Los investigadores neerlandeses han asestado uno de los golpes más significativos contra la infraestructura rusa de ciberataques dentro de la Unión Europea: se incautaron 800 servidores y se detuvo a dos ciudadanos neerlandeses vinculados a una empresa de alojamiento web que ayudaba a Rusia a socavar la democracia europea. La operación del Servicio de Inteligencia Fiscal e Investigación (FIOD), llevada a cabo el 22 de mayo de 2026, se dirigió contra WorkTitans B.V. y su marca THE.Hosting - una empresa pantalla creada específicamente para eludir las sanciones de la UE contra la notorious Stark Industries Solutions. La conexión entre los servidores DDoS de Países Bajos y Rusia llevaba meses en el punto de mira de los investigadores.
Stark Industries: sancionada y renacida como THE.Hosting
Stark Industries Solutions fue fundada el 10 de febrero de 2022 - días antes de la invasión rusa a gran escala de Ucrania - y rápidamente se convirtió en uno de los facilitadores más documentados de los ciberataques rusos en Europa. Sus servidores alojaban infraestructura de ataques DDoS, campañas de desinformación y operaciones de injerencia contra estados miembros de la OTAN, instituciones ucranianas y portales gubernamentales de la UE.
La Unión Europea sancionó oficialmente a Stark Industries el 20 de mayo de 2025, prohibiendo a las empresas europeas proporcionarle recursos económicos. En cuestión de semanas, la infraestructura fue trasladada discretamente a una nueva entidad neerlandesa: WorkTitans B.V., que opera bajo la marca comercial THE.Hosting. Los investigadores sostienen que WorkTitans fue creada precisamente para eludir las sanciones, permitiendo que los mismos servidores y capacidades de ataque continuaran operando bajo una identidad jurídica limpia.
La FIOD detuvo a dos ciudadanos neerlandeses: un director de 57 años de WorkTitans B.V. y un hombre de 39 años que dirigía una empresa separada que proporcionaba conectividad a internet a la infraestructura de alojamiento. Se realizaron registros en dos centros de datos en Dronten y Schiphol-Rijk, así como en locales en Enschede y Almere. En total, se incautaron 800 servidores, portátiles, teléfonos móviles y registros administrativos.
NoName057(16): el grupo DDoS al que servía WorkTitans
Las autoridades danesas y los proveedores de infraestructura estuvieron entre los primeros en vincular directamente a WorkTitans con NoName057(16), un colectivo hacktivista de habla rusa que ha llevado a cabo cientos de ataques DDoS políticamente motivados en toda Europa desde 2022. El grupo coordina abiertamente sus acciones a través de Telegram, celebra públicamente las interrupciones de sitios web gubernamentales y ataca a los estados miembros de la OTAN como parte de su declarada misión ideológica de apoyo al Kremlin.
- Objetivos: Portales gubernamentales, bancos, sistemas ferroviarios y medios de comunicación en Polonia, Alemania, Francia, Italia, los países bálticos, Ucrania y decenas de otros países.
- Método: Inundaciones DDoS de alto volumen diseñadas para dejar fuera de línea temporalmente a los objetivos con fines políticos.
- Necesidad de infraestructura: Alojamiento a prueba de balas que resiste las solicitudes de eliminación y la presión legal, exactamente lo que proporcionaban Stark Industries y posteriormente THE.Hosting.
- Coordinación: Canales de Telegram donde los resultados de los ataques se publican y difunden como propaganda.
La infraestructura incautada en las redadas no se utilizaba únicamente para ataques DDoS. Los investigadores también la vinculan a operaciones de información rusas: campañas diseñadas para difundir desinformación y socavar la confianza pública en las instituciones democráticas de los estados miembros de la UE. Los fiscales calificaron las actividades de los sospechosos como una injerencia directa en la democracia europea a favor de Rusia.
La violación de sanciones como cargo penal
El marco legal de este caso va más allá del procesamiento penal por ciberdelincuencia convencional. Ambos sospechosos enfrentan cargos por violar las sanciones de la UE al proporcionar indirectamente recursos económicos a entidades rusas y bielorrusas incluidas en la lista de sanciones. Este argumento - que una empresa de alojamiento neerlandesa puede tener responsabilidad penal por permitir que entidades sancionadas continúen operando bajo una nueva estructura corporativa - sienta un precedente directo para futuras acciones judiciales en toda la UE.
La cadena Stark Industries - WorkTitans B.V. ilustra un patrón que las fuerzas del orden de la UE persiguen activamente: actores cibernéticos sancionados que crean nuevas estructuras legales en estados miembros de la UE para continuar sus operaciones. La investigación FIOD demuestra que esta estrategia de evasion no proporciona cobertura legal - añade violaciones de sanciones a la exposición penal ya existente.
Alcance de la incautación: cuatro ubicaciones, 800 servidores
La coordinación simultánea en cuatro ubicaciones fue deliberada. Los operadores de alojamiento a prueba de balas mantienen habitualmente infraestructura redundante en múltiples centros de datos, lo que les permite desviar el tráfico si un nodo es desconectado. Al golpear Dronten, Schiphol-Rijk, Enschede y Almere simultáneamente, la FIOD impidió cualquier migración de tráfico o destrucción de datos antes de la llegada de los investigadores.
Los 800 servidores incautados representan hardware que estaba dirigiendo activamente tráfico DDoS y alojando paneles de control de ataques en el momento de la redada. Combinados con los registros administrativos y los datos de comunicación de los teléfonos y portátiles incautados, los investigadores disponen ahora de un mapa detallado de la infraestructura: sus clientes, configuraciones y conexiones con otros actores sancionados.
Qué significa esto para la privacidad en línea
El desmantelamiento de THE.Hosting ilustra lo que está en juego cuando la infraestructura de anonimización y alojamiento a prueba de balas es capturada por actores vinculados a estados. Las herramientas de privacidad legítimas, incluidos los servicios VPN, el alojamiento anónimo y las comunicaciones cifradas, desempeñan un papel fundamental para periodistas, activistas y empresas en entornos de alto riesgo. Sin embargo, cuando esa misma infraestructura se repropone para campañas de ataque sancionadas y operaciones de desinformación estatales, la intervención policial se vuelve inevitable. El único camino sostenible para los servicios de privacidad legítimos es la plena transparencia legal, una jurisdicción clara y el cumplimiento verificado de la legislación aplicable de la UE.
