Hace poco se dio a conocer el hallazgo de un software malicioso de borrado masivo de datos que hasta ahora no había sido documentado públicamente y que, según los investigadores, se empleó en ataques dirigidos contra organizaciones del sector energético y de servicios en Venezuela. El análisis técnico, publicado por Kaspersky, muestra una operación en varias fases diseñada para dejar máquinas y servidores en un estado irreparable: primero se desactivan mecanismos de defensa y se sabotean las opciones de recuperación, y después llega la fase final, en la que el código destruye discos a bajo nivel.
Los detalles técnicos explicados por los analistas revelan una cadena de herramientas y scripts que actúan como preparación del terreno. Desde un primer script por lotes se neutralizan servicios de Windows y se realizan comprobaciones destinadas a coordinar la ejecución en equipos unidos a un dominio. Un segundo script amplía las acciones: enumera cuentas locales, fuerza cambios de contraseña para deshabilitarlas, cierra sesiones activas, corta interfaces de red y anula inicios de sesión almacenados, dificultando tanto la respuesta humana como la recuperación remota.
Además de estas acciones administrativas, los atacantes recurren a utilidades legítimas del sistema —herramientas que normalmente son usadas por administradores— para borrar y sobreescribir contenido: se invoca diskpart para ejecutar “clean all” y rellenar los sectores con ceros, se usa robocopy para sobrescribir archivos y se recurre a fsutil para crear ficheros que ocupen el espacio libre del disco, lo que complica aún más cualquier intento de restauración de datos. Kaspersky describe cómo, tras estas maniobras iniciales, el script descifra y lanza el ejecutable final del borrador, bautizado por los investigadores como Lotus. Puede leer el informe técnico en la publicación del propio laboratorio: Kaspersky Securelist sobre Lotus.
Lo que distingue a Lotus es que no se limita a borrar archivos a nivel de sistema de ficheros: opera a un nivel más profundo mediante llamadas IOCTL al disco físico, obtiene la geometría del disco, limpia entradas de diarios USN y elimina puntos de restauración. El componente de borrado sobreescribe sectores físicos completos —no solo volúmenes lógicos— y repite ciclos de eliminación y eliminación de puntos de restauración hasta dejar el dispositivo en un estado en el que las técnicas habituales de recuperación resultan ineficaces. En paralelo, el wiper eleva sus privilegios para asegurarse acceso administrativo pleno y aplica técnicas como renombrar archivos de forma aleatoria y sobreescribir su contenido con ceros antes de borrarlos o programar su eliminación en el arranque si están bloqueados.
El patrón operativo que describen los expertos dibuja una campaña dirigida y calculada: el binario de Lotus fue subido a una plataforma pública a mediados de diciembre desde una máquina ubicada en Venezuela, y su comportamiento encaja con tácticas usadas en ataques destructivos anteriores, en los que la intención no es el rescate económico sino la eliminación irreversible de datos y la interrupción prolongada de servicios críticos.
Kaspersky apunta también al contexto: la aparición del malware coincide con un momento de alta tensión geopolítica en la región y con reportes mediáticos sobre incidentes que afectaron a infraestructuras energéticas en fechas cercanas. No obstante, los investigadores subrayan que no hay evidencias públicas que permitan atribuir de forma directa todos esos incidentes al uso de este wiper específico o que confirmen que organizaciones concretas sufrieron borrados totales por Lotus.
Desde el punto de vista de detección y respuesta, los indicadores que emergen del informe deben servir como prioridad para administradores y equipos de seguridad: cambios inusuales en la compartición NETLOGON, manipulación de servicios como UI0Detect, modificaciones masivas de cuentas de usuario, la desconexión o desactivación de interfaces de red y el uso inesperado y masivo de herramientas como diskpart, robocopy o fsutil suelen preceder a la detonación de la carga destructiva. Vigilar la telemetría de estas áreas y correlacionarla con otras señales de compromiso puede permitir detener la campaña antes de que se ejecute el borrado a bajo nivel.
En términos prácticos, las recomendaciones básicas no difieren de las buenas prácticas contra programas destructivos: mantener copias de seguridad offline y air-gapped, comprobar periódicamente que esas copias son restaurables, restringir el uso de cuentas con privilegios y auditar cambios en ellas, aplicar principios de mínimo privilegio en entornos productivos y desplegar detección avanzada que identifique uso abusivo de utilidades legítimas del sistema. Para guías operativas y recursos de defensa ante este tipo de amenazas, las agencias de seguridad y centros de respuesta han publicado recomendaciones abiertas que conviene revisar, como las recopiladas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA — StopRansomware).
El caso de Lotus recuerda que las amenazas destructivas siguen siendo una herramienta efectiva en conflictos cibernéticos y que la defensa exige una combinación de prevención técnica, buenas prácticas administrativas y preparación operativa. Los equipos encargados de infraestructuras críticas deben priorizar la visibilidad sobre cambios en el entorno y la conservación segura de copias de datos, porque una vez que un wiper que actúa a nivel físico comienza a operar, las opciones de recuperación se reducen drásticamente.
Si quiere profundizar en el análisis técnico y en los indicadores de compromiso que Kaspersky publicó, puede consultar el informe original en su blog: Kaspersky — Lotus wiper. Para medidas generales de preparación y respuesta ante ransomware y wipers, los recursos de CISA son un buen punto de partida: https://www.cisa.gov/stopransomware.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...