El 29 de diciembre de 2025 quedó marcado por una operación coordinada contra la infraestructura energética polaca que afectó a más de treinta instalaciones renovables —parques eólicos y fotovoltaicos—, una empresa del sector manufacturero y una gran central de cogeneración que suministra calefacción a cientos de miles de hogares. La notificación pública más detallada vino de CERT Polska, que describe un ataque pensado para causar daño a los entornos operativos y deja sobre la mesa preguntas sobre las defensas que protegen redes críticas.
En cuanto a la autoría, el informe de CERT Polska atribuye la campaña a un conjunto de amenazas al que llaman Static Tundra, agrupado históricamente con apelativos como Berserk Bear o Energetic Bear y relacionado en su análisis con la unidad 16 del FSB ruso. Otros análisis públicos han señalado vínculos con otro actor estatal ruso identificado como Sandworm; firmas de ciberseguridad como ESET y Dragos han publicado investigaciones que, con distintos niveles de confianza, trazan conexiones técnicas y tácticas a ese grupo. Este tipo de divergencias no es inusual en atribuciones complejas: los solapamientos en herramientas, patrones y objetivos permiten hipótesis distintas pero raramente ofrecen conclusiones unívocas.
Los atacantes lograron penetrar redes asociadas a subestaciones y a sistemas de control industrial. En varios casos accedieron a ordenadores HMI (interfaz hombre‑máquina) de fabricantes como Mikronika, y a redes corporativas que abastecen los entornos OT. CERT Polska describe actividades de reconocimiento profundo, manipulación de firmware en controladores y la implantación de malware destructor, mientras que en la central de cogeneración los intrusos mantuvieron presencia desde marzo de 2025 para sustraer información que les permitió escalar privilegios y moverse lateralmente dentro de la red.
El componente destructivo más destacado se ha identificado bajo el nombre DynoWiper, un borrador de software malicioso que se ha encontrado en varias variantes. Su modo de operación, según el análisis, es relativamente directo: el código inicializa un generador de números pseudoaleatorios basado en el algoritmo Mersenne Twister, recorre sistemas de archivos para corromper ficheros y elimina información, pero sin integrar mecanismos sofisticados de persistencia, comando y control o técnicas avanzadas de ofuscación. En paralelo, en la intrusión contra la compañía manufacturera se detectó un borrador desarrollado en PowerShell apodado LazyWiper que sobreescribe archivos con secuencias pseudoaleatorias de 32 bytes; los investigadores sospechan que la lógica de borrado pudo haber sido asistida por un modelo de lenguaje.
La distribución y el vector inicial utilizado en varios de los incidentes revela una debilidad recurrente: dispositivos perimetrales FortiGate con configuraciones vulnerables y portales SSL‑VPN expuestos proporcionaron un punto de entrada. CERT Polska apunta que las cuentas con las que se accedió estaban definidas de forma estática en la configuración, sin autenticación de dos factores, y que las conexiones provinieron tanto de nodos Tor como de infraestructuras comprometidas de distintos países. Estos hallazgos subrayan una combinación de fallos en el parcheado, configuraciones inseguras y carencias en el fortalecimiento de accesos remotos; Fortinet mantiene un canal público para avisos y parches que conviene revisar periódicamente en su sitio de seguridad (Fortinet Product Security).
Otro aspecto preocupante fue la reutilización de credenciales y la escalada desde entornos locales a servicios en la nube. Tras identificar cuentas sincronizadas con Microsoft 365, los atacantes descargaron información de Exchange, Teams y SharePoint; entre los objetivos de interés figuraban documentos y correos relacionados con la modernización de redes OT y sistemas SCADA. Esa combinación de ataque local más exfiltración cloud demuestra por qué es imprescindible proteger las identidades y el acceso en ambos dominios: en la práctica, comprometer una VPN o un controlador de dominio puede abrir la puerta a datos en la nube si no hay controles adicionales. Microsoft ofrece recomendaciones sobre cómo desplegar autenticación multifactor y proteger identidades en Azure AD (Guía MFA de Microsoft).
Desde la perspectiva operacional, los resultados fueron mixtos: las interrupciones en parques renovables afectaron las comunicaciones con el operador de la red, pero no impidieron la generación de electricidad; los intentos de cortar el suministro de calor desde la central de cogeneración no lograron su objetivo final, según CERT Polska. Sin embargo, el daño material y la tensión sobre la resiliencia del sistema son reales: la modificación de firmware, la destrucción de ficheros y la pérdida temporal de visibilidad complican la gestión y la recuperación, y elevan el riesgo de consecuencias más graves en futuros incidentes.
Las lecciones técnicas salen claras: asegurar dispositivos perimetrales y portales VPN con los parches y configuraciones adecuadas, imponer autenticación multifactor para accesos administrativos, minimizar cuentas y contraseñas embebidas en configuraciones, segmentar redes OT y TI para limitar movimientos laterales, y mantener copias de seguridad offline que permitan restauraciones tras ataques de borrado. Además, la detección temprana y la respuesta coordinada entre operadores, fabricantes y autoridades son críticas; agencias como la CISA publican guías y avisos sobre prácticas de seguridad en sistemas industriales que resultan útiles para operadores de infraestructuras críticas.
También hay que reflexionar sobre la naturaleza cambiante de las herramientas maliciosas. Los borradores observados carecían de funciones de mando y control sofisticadas, lo que no resta peligro: un código simple, bien dirigido y ejecutado en el momento oportuno puede causar grandes daños. Al mismo tiempo, la posible asistencia de modelos de lenguaje en la generación de módulos de borrado señala un nuevo vector de aceleración en la capacidad técnica de atacantes con recursos moderados.
En última instancia, este incidente en Polonia recuerda que la seguridad del suministro energético depende tanto de la robustez del software y el hardware como de prácticas básicas de ciberhigiene y cooperación internacional. La transparencia en los informes públicos, la divulgación de indicadores de compromiso y la colaboración entre el sector privado y las agencias de respuesta son factores que aumentan la capacidad de defensa colectiva. Para quien gestiona infraestructuras críticas, la recomendación subyacente es clara: anticipar, parchear, segmentar y auditar constantemente, y hacerlo en coordinación con los organismos nacionales y los proveedores de seguridad.
Para profundizar en los análisis técnicos y en los comunicados oficiales puede consultarse el informe de CERT Polska, las investigaciones y boletines de firmas de ciberseguridad como ESET y los recursos sectoriales de Dragos, además de las páginas de asesoramiento de fabricantes y agencias como Fortinet, CISA y la documentación sobre protección de identidades de Microsoft. La seguridad del entorno energético no es un problema de un solo día: exige inversión sostenida y vigilancia permanente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...