está siendo investigado por sospecha de pertenencia y colaboración con una organización terrorista, glorificación del terrorismo y delitos relacionados con daños informáticos. Las autoridades no han revelado su identidad ni han indicado cuándo decidirá un tribunal si se presentarán cargos formales.
CyberArmy of Russia Reborn ha estado vinculado anteriormente a ataques dirigidos a servicios de agua, instalaciones de procesamiento de alimentos e infraestructuras energéticas en Estados Unidos. Las autoridades estadounidenses han acusado a otros supuestos miembros del grupo de intentar comprometer los sistemas de control industrial y SCADA utilizados para operar servicios críticos.
Investigadores de seguridad también han informado de vínculos entre CARR y el grupo de amenazas apoyado por el Estado ruso APT44, también conocido como Sandworm. Sin embargo, la información pública describe esas conexiones como indirectas, y ninguna atribución oficial ha establecido que CARR opere bajo el control directo del gobierno ruso.
