A finales de diciembre de 2025 se detectó una operación maliciosa que, aunque no provocó cortes masivos de suministro, dejó una marca preocupante en la evolución de la ciberseguridad industrial: múltiples instalaciones de generación distribuida en la red eléctrica polaca fueron atacadas y, en varios casos, algunos equipos quedaron inutilizables. Según el análisis publicado por la firma especialista en seguridad OT Dragos, la campaña —calificada con confianza media— se atribuye a un grupo vinculado al Estado ruso conocido como ELECTRUM, que habría trabajado en tándem con una agrupación complementaria llamada KAMACITE para facilitar acceso y ejecución en entornos industriales (informe de Dragos).
Lo que hace singular este episodio es el blanco elegido: recursos energéticos distribuidos (DERs), como instalaciones eólicas, solares y plantas de cogeneración (CHP). Estos activos, cada vez más presentes en redes modernizadas y descarbonizadas, no solo generan energía; también dependen de capas de comunicación y control que los conectan con operadores de red. La intrusión afectó sistemas de comunicación y control que median entre el operador y estos recursos, y en aproximadamente 30 emplazamientos los atacantes consiguieron degradar o destruir equipos críticos in situ, según Dragos (análisis más amplio de tácticas).
El modus operandi descrito combina dos fases bien diferenciadas. KAMACITE se ha centrado en abrir puertas: escaneos de dispositivos expuestos, spear-phishing, robo de credenciales y explotación de servicios visibles en internet para establecer presencia inicial. ELECTRUM, por su parte, actúa cuando esa presencia ya está afianzada para moverse entre redes IT y OT, desplegar herramientas específicas y, en ocasiones, manipular controladores industriales. Esta división de tareas permite mantener una ventana de exposición latente durante largos periodos, con la opción de ejecutar ataques destructivos cuando las condiciones lo permiten —una práctica que extiende el riesgo más allá del incidente puntual.
En términos técnicos, los atacantes habrían aprovechado dispositivos de red expuestos y vulnerabilidades para comprometer unidades terminales remotas (RTUs) y la infraestructura de comunicación. El daño descrito incluyó borrado de sistemas Windows para complicar la recuperación, reseteo de configuraciones y, en algunos casos, el intento de dejar equipos físicamente inservibles. Dragos subraya que la mayoría de los aparatos atacados estaban orientados a la monitorización de seguridad y estabilidad de la red, lo que aumenta la gravedad del suceso aun cuando no se llegasen a ejecutar comandos operativos directos contra las centrales.
Si bien no hay confirmación pública de que los atacantes intentaran controlar directamente procesos eléctricos —abrir o cerrar breakers, por ejemplo—, el simple hecho de poder interrumpir las comunicaciones y dejar fuera de servicio equipos de vigilancia ya complica significativamente la gestión de la red por parte de los operadores. El episodio deja claro que controlar la telemetría y la conectividad de los DERs es ahora un vector de riesgo con consecuencias reales para la resiliencia del sistema eléctrico.
Este caso también confirma una tendencia que los especialistas han señalado desde ataques anteriores: los adversarios con capacidades OT están cada vez más interesados en la infraestructura energética distribuida. Las lecciones del ataque a la red ucraniana en 2015 aún están presentes en la literatura técnica y en las recomendaciones operativas (análisis histórico de Dragos). Pero la diferencia actual es que la proliferación de DERs introduce multitud de puntos de conexión directa o indirecta con la red, lo que amplía la superficie de ataque.
¿Qué puede extraer la industria de este incidente? En primer lugar, que la visibilidad y el control over las comunicaciones entre operadores y activos distribuidos deben fortalecerse; tener inventarios actualizados de dispositivos, identificar qué servicios están expuestos a internet y aplicar segmentación real entre entornos IT y OT deja de ser una recomendación para convertirse en requisito operativo. En segundo lugar, medidas clásicas como la autenticación multifactor, la reducción de credenciales compartidas y la higiene de parches para dispositivos conectados siguen siendo efectivas si se implantan con rigor. En este sentido, las guías de organismos como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. son un buen punto de partida para operadores que necesiten priorizar acciones (recursos de CISA sobre ICS) y las recomendaciones técnicas detalladas de NIST ofrecen marcos prácticos para proteger sistemas de control (NIST SP 800-82).
También hay una dimensión organizativa: la respuesta a este tipo de riesgos exige una coordinación estrecha entre equipos de seguridad IT y responsables OT, planes de recuperación que consideren la reparación o sustitución de dispositivos especializados y ejercicios de simulación que contemplen la pérdida de telemetría de los DERs. Además, la cadena de suministro —firmware, dispositivos de comunicación, servicios de OEM— debe someterse a controles más estrictos para reducir la posibilidad de puertas traseras o componentes comprometidos.
Finalmente, conviene no confundir la ausencia de apagones con la inexistencia de daño. Un ataque que no provoca cortes visibles puede igualmente destruir activos, aumentar costes de reposición, y dejar a una red en una situación de riesgo elevada durante la recomposición de la infraestructura. La industria energética entra en una nueva fase en la que la modernización y la digitalización deben ir de la mano de una ciberseguridad diseñada específicamente para entornos industriales, no adaptada desde el mundo corporativo IT.
Para quienes quieran profundizar, el informe detallado de Dragos sobre el ataque en Polonia y su informe más amplio sobre la actividad de ELECTRUM y KAMACITE aportan detalles técnicos y cronologías que ayudan a comprender la escala y la sofisticación de estas operaciones (informe del ataque, reporte sobre tradecraft). Mantener la guardia alta, invertir en detección especializada y reforzar la colaboración entre operadores y autoridades será clave para evitar que incidentes como este se traduzcan en interrupciones mayores en el futuro.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...