A finales de 2025 y principios de 2026 investigadores en ciberseguridad han identificado un malware destructivo hasta ahora no documentado que fue empleado en una serie de ataques dirigidos contra el sector energético y de servicios públicos en Venezuela. El artefacto, bautizado por los análisis como Lotus Wiper, no busca extorsión: su diseño apunta a dejar sistemas inutilizables al eliminar mecanismos de recuperación y sobrescribir tanto archivos como sectores físicos del disco.
Según la investigación publicada por la firma que lo rastreó, la campaña combina scripts por lotes con un ejecutable final que actúa como borrador masivo de datos. Los scripts iniciales se encargan de coordinar el inicio de la acción a través de la red, degradar defensas locales y preparar el terreno para la ejecución del wiper. Entre las operaciones preparatorias se encuentran detener servicios específicos del sistema, comprobar y recuperar ficheros desde recursos compartidos de dominio, y ejecutar comandos nativos de Windows tanto para borrar volúmenes como para forzar el llenado del almacenamiento y así dificultar cualquier recuperación.
Un detalle técnico relevante es que el código intenta interactuar con la detección de servicios interactivos de Windows (conocida como UI0Detect). Esa funcionalidad fue eliminada en versiones modernas del sistema operativo, lo que sugiere que el script fue concebido para máquinas anteriores a Windows 10 versión 1803. Esa pista, sumada al uso de comprobaciones sobre la compartición NETLOGON típica de dominios Active Directory, indica que los atacantes conocían la topología y antigüedad del entorno objetivo y muy probablemente habían obtenido persistencia en el dominio con suficiente antelación.
En la cadena de ataque se incorpora la ejecución de utilidades legítimas del propio sistema para lograr la destrucción. Herramientas como DISKPART (con la operación "clean all"), ROBOCOPY y FSUTIL son aprovechadas para limpiar discos, sobrescribir ficheros y consumir el espacio libre hasta dejar el volumen sin capacidad para operar correctamente. El wiper posterior completa el trabajo eliminando puntos de restauración, escribiendo ceros en sectores físicos y reseteando registros como el USN journal de los volúmenes, con lo que deja el sistema en un estado desde el que resulta muy difícil recuperar datos sin copias de seguridad limpias.
La muestra analizada fue compilada en septiembre de 2025 y, según registros públicos, fue subida a una plataforma accesible desde una máquina en Venezuela en diciembre de 2025, semanas antes de que se registrara una acción militar estadounidense en el país a comienzos de enero de 2026. Los investigadores señalan la coincidencia temporal pero evitan establecer una relación directa sin más evidencia, aunque remarcan que la subida se produjo en un periodo con un incremento de informes públicos sobre actividad maliciosa contra el mismo sector y región.
Para responsables de seguridad y administradores esto plantea una serie de puntos de atención prácticos. En primer lugar, la observación de cambios en comparticiones NETLOGON, accesos anómalos al controlador de dominio o señales de escalada de privilegios deben ser tratadas con máxima prioridad. Igualmente, el uso inusual de utilidades nativas como diskpart, robocopy o fsutil en servidores y estaciones de trabajo sensibles es un indicador de compromiso que merece investigación inmediata.
Además de la detección, la mitigación requiere medidas preventivas clásicas pero efectivas: segmentación de redes para limitar el alcance de un dominio comprometido, principios de privilegio mínimo, endurecimiento de controladores de dominio y políticas de acceso para recursos críticos. Contar con copias de seguridad aisladas, verificadas y con pruebas de restauración periódicas puede marcar la diferencia frente a un wiper que borre tanto los datos como los puntos de recuperación locales. Las guías y herramientas públicas para respuesta frente a ataques destructivos y ransomware ofrecen buenos marcos de actuación; por ejemplo, las recomendaciones de las autoridades para protegerse contra el ransomware y ataques similares contienen medidas aplicables en estos casos: CISA – StopRansomware.
Para investigadores y equipos de detección, conservar evidencia y logs antes de limpiar sistemas es esencial para entender vectores y alcance. Registrar y correlacionar actividad en controladores de dominio, eventos de PowerShell, llamadas a APIs críticas y comandos del sistema ayuda a reconstruir la intrusión. Los proveedores de seguridad suelen publicar indicadores y tácticas, técnicas y procedimientos (TTP) tras investigar incidentes de este tipo; en este caso, el informe que identificó el wiper proviene de una empresa de seguridad reconocida que analiza amenazas activas a nivel global: Kaspersky.
Por último, conviene recordar que los atacantes empleados en estas campañas no siempre responden a motivaciones económicas: la ausencia de demandas de rescate y la contundencia del borrado apuntan a objetivos de sabotaje o coerción. En entornos críticos como el energético, donde la disponibilidad es clave, la combinación de inteligencia, protección preventiva y preparación para la recuperación es la mejor defensa frente a herramientas tan agresivas como Lotus Wiper.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...