A finales de diciembre de 2025, una de las infraestructuras críticas más sensibles de Europa —el sistema energético de Polonia— fue objetivo de un sofisticado ciberataque con intención destructiva. Según los investigadores de ESET Research, la operación fue orquestada por el grupo de amenazas persistentes avanzadas (APT) conocido como Sandworm, alineado con servicios de inteligencia rusos, responsable de múltiples campañas contra infraestructuras en Ucrania durante la última década.
DynoWiper: el malware detrás del ataque
ESET identificó que los atacantes emplearon un nuevo tipo de malware de borrado de datos, al que han nombrado DynoWiper. Este código está diseñado para sobrescribir y eliminar datos esenciales en los sistemas afectados, con la intención de causar la mayor disrupción posible en equipos clave dentro de la infraestructura operativa.
Aunque no se confirmó una interrupción operativa significativa —las defensas polacas evitaron un apagón importante—, el uso de DynoWiper representa una evolución en las tácticas destructivas dirigidas a sistemas de tecnología operacional (OT) que controlan procesos físicos, como el suministro eléctrico.
Sandworm: un actor con historial
Sandworm no es un actor menor. Conocido también como APT44 o Unit 74455 dentro de la inteligencia militar rusa, este grupo ha sido vinculado a múltiples operaciones dirigidas contra infraestructuras críticas, particularmente en Ucrania. Entre sus ataques más conocidos está el incidente de diciembre de 2015, donde utilizaron el malware BlackEnergy para generar un apagón que dejó sin electricidad a cientos de miles de personas.
Diez años después, el ataque a Polonia coincidió con el aniversario de ese evento histórico, lo que sugiere un componente simbólico y estratégico en la ejecución de la operación. Los investigadores de ESET destacan que las técnicas, tácticas y procedimientos (TTPs) observados durante el incidente coinciden con patrones previos de Sandworm, fundamentando así la atribución del ataque con un nivel de confianza medio.
¿Qué significa este ataque para la ciberseguridad de infraestructuras críticas?
Aunque el ataque no logró interrumpir el suministro, representa una advertencia seria sobre el riesgo que enfrentan los sistemas de infraestructura crítica en múltiples frentes:
1. Evolución de amenazas destructivas
El malware de borrado como DynoWiper no busca robar datos o cifrar sistemas para rescate, sino causar daño directo y potencialmente irreversible a la infraestructura operativa.
2. Objetivos estratégicos y políticos
La selección de objetivos como redes eléctricas o sistemas vinculados a energía renovable no es casual: se trata de puntos neurálgicos que pueden tener un impacto social, económico y político considerable si son atacados con éxito.
3. Protección de OT y convergencia IT/OT
Este incidente subraya la necesidad de que las organizaciones no traten la seguridad operacional (OT) separadamente de la seguridad IT tradicional. La convergencia de estos mundos demanda soluciones que brinden visibilidad, detección y respuesta coordinada frente a amenazas avanzadas en ambos entornos.
Fortalecer la resiliencia de infraestructura crítica
El análisis de ESET nos ofrece varias lecciones clave para 2026:
La sofisticación de los ataques a infraestructuras críticas sigue en ascenso y no siempre se manifiesta mediante interrupciones visibles, sino mediante intentos de sabotaje encubierto que exploran múltiples vectores.
La atribución de ataques complejos requiere correlación de malware, TTPs y patrones históricos, algo que ESET logra a través de su experiencia y portafolio de investigación global.
La protección eficaz de sistemas IT y OT exige una estrategia integral de ciberseguridad que combine visibilidad continua, respuesta automatizada y defensa adaptativa frente a actores avanzados como Sandworm.
Para los líderes de ciberseguridad, canales y partners, este tipo de incidentes pone de manifiesto la importancia de soluciones que no solo detecten ataques, sino que también anticipen, mitiguen y ayuden a responder ante amenazas complejas a gran escala.
ESET atribuye a Sandworm el ciberataque fallido a la red eléctrica de Polonia en 2025
A finales de diciembre de 2025, una de las infraestructuras críticas más sensibles de Europa —el sistema energético de Polonia— fue objetivo de un sofisticado ciberataque con intención destructiva. Según los investigadores de ESET Research, la operación fue orquestada por el grupo de amenazas persistentes avanzadas (APT) conocido como Sandworm, alineado con servicios de inteligencia rusos, responsable de múltiples campañas contra infraestructuras en Ucrania durante la última década.
DynoWiper: el malware detrás del ataque
ESET identificó que los atacantes emplearon un nuevo tipo de malware de borrado de datos, al que han nombrado DynoWiper. Este código está diseñado para sobrescribir y eliminar datos esenciales en los sistemas afectados, con la intención de causar la mayor disrupción posible en equipos clave dentro de la infraestructura operativa.
Aunque no se confirmó una interrupción operativa significativa —las defensas polacas evitaron un apagón importante—, el uso de DynoWiper representa una evolución en las tácticas destructivas dirigidas a sistemas de tecnología operacional (OT) que controlan procesos físicos, como el suministro eléctrico.
Sandworm: un actor con historial
Sandworm no es un actor menor. Conocido también como APT44 o Unit 74455 dentro de la inteligencia militar rusa, este grupo ha sido vinculado a múltiples operaciones dirigidas contra infraestructuras críticas, particularmente en Ucrania. Entre sus ataques más conocidos está el incidente de diciembre de 2015, donde utilizaron el malware BlackEnergy para generar un apagón que dejó sin electricidad a cientos de miles de personas.
Diez años después, el ataque a Polonia coincidió con el aniversario de ese evento histórico, lo que sugiere un componente simbólico y estratégico en la ejecución de la operación. Los investigadores de ESET destacan que las técnicas, tácticas y procedimientos (TTPs) observados durante el incidente coinciden con patrones previos de Sandworm, fundamentando así la atribución del ataque con un nivel de confianza medio.
¿Qué significa este ataque para la ciberseguridad de infraestructuras críticas?
Aunque el ataque no logró interrumpir el suministro, representa una advertencia seria sobre el riesgo que enfrentan los sistemas de infraestructura crítica en múltiples frentes:
1. Evolución de amenazas destructivas
El malware de borrado como DynoWiper no busca robar datos o cifrar sistemas para rescate, sino causar daño directo y potencialmente irreversible a la infraestructura operativa.
2. Objetivos estratégicos y políticos
La selección de objetivos como redes eléctricas o sistemas vinculados a energía renovable no es casual: se trata de puntos neurálgicos que pueden tener un impacto social, económico y político considerable si son atacados con éxito.
3. Protección de OT y convergencia IT/OT
Este incidente subraya la necesidad de que las organizaciones no traten la seguridad operacional (OT) separadamente de la seguridad IT tradicional. La convergencia de estos mundos demanda soluciones que brinden visibilidad, detección y respuesta coordinada frente a amenazas avanzadas en ambos entornos.
Fortalecer la resiliencia de infraestructura crítica
El análisis de ESET nos ofrece varias lecciones clave para 2026:
La sofisticación de los ataques a infraestructuras críticas sigue en ascenso y no siempre se manifiesta mediante interrupciones visibles, sino mediante intentos de sabotaje encubierto que exploran múltiples vectores.
La atribución de ataques complejos requiere correlación de malware, TTPs y patrones históricos, algo que ESET logra a través de su experiencia y portafolio de investigación global.
La protección eficaz de sistemas IT y OT exige una estrategia integral de ciberseguridad que combine visibilidad continua, respuesta automatizada y defensa adaptativa frente a actores avanzados como Sandworm.
Para los líderes de ciberseguridad, canales y partners, este tipo de incidentes pone de manifiesto la importancia de soluciones que no solo detecten ataques, sino que también anticipen, mitiguen y ayuden a responder ante amenazas complejas a gran escala.
Categorías
Buscar