La Guardia Civil informó de la detención de los cuatro principales miembros del grupo Anonymous Fénix, una organización hacktivista activa desde abril de 2023 que realizaba ataques informáticos contra instituciones públicas y formaciones políticas. Los arrestos se realizaron en Alcalá de Henares, Oviedo, Ibiza y Móstoles, en una operación coordinada con la Fiscalía de Criminalidad Informática.
La investigación fue dirigida por la Jefatura de Información de la Guardia Civil y se desarrolló en dos fases operativas. La primera tuvo lugar en mayo de 2025, cuando fueron detenidos el administrador y el moderador del grupo en Alcalá de Henares (Madrid) y Oviedo (Asturias). Según las autoridades, estos perfiles se encargaban de la estrategia del colectivo y de la comunicación en redes sociales.
La segunda fase se ejecutó a mediados de febrero de 2026, cuando los investigadores localizaron a los dos miembros más activos desde el punto de vista técnico. Ambos fueron arrestados en Ibiza (Baleares) y Móstoles (Madrid) tras el análisis de los dispositivos incautados durante la primera etapa de la operación.
De acuerdo con el Ministerio del Interior, el grupo utilizaba ataques de Denegación de Servicio Distribuido (DDoS) para colapsar páginas web de ministerios, partidos políticos y organismos estatales. Este tipo de ataques consiste en saturar un servidor con un gran volumen de solicitudes falsas para impedir el acceso de los usuarios legítimos y dejar fuera de servicio los portales afectados.
Las autoridades señalaron que el grupo intensificó sus acciones tras la tragedia de la DANA ocurrida en Valencia en octubre de 2024. Según la investigación, los integrantes justificaban los ataques como una represalia contra las instituciones por la gestión de la emergencia.
Anonymous Fénix se autodenominaba una rama del colectivo internacional Anonymous y centraba la mayor parte de sus objetivos en instituciones de la Administración Pública en España. No obstante, también realizó acciones de propaganda y ataques contra entidades de diversos países de Sudamérica.
Para ejecutar los ataques, el grupo utilizaba redes de computadoras infectadas, conocidas como botnets, que podían ser controladas de forma remota. Además, a través de su canal de Telegram, invitaban a seguidores a participar en los ataques descargando programas que permitían utilizar sus equipos para generar tráfico masivo contra los objetivos.
Como parte de la operación judicial, las autoridades cerraron el canal de Telegram del grupo e intervinieron sus perfiles en redes sociales, incluyendo X y YouTube. También incautaron material informático que, según los investigadores, vincula directamente a los detenidos con ataques exitosos contra sedes electrónicas estatales que provocaron interrupciones temporales en servicios digitales utilizados por los ciudadanos.
Los cuatro detenidos fueron puestos a disposición judicial bajo la coordinación de la Fiscalía de Criminalidad Informática. Según las autoridades, podrían enfrentar cargos por daños informáticos, delitos que en España pueden conllevar penas de prisión dependiendo de la gravedad del perjuicio causado.
