En los últimos días de diciembre de 2025, Polonia sufrió lo que las autoridades describen como el intento más ambicioso de desestabilización cibernética contra su sistema eléctrico en años. Aunque el ataque no logró interrumpir el suministro, el episodio ha encendido las alarmas sobre la sofisticación y la persistencia de los actores que apuntan a infraestructuras críticas.
Según el gobierno polaco y la investigación publicada por la empresa eslovaca ESET, la operación fue atribuida al grupo de hacking vinculado al Estado ruso conocido como Sandworm. Los analistas de ESET identificaron en esa campaña un malware de borrado de datos hasta ahora no documentado, al que denominaron DynoWiper, y observaron coincidencias técnicas con otras herramientas destructivas utilizadas por el mismo actor en el pasado. Puedes leer el informe técnico de ESET aquí: ESET — investigación sobre el ataque a la red eléctrica polaca.
El ministro de Energía de Polonia, Miłosz Motyka, informó que, pese a la magnitud del intento, las defensas evitaron un daño operativo significativo. Los ataques, que tuvieron lugar entre el 29 y 30 de diciembre de 2025, estuvieron dirigidos a dos plantas de cogeneración (CHP) y a un sistema encargado de la gestión de energía procedente de renovables como parques eólicos y solares. El relato oficial del gobierno y las medidas anunciadas pueden consultarse en el comunicado de la oficina del primer ministro: Gobierno de Polonia — respuesta a los ciberataques.
La atribución a Sandworm, según los expertos, no se basa en una sola coincidencia, sino en una serie de solapamientos en técnicas, herramientas y procedimientos que recuerdan a campañas previas atribuidas a ese colectivo, responsable en 2015 de un ataque que dejó sin electricidad a parte de la región de Ivano-Frankivsk en Ucrania. Ese precedente, que combinó el troyano BlackEnergy con el wiper KillDisk, sigue siendo una referencia incómoda sobre lo que pueden provocar estas operaciones cuando llegan a su objetivo: análisis del aniversario del apagón en Ucrania.
Es importante entender qué hace un "wiper" o malware de borrado de datos: a diferencia de un ransomware, cuyo objetivo suele ser cifrar datos para pedir rescate, un wiper busca dañar o eliminar información de forma irreversible y, a menudo, borrar rastros forenses. Los wipers están diseñados para causar daño, no para lucrarse, y cuando se emplean contra sistemas de control industrial (OT) pueden afectar desde la disponibilidad de servicios hasta la capacidad para recuperar operaciones normales sin recurrir a copias de seguridad intactas.
La campaña de finales de 2025 encaja en una tendencia observada durante el año, en la que actores como Sandworm han probado variantes y familias de malware destructivo con objetivo en sectores como energía, transporte, logística y administración pública. En junio de 2025, por ejemplo, investigadores de Cisco Talos informaron sobre la aparición de un wiper denominado PathWiper que afectó a una entidad de infraestructura crítica en Ucrania, y otros informes han documentado variantes como ZEROLOT y Sting en ataques dirigidos a redes universitarias y sectores clave durante el mismo período. Para quien quiera profundizar en el trabajo de Talos y sus alertas, el blog de Cisco Talos es un buen punto de partida: Cisco Talos — blog.
Frente a esta realidad, las autoridades polacas han anunciado refuerzos legales y técnicos. El primer ministro Donald Tusk ha señalado la necesidad de endurecer normas sobre gestión de riesgos, protección tanto de sistemas IT como OT, y protocolos de respuesta a incidentes, medidas que pretenden elevar la resiliencia frente a próximas campañas. Reuters cubrió la declaración del ministro y el diagnóstico sobre el intento fallido: Reuters — cobertura del incidente.
Para las empresas y operadores de infraestructuras, este tipo de ataques ofrece varias lecciones prácticas. Mantener segmentadas las redes OT y IT, validar y proteger las copias de seguridad (preferiblemente con réplicas air-gapped), implementar detección temprana basada en comportamiento y enriquecer la inteligencia de amenazas con indicadores de campañas previas son medidas que pueden marcar la diferencia entre una recuperación rápida y una crisis prolongada. La cooperación internacional y el intercambio de inteligencia entre empresas de ciberseguridad y gobiernos también resultan críticos, porque los adversarios no respetan fronteras y a menudo reutilizan herramientas y tácticas conocidas.
Más allá de la técnica, el episodio polaco subraya una cuestión geopolítica: cuando se atribuyen operaciones a grupos con vínculos estatales, las respuestas no son únicamente técnicas sino también diplomáticas y estratégicas. Sanciones, acusaciones públicas y refuerzos defensivos suelen formar parte del repertorio, pero la prevención a largo plazo exige inversión constante en talento, infraestructura y políticas públicas que eleven el umbral de disuasión.
En definitiva, lo sucedido en Polonia a finales de diciembre de 2025 es un recordatorio de que las redes eléctricas y los sistemas que gestionan la transición energética son objetivos atractivos para actores con capacidades sofisticadas. No bastan defensas reactivas: hacen falta estrategias integrales, actualizadas y coordinadas para proteger lo que, hoy más que nunca, se ha convertido en infraestructura crítica para la vida cotidiana y la seguridad colectiva.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...