‘Anonymous Fénix’ cae: cuatro detenidos por ciberataques DDoS a ministerios y portales públicos; así se organizaron en X, Telegram y YouTube.
La Guardia Civil ha detenido a cuatro personas a las que señala como los principales integrantes de un grupo hacktivista que se hacía llamar “Anonymous Fénix”, una etiqueta que ellos mismos presentaban como rama española del universo Anonymous. Están investigados por su presunta participación en ciberataques contra organismos públicos, con una técnica concreta y muy repetida en los últimos años: ataques DDoS (denegación distribuida de servicio) para saturar portales institucionales y dejarlos temporalmente fuera de servicio.
La operación se ha cerrado en dos tandas y en cuatro puntos del mapa: en mayo de 2025 fueron detenidos el supuesto administrador y el supuesto moderador del grupo en Alcalá de Henares (Madrid) y Oviedo (Asturias); y a mediados de febrero de 2026 se ha detenido a los otros dos miembros descritos como los más activos en Ibiza y Móstoles (Madrid). Como parte de las medidas adoptadas, el perfil del grupo en X y su cuenta de YouTube han sido intervenidos judicialmente y el canal de Telegram que utilizaban ha sido cerrado.
La operación: dos golpes, cuatro ciudades y un rastro que se estrecha
La fotografía general es clara, aunque falte el detalle que muchos buscan primero: no han trascendido los nombres de los detenidos, ni edades, ni profesiones, ni si tenían antecedentes, y esa ausencia no es casual; en investigaciones de ciberdelincuencia es habitual que la identificación pública se administre con cuentagotas, sobre todo cuando hay material incautado y diligencias abiertas. Lo que sí se ha comunicado con precisión es el esqueleto de la organización: un administrador, un moderador y dos perfiles operativos que habrían mantenido el pulso de los ataques cuando el grupo entró en fase de mayor actividad.
El primer golpe, el de mayo de 2025, apunta al corazón organizativo: quien gestiona el espacio y quien ordena la conversación. En colectivos de este tipo, el administrador no es solo alguien con contraseña; es quien decide el tono, el ritmo, los objetivos, la puesta en escena, incluso el “calendario” de acciones. El moderador, por su parte, suele actuar como filtro y como policía interno: corta discusiones, fija mensajes, limpia ruido, mantiene el canal “presentable” y convierte un chat caótico en una máquina que parece más grande de lo que es. Y, sí, esa impresión de tamaño importa: en internet, la percepción es casi una herramienta más.
El segundo golpe llega ya en febrero de 2026 y completa el círculo. La Guardia Civil sitúa las detenciones en Ibiza y Móstoles, y subraya que se trata de los integrantes más activos. Esa expresión, en este contexto, suele querer decir varias cosas a la vez: los que más ejecutaban, los que más coordinaban el día a día, los que más “tocaban teclado” o los que más se movían en la zona gris donde propaganda y ataque se dan la mano. En ciberinvestigaciones, la actividad no es solo técnica; también es comunicativa, porque el grupo vive de tumbar y de contarlo.
Entre un golpe y otro hay algo que pesa más que la distancia temporal: el trabajo de análisis. La propia secuencia oficial lo sugiere cuando explica que, tras la detención del administrador y el moderador, la información obtenida condujo a identificar a los otros dos miembros. Eso suele implicar forense digital: dispositivos intervenidos, logs, comunicaciones, huellas de acceso, patrones horarios, cruces con cuentas y, en ocasiones, el detalle más simple y más demoledor, el que no suena a película: una conversación guardada, una configuración mal hecha, una cuenta reutilizada. El anonimato, cuando se usa a diario, se desgasta.
También hay un capítulo que no se mide en esposas, pero que para estos grupos es casi equivalente: la intervención judicial del perfil en X y de la cuenta de YouTube, además del cierre del canal de Telegram. Se corta la infraestructura narrativa, el altavoz, el sitio donde se señala al enemigo, donde se presume del “logro” y donde se intenta captar a gente. Sin ese escenario, el grupo se queda sin parte de su combustible.
“Anonymous Fénix”: una marca potente, una estructura pequeña y un escaparate constante
“Anonymous” es, desde hace años, más un símbolo que una organización con sede y organigrama. La máscara, el tono solemne, la idea de “somos muchos” funcionan como una plantilla que cualquiera puede adoptar. “Anonymous Fénix” encaja en esa lógica: un nombre propio para diferenciarse y, a la vez, el paraguas de una marca global que impone respeto en redes, aunque sea por pura memoria colectiva. Es el viejo truco del cartel luminoso: aunque dentro haya poca gente, desde fuera parece un local lleno.
La Guardia Civil sitúa el inicio de su actividad en abril de 2023. Desde entonces, el grupo habría sido especialmente activo en X y Telegram, y ahí hay una pista importante sobre su manera de operar. X sirve como escaparate, como plaza pública donde el mensaje se busca viralizar, donde se lanza el titular incendiario y se crea una sensación de presencia continua. Telegram, en cambio, suele ser la trastienda: canal para organizar, para reclutar, para fijar objetivos, para bajar a lo concreto sin el ruido de los comentarios abiertos. Uno grita, el otro coordina. Y en el medio, la identidad se construye a base de repetición: misma estética, mismo lenguaje, misma música de fondo.
El contenido que difundían, según la información comunicada, iba dirigido contra instituciones españolas y contra instituciones de diferentes países de Sudamérica. Ese detalle amplía el foco: no es un grupo que se limite a una queja local, sino que participa de una narrativa transnacional, típica de estos entornos, donde cualquier conflicto ajeno se incorpora como munición. En esa mezcla cabe casi todo: agravio político, indignación social, teorías sobre responsabilidades, y un hilo conductor que suele repetirse: el Estado como enemigo abstracto, convertido en diana digital.
A partir de septiembre de 2024, siempre según el relato oficial, se produce el salto. Incrementan la actividad e inician una campaña de reclutamiento de voluntarios para perpetrar ciberataques contra “dominios relevantes”. Esa frase, “voluntarios”, es casi un retrato del método: el DDoS necesita masa, una avalancha de peticiones, un atasco fabricado. Cuantos más participan, más fácil es generar el bloqueo. Y a la vez, el reclutamiento refuerza la teatralidad del grupo: “somos un movimiento”, “únete”, “colabora”. No hace falta que todos sepan exactamente qué hacen; basta con que algunos aporten potencia, otros difusión y otros la sensación de multitud.
En paralelo, el grupo fue construyendo una narrativa que se apoya en el gesto, no en el matiz. Señalar, acusar, prometer respuesta. En redes, ese lenguaje funciona como un tambor. El problema es que el tambor, cuando acompaña a una acción que paraliza servicios públicos, deja de ser solo ruido.
DDoS, explicado sin humo: el ciberataque que se parece a un atasco
Un ataque DDoS no necesita, necesariamente, entrar “dentro” de un sistema para robar datos o plantar un virus. Su idea es más bruta, casi física: saturar un servicio con un volumen anormal de peticiones hasta que no pueda responder. Es como llenar una sala de espera con gente que no tiene cita y que, aun así, exige atención sin parar. La ventanilla sigue ahí, el funcionario sigue ahí, el edificio no se derrumba… pero la fila se convierte en un bloque de cemento y el servicio deja de ser útil durante un tiempo.
En términos digitales, el objetivo es dejar una web fuera de servicio temporalmente, dificultando o bloqueando el acceso de usuarios legítimos hasta que el sistema se recupera. A veces el portal cae por completo; otras, se vuelve tan lento que es casi lo mismo. Y ese “casi” es clave, porque en servicios públicos la web no es un escaparate: es una puerta de entrada a trámites, información y comunicación institucional. Cuando se cae, no se cae un logo; se cae una pieza de la vida cotidiana.
Estos ataques pueden ejecutarse de muchas maneras, pero el mecanismo esencial es el mismo: múltiples equipos, reales o comprometidos, envían solicitudes a un servidor hasta que el servidor no puede con todo. Ahí aparece la palabra que siempre sobrevuela: botnet, redes de dispositivos infectados que actúan como ejército involuntario. No hace falta afirmar que sea el caso aquí; basta con entender que el DDoS suele apoyarse en la multiplicación: una sola máquina rara vez tumba un gran portal; cien, mil o diez mil ya es otro paisaje.
Hay una confusión habitual que conviene despejar, porque forma parte del relato de los propios grupos: DDoS no siempre equivale a “hackear” en el sentido popular de entrar, romper, manipular datos. Es más bien un sabotaje por saturación. Pero que sea distinto no lo hace inocuo. En el mundo real, colapsar una entrada puede ser tan dañino como romper una puerta, sobre todo si detrás hay gente esperando. Y en un momento de crisis, esa puerta digital puede ser el único acceso a instrucciones, comunicados o trámites urgentes.
El impacto tiene, además, un componente simbólico que estos grupos explotan: la captura de pantalla del “error”, el mensaje de “sitio no disponible”, la idea de “lo logramos”. Es un trofeo inmediato. La intrusión silenciosa, la que roba sin que nadie se entere, es un crimen más grave en muchos sentidos; pero el DDoS tiene una ventaja para quien busca notoriedad: se ve. Y lo que se ve, en redes, se convierte rápido en relato.
La DANA de 2024 en Valencia: cuando el desastre se convierte en argumento
El punto de máxima actividad de “Anonymous Fénix” se sitúa tras la DANA de 2024 en Valencia. En ese contexto, la Guardia Civil explica que el grupo atacó con éxito diferentes webs de la Administración Pública, justificando que esos organismos eran “los responsables de la tragedia”. La frase es dura, y también eficaz para el tipo de propaganda que suele circular en estas campañas: convierte un episodio complejo —con responsabilidades políticas, técnicas, administrativas y, a veces, judiciales— en una acusación total que cabe en una sola línea.
La DANA, además, fue un acontecimiento de alto voltaje emocional, con imágenes de riadas, rescates, daños materiales y un debate público intenso. En ese ambiente, proliferan las narrativas rápidas y el señalamiento directo. Es el terreno donde un grupo así puede crecer porque ofrece algo que parece simple: un culpable y una acción inmediata. El problema es lo que hay detrás de esa inmediatez. Tumbar una web pública no repara una vida perdida ni mejora una infraestructura; lo que hace es añadir ruido operativo y, en ocasiones, perjudicar a quienes necesitan información o acceso a servicios.
En situaciones de emergencia o poscrisis, los portales institucionales pueden ser especialmente sensibles. Aumenta el tráfico legítimo, se buscan comunicados, ayudas, vías de contacto, trámites. Un ataque DDoS, en ese contexto, no es solo un gesto político; es una interferencia directa en un canal que puede estar sirviendo para gestionar recursos, coordinar información o sostener la comunicación pública. Incluso cuando el portal atacado no sea el más crítico, el gesto se lee como un intento de castigar a la institución en un momento frágil.
El salto de actividad a partir de la DANA encaja, además, con el calendario descrito: desde septiembre de 2024 ya habían intensificado la actividad y activado el reclutamiento. La DANA aparece como acelerador, como momento en el que la campaña encuentra su excusa perfecta y su combustible emocional. Y ahí se ve una constante en la cibermovilización: los grandes sucesos, los que concentran atención y enfado, se convierten en oportunidades para captación y propaganda.
Nada de esto implica negar el debate legítimo sobre gestión de emergencias, responsabilidades y fallos. Implica separar ese debate de un acto de sabotaje digital. En el plano penal y operativo, tumbar una web pública no es un editorial; es un ataque. Y la investigación, precisamente, trata de fijar responsabilidades concretas detrás de esa máscara colectiva.
Del canal al juzgado: intervención de cuentas y coordinación institucional
Que se hayan intervenido judicialmente el perfil en X y la cuenta de YouTube, y que se haya cerrado el canal de Telegram, dice mucho sobre cómo se entiende hoy el fenómeno. La infraestructura de un grupo así no es solo técnica; también es comunicativa. Sin canal, sin cuenta, sin escaparate, se pierde capacidad de difusión, de reclutamiento, de coordinación y de atribución. Porque la atribución es parte del poder: no basta con tumbar una web; hay que convencer a otros de que la has tumbado, y que tú eres “la voz” autorizada.
La intervención judicial de cuentas suele implicar un proceso formal con autorización y diligencias. No es un “bloqueo” informal; es una medida con recorrido en sede judicial. En la práctica, sirve para asegurar pruebas, evitar la destrucción de contenido relevante y cortar la continuidad de la actividad. En entornos donde el mensaje se borra y se rehace a velocidad de vértigo, congelar una cuenta puede ser tan importante como decomisar un dispositivo.
La Guardia Civil ha contado con la colaboración del Centro Criptológico Nacional, una pieza clave en el ecosistema español de ciberseguridad institucional. Esa colaboración sugiere un trabajo de cruce técnico y análisis de amenazas, con metodología y soporte especializado. En paralelo, la coordinación se atribuye a la Fiscalía de Sala de Criminalidad Informática, la Fiscalía de Madrid y un órgano de instrucción en Madrid identificado como la Plaza 50 de la Sección de Instrucción del Tribunal de Instancia de Madrid. En este tipo de causas, la coordinación fiscal y judicial no es un detalle administrativo: marca el ritmo de las diligencias, las autorizaciones para entradas y registros, la legalidad de las intervenciones y el encaje de las pruebas.
Hay una idea que suele pasar desapercibida: en ciberdelitos, el trabajo no es solo “encontrar” al responsable, sino convertir indicios digitales en prueba sólida. El rastro existe, pero es frágil si no se protege bien: capturas de pantalla no bastan; hace falta cadena de custodia, preservación de datos, extracción forense, informes técnicos y, muchas veces, traducción al idioma del juez, del fiscal y de la defensa. Es un puente constante entre tecnología y derecho.
En España, además, el contexto de ciberamenazas se ha intensificado en los últimos años, con repuntes y oleadas que afectan a banca, empresas y administración. Este caso, centrado en DDoS y en un grupo que se presentaba como “hacktivista”, se mueve en una frontera clásica: la del activismo digital que se reivindica como protesta y el delito que se persigue como ataque a sistemas. La justicia, al final, no opera con estética; opera con hechos.
Qué se investiga y qué puede venir ahora: responsabilidades, roles y daños
El relato oficial dibuja roles (“administrador”, “moderador”, “más activos”), fechas y método (DDoS), pero deja abierta una parte inevitable: el reparto de responsabilidades exacto y el alcance concreto de los ataques. En una causa así, lo habitual es que se analice qué acciones se pueden atribuir a cada uno, qué infraestructura usaban, si hubo coordinación con terceros, si existió una red más amplia de colaboradores o simpatizantes, y qué daños se pueden acreditar más allá del impacto visible.
En DDoS, el daño puede ser técnico, económico y reputacional. Técnico, por la degradación del servicio y la necesidad de respuesta; económico, por recursos dedicados a mitigar ataques, restaurar servicios o reforzar defensas; reputacional, porque una web caída se convierte en titular y en munición política. A eso se suma el daño indirecto: trámites retrasados, accesos imposibilitados, atención colapsada. No hace falta dramatizarlo; basta con imaginar el día a día de una sede electrónica que deja de responder mientras hay una campaña pública, un plazo administrativo o una situación de tensión.
La investigación también suele mirar la intencionalidad y la persistencia. No es lo mismo un ataque puntual que una campaña sostenida con reclutamiento, difusión y repetición. Aquí se habla de una campaña que se intensifica desde septiembre de 2024 y que alcanza su punto máximo tras la DANA de 2024. Ese arco temporal, si se sostiene con pruebas, dibuja continuidad y planificación.
Otra cuestión relevante es el papel de las plataformas. Telegram aparece como espacio de coordinación, X como escaparate y YouTube como altavoz adicional. La clausura del canal y la intervención de cuentas indican que, para los investigadores, esas plataformas no eran accesorias, sino parte del mecanismo. En muchos casos, el contenido publicado —mensajes, vídeos, comunicados— funciona también como prueba de atribución: no solo se ataca, se presume de atacar. Y presumir, en un procedimiento penal, puede convertirse en una cuerda atada al tobillo.
También pesa el contexto de Anonymous como marca. En España se recuerda que la red principal atribuida a Anonymous fue desmantelada en 2011, lo que no impidió que siguieran apareciendo grupos que adoptan la estética y el nombre. Esa continuidad por “franquicia” complica el debate público, porque mezcla acciones de colectivos muy distintos bajo una misma máscara. Pero en sede judicial, lo que importa es la trazabilidad de este grupo concreto, su actividad desde abril de 2023, sus campañas y la atribución técnica de ataques.
Después de la redada: la caída de un grupo y el hueco que deja
La detención de los cuatro supuestos principales integrantes de “Anonymous Fénix” no significa que desaparezca la tentación de repetir el modelo, ni que se cierre el capítulo del hacktivismo en España. Significa, en lo inmediato, que el núcleo señalado como responsable queda desarticulado, que sus canales principales han sido neutralizados y que la investigación ha alcanzado a los perfiles que, según la Guardia Civil, sostenían la estructura y la actividad.
El golpe a la infraestructura comunicativa suele tener un efecto rápido: el relato se interrumpe. Sin X, sin YouTube, sin Telegram, cuesta mantener comunidad, cuesta reclutar, cuesta presumir. Y en estos grupos la continuidad importa casi más que la sofisticación técnica: lo que da sensación de poder no es solo tumbar una web un día; es aparentar que se puede hacer cuando se quiera, sostener el ritmo, imponer una presencia. Sin altavoz, la presencia se difumina.
Queda ahora el recorrido judicial, con sus tiempos y su letra pequeña. Ahí se decidirá qué se atribuye a cada detenido, cómo se encajan los roles dentro del marco penal, qué pruebas se consideran válidas, qué alcance real tuvieron los ataques y si hubo más gente implicada de forma operativa. Entre el relato de la red social y el relato del juzgado hay un salto enorme, y ese salto es precisamente el que buscan salvar las investigaciones: llevar el ruido al terreno de los hechos demostrables.
En el plano público, el caso deja una imagen nítida: la máscara de Anonymous sigue siendo un imán, pero no es un escudo perfecto. La actividad digital deja rastro, y cuando hay persistencia, coordinación y canales estables, el rastro se hace más grueso, más repetible, más fácil de seguir. “Anonymous Fénix” se presentaba como parte de algo global; la operación lo ha aterrizado en cuatro lugares concretos —Alcalá de Henares, Oviedo, Ibiza y Móstoles— y en un método concreto —DDoS— ligado a un momento especialmente sensible —la dana de Valencia de 2024—. Y ahí, sin adornos, está la noticia completa: cuatro detenidos, canales cerrados, cuentas intervenidas y una causa que entra en fase de consolidación judicial.
🔎 Contenido Verificado ✔️
Este artículo ha sido redactado basándose en información procedente de fuentes oficiales y confiables, garantizando su precisión y actualidad. Fuentes consultadas: Guardia Civil, INCIBE, CCN-CERT, Fiscalía General del Estado, El País, Euronews.
Alessandro Elia
Fuente de esta noticia: https://donporque.com/4-de-anonymous-fenix-detenidos-en-espana/
También estamos en Telegram como @prensamercosur, únete aquí: Telegram Prensa Mercosur
Recibe información al instante en tu celular. Únete al Canal del Diario Prensa Mercosur en WhatsApp a través del siguiente link: https://whatsapp.com/channel/0029VaNRx00ATRSnVrqEHu1
También estamos en Telegram como @prensamercosur, únete aquí: https://t.me/prensamercosur
Recibe información al instante en tu celular. Únete al Canal del Diario Prensa Mercosur en WhatsApp a través del siguiente link: https://www.whatsapp.com/channel/0029VaNRx00ATRSnVrqEHu1W
