El grupo de hacking Sandworm, vinculado al estado ruso, ha sido identificado como el responsable de lo que se describe como el “mayor ciberataque” dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025. Aunque el ataque fue detectado y neutralizado sin causar interrupciones, los expertos han vinculado esta actividad a una nueva variante de malware “wiper” (limpiador de datos) desplegada por el actor de amenazas.
Detalles del ataque y malware DynoWiper
Según un informe de ESET, el ataque fue obra de Sandworm, que utilizó un malware wiper previamente indocumentado, denominado DynoWiper (también conocido como Win32/KillFiles.NMO). La atribución a Sandworm se basa en similitudes con actividades anteriores del grupo, especialmente en el contexto de la invasión rusa de Ucrania.
El ataque tuvo lugar entre el 29 y 30 de diciembre de 2025 y tuvo como objetivo:
- Dos plantas de cogeneración (CHP).
- Un sistema de gestión de electricidad generada a partir de fuentes de energía renovable, como turbinas eólicas y parques fotovoltaicos.
ESET, que identificó el uso de DynoWiper en el intento de ataque, confirmó que no hay evidencia de interrupción exitosa de los sistemas.
Contexto histórico y Sandworm
Este incidente coincide con el décimo aniversario del ataque de Sandworm contra la red eléctrica ucraniana en diciembre de 2015. En aquel entonces, el grupo desplegó el malware BlackEnergy y un wiper denominado KillDisk, causando un apagón de 4 a 6 horas que afectó a aproximadamente 230.000 personas en la región de Ivano-Frankivsk.
Sandworm es conocido por su historial de ataques disruptivos contra infraestructura crítica, con un enfoque particular en Ucrania. Otros ataques recientes del grupo incluyen:
- Junio de 2025: Ataque a una entidad de infraestructura crítica ucraniana utilizando el wiper PathWiper.
- Junio-Septiembre de 2025: Despliegue de variantes de malware wiper como ZEROLOT y Sting contra entidades gubernamentales, de energía, logística y granos en Ucrania.
Respuesta del gobierno polaco
El primer ministro polaco, Donald Tusk, atribuyó los ataques a “grupos directamente vinculados a los servicios rusos”. En respuesta, el gobierno está preparando salvaguardas adicionales, incluyendo una nueva legislación de ciberseguridad. Esta legislación impondrá requisitos estrictos en áreas clave de la seguridad:
- Gestión de riesgos.
- Protección de sistemas de tecnología de la información (IT) y tecnología operativa (OT).
- Respuesta a incidentes.
Conclusiones
El ataque de Sandworm contra la infraestructura energética de Polonia subraya la persistencia de los actores de amenazas estatales en atacar sectores críticos. La reaparición de un ataque significativo en el aniversario del incidente de Ucrania de 2015 no es casual, y la utilización de un nuevo malware wiper como DynoWiper demuestra la continua evolución de las tácticas del grupo. La respuesta polaca, centrada en fortalecer la gestión de riesgos y la seguridad de los sistemas OT, es crucial para mitigar futuros intentos de disrupción.
Referencias
- ESET Report: [Mencionado en el texto, informe de ESET sobre DynoWiper y Sandworm]
- Politicom.pl: [Fuente citada por el artículo sobre declaraciones del ministro Motyka]