La Guardia Civil ha detenido a los cuatro principales integrantes del grupo hacker español denominado ‘Anonymous Fénix’, responsable de ciberataques contra organismos públicos, ministerios, partidos políticos e instituciones tanto en España como en países de Sudamérica. Uno de los dos miembros más activos del colectivo ha sido arrestado a mediados de este mes en Ibiza, en el marco de una operación que se venía desarrollando desde 2023.
La detención en la isla supone el cierre operativo del núcleo principal del grupo, después de que en mayo de 2025 fueran arrestados el administrador y el moderador en Alcalá de Henares (Madrid) y Oviedo (Asturias). Las investigaciones posteriores permitieron identificar a otros dos integrantes clave, considerados los más activos en la ejecución de los ataques, que han sido detenidos ahora en Ibiza y en Móstoles (Madrid).
Ataques coordinados contra webs oficiales
‘Anonymous Fénix’ se autodenominaba parte del movimiento internacional ‘Anonymous’, aunque operaba como un grupo propio con estructura y canales propios de difusión. Según la Guardia Civil, realizaban ataques de denegación distribuida de servicio (DDoS, por sus siglas en inglés).
Este tipo de ciberataque consiste en saturar un sistema o servicio digital mediante un volumen anormalmente elevado de peticiones, con el objetivo de dejarlo temporalmente fuera de servicio. El resultado es que la página web o el sistema afectado deja de funcionar con normalidad y los usuarios legítimos no pueden acceder hasta que se restablece su capacidad operativa.
Los objetivos del grupo incluían páginas oficiales de ministerios, partidos políticos e instituciones públicas. La actividad se intensificó especialmente a partir de septiembre de 2024, cuando el colectivo inició una campaña de reclutamiento de voluntarios a través de redes sociales con el objetivo de coordinar ataques contra dominios considerados “relevantes”.
El punto de inflexión: la DANA de 2024
El momento de máxima actividad del grupo se produjo tras la DANA que afectó a la Comunidad Valenciana en 2024. Según detalla la Guardia Civil, consiguieron atacar con éxito varias webs de la Administración Pública, justificando sus acciones con el argumento de que los organismos públicos eran “los responsables de la tragedia”.
A partir de ese momento, la actividad del grupo se hizo más visible, especialmente en la red social X y en Telegram, donde difundían mensajes críticos contra instituciones españolas y de distintos países sudamericanos, al tiempo que llamaban a participar en nuevas acciones digitales.
La investigación y las primeras detenciones
La investigación permitió identificar a los máximos responsables del grupo: el administrador y el moderador, considerados las figuras centrales en la coordinación de las acciones y la gestión de los canales de comunicación.
Ambos fueron detenidos en mayo de 2025 en Alcalá de Henares y Oviedo. El análisis del material intervenido en esas actuaciones permitió a los investigadores seguir la pista de otros miembros relevantes dentro de la estructura del colectivo.
Esa línea de trabajo condujo finalmente a la identificación de los dos integrantes más activos en la ejecución de los ataques, que han sido arrestados a mediados de febrero en Ibiza y en Móstoles.
Detenciones en Ibiza y Madrid
La Guardia Civil ha confirmado que las últimas detenciones se han producido en Ibiza y en Móstoles (Madrid). Con estos arrestos, se considera desarticulado el núcleo operativo principal del grupo ‘Anonymous Fénix’.
Además de las detenciones, el perfil de X y la cuenta de YouTube vinculados al grupo han sido intervenidos judicialmente. El canal de Telegram utilizado para la difusión de mensajes y la coordinación de acciones también ha sido cerrado.
Coordinación institucional
La operación ha contado con la colaboración del Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia especializado en la seguridad de los sistemas de información del sector público.
La investigación ha sido coordinada por la Fiscalía de Sala de Criminalidad Informática, la Fiscalía de Madrid y la Plaza 50 de la Sección de Instrucción del Tribunal de Instancia de Madrid.
Con las cuatro detenciones practicadas —dos en 2025 y dos a mediados de este mes— la Guardia Civil da por desarticulado el grupo hacktivista, cuya actividad se prolongó desde abril de 2023 y que alcanzó su mayor notoriedad tras los ataques contra páginas oficiales en el contexto de la DANA de Valencia.
La pista que arrancó en redes sociales y servidores digitales terminó, finalmente, en Ibiza.
