A finales de diciembre se detectó un ataque orquestado contra la infraestructura eléctrica de Polonia que, aunque no dejó cortes generalizados de electricidad, dejó huella en decenas de instalaciones descentralizadas de generación. Según los primeros informes públicos hubo al menos una docena de emplazamientos afectados, entre los que se incluyen plantas de cogeneración (CHP) y sistemas de despacho para parques eólicos y solares; sin embargo, la firma especializada Dragos estima que el número real de sitios comprometidos podría acercarse a los treinta. La suma de la capacidad comprometida rondó los 1,2 GW, aproximadamente el 5% del suministro energético nacional, una cifra suficiente para causar problemas operativos si el ataque hubiera tenido distinto alcance o sincronización.
Los investigadores que han analizado el incidente coinciden en un punto clave: la ausencia de apagones masivos no reduce la gravedad del suceso. Lo que ocurrió fue un ataque dirigido a componentes de tecnología operacional (OT) y a equipos de control de red que, en varios casos, fueron dañados de forma irreversible y dejaron inutilizada su configuración. Además, equipos con Windows fueron borrados mediante wipers y la comunicación remota con numerosas unidades quedó interrumpida. Perder la visibilidad y el control remoto en muchas unidades repartidas por el territorio es, por sí mismo, una señal de alarma sobre la fragilidad de los sistemas energéticos descentralizados.
Dragos atribuye con confianza moderada la operación a un actor ruso al que denomina Electrum, un grupo que comparte características con la conocida amenaza Sandworm (también referida en informes como APT44) pero que constituye, según los analistas, una agrupación con rasgos y campañas propios. El repertorio de malware asociado a estas operaciones incluye borradores destructivos y herramientas orientadas a interrumpir comunicaciones y corruptir dispositivos de control; ejemplos mencionados por distintos equipos de respuesta son familias como DynoWiper, Caddywiper e Industroyer2, que han sido observadas en incidentes contra infraestructuras críticas en la región. Para más detalle técnico sobre la investigación de Dragos puede consultarse su informe: Dragos — informe sobre Electrum y el sector eléctrico polaco, y para lecturas sobre amenazas y ataques con wipers puede visitarse la cobertura y análisis de ESET en su portal de investigación: WeLiveSecurity (ESET).
Desde el punto de vista operativo, los atacantes se centraron en puntos que miran hacia la red y en equipos de frontera: unidades terminales remotas (RTU), dispositivos de borde, equipos implicados en el despacho y máquinas Windows en los sitios de generación distribuida. La repetición de técnicas y la selección de configuraciones similares en varias instalaciones indican que los autores conocían bien cómo están desplegados y gestionados esos activos. En muchos emplazamientos consiguieron inutilizar el equipo de comunicaciones, lo que desconectó la monitorización y la capacidad de mando a distancia; no obstante, la generación local continuó funcionando de forma autónoma en la mayoría de los casos, lo que evitó apagones inmediatos.
Aun así, los riesgos que se derivan de estas intrusiones van más allá de un posible corte puntual. Al interferir con el flujo de información y con la posición que ocupan unidades distribuidas en el balance de carga, un atacante podría provocar desviaciones de frecuencia en el sistema eléctrico. Esas oscilaciones, si alcanzaran ciertos umbrales y se combinaran con fallos en otros puntos de la red, desencadenan efectos en cascada que la propia comunidad energética sabe que pueden ser catastróficos. Los analistas han recordado precedentes recientes en los que variaciones de frecuencia contribuyeron a colapsos regionales, y por eso subrayan la peligrosidad de objetivos aparentemente "pequeños" cuando actúan de forma coordinada.
La investigación ha mostrado además problemas recurrentes que facilitaron la intrusión: equipos expuestos a Internet sin las protecciones adecuadas, configuraciones por defecto o mal endurecidas, ausencia de segmentación efectiva entre redes corporativas y OT, y carencia de copias fiables de la configuración de dispositivos críticos. Estos factores no son novedosos, pero en combinación con herramientas destructivas y una planificación dirigida convierten instalaciones descentralizadas en blancos muy vulnerables.
Desde una perspectiva práctica, la lección es clara: las redes de energía contemporáneas, cada vez más distribuidas por el crecimiento de renovables y unidades modulares, requieren una ciberprotección adaptada que incluya inventarios precisos de activos, copias seguras de configuraciones, segmentación robusta, gestión de accesos y monitorización continua que contemple tanto la telemetría OT como la telemetría IT. Agencias y organismos que trabajan en este ámbito, como la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos, ofrecen guías y recursos sobre buenas prácticas para sistemas de control industrial (CISA — ICS), y en Europa la Agencia de la Unión para la Ciberseguridad publica recomendaciones específicas para el sector energético (ENISA).
También hay una dimensión geopolítica: cuando ataques de este tipo se producen en momentos y condiciones que pueden afectar a la población civil —por ejemplo, en invierno—, el impacto potencial trasciende lo técnico y entra en el terreno de la seguridad nacional y humanitaria. Por eso las investigaciones no solo buscan remediar sistemas, sino entender motivaciones, tácticas y cadenas de compromisos para prevenir nuevas campañas.
En definitiva, el episodio polaco es un recordatorio incómodo: la transición hacia redes más verdes y distribuidas trae beneficios ambientales y de resiliencia, pero también expone nuevos vectores de riesgo si no se incorporan medidas de ciberseguridad desde el diseño. Proteger la electricidad del futuro exige tanto inversión tecnológica como cambios en la gestión operacional y una mayor cooperación entre operadores, fabricantes y autoridades.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...