A finales de diciembre de 2025, un ataque dirigido contra la infraestructura energética de Polonia dejó claro que la guerra en el ciberespacio sigue escalando más allá de los hornos y los misiles: la ofensiva fue vinculada con Sandworm, el grupo de ciberataques asociado a los servicios rusos que ha demostrado durante años su capacidad para causar daños físicos y logísticos mediante software malicioso.
Sandworm —también rastreado por algunos analistas como UAC-0113, APT44 o Seashell Blizzard— es un colectivo que la comunidad de inteligencia y varias firmas de seguridad asocian con la unidad militar rusa conocida como 74455 del GRU. Desde su irrupción pública en 2009 ha protagonizado campañas disruptivas y, en ocasiones, deliberadamente destructivas contra objetivos civiles y estatales. Su historial incluye el sabotaje al suministro eléctrico en Ucrania hace una década, un incidente que dejó sin electricidad a cientos de miles de personas y que marcó un antes y después en la percepción del riesgo sobre sistemas de control industrial.
En el caso polaco, las autoridades apuntaron que las acciones se concentraron en dos plantas de cogeneración y en un sistema de gestión de energía renovable, encargado de coordinar recursos como parques eólicos y fotovoltaicos. Fuentes oficiales señalaron que «todo apunta» a la implicación de actores vinculados a los servicios rusos; la declaración del Gobierno polaco recoge la gravedad del ataque y las medidas adoptadas para contenerlo y proteger las redes afectadas. Puede consultarse el comunicado oficial en la web del Gobierno polaco: Poland stops cyberattacks on energy infrastructure.
Los analistas de la firma ESET atribuyeron la campaña a Sandworm y señalaron el uso de un nuevo programa borrador de datos bautizado por la industria como DynoWiper. Los llamados «wipers» son herramientas diseñadas para recorrer sistemas de archivos y eliminar información de forma masiva; su ejecución no solo destruye datos, sino que suele dejar el sistema operativo inservible, forzando recuperaciones completas desde copias de seguridad o reinstalaciones. ESET identifica a DynoWiper con la detección Win32/KillFiles.NMO y ha publicado un hash SHA‑1 asociado, lo cual ayuda a los equipos de respuesta a comparar artefactos; la página principal de ESET ofrece contexto sobre sus análisis: ESET.
La muestra concreta de este borrador no ha aparecido aun en los repositorios públicos habituales, según reportes de investigación periodística. Sitios de envío de malware como VirusTotal, Any.Run o Triage no muestran, al menos públicamente, una muestra indexada de DynoWiper relacionada con este incidente, un detalle que complica el análisis abierto y la verificación independiente por parte de la comunidad técnica; BleepingComputer ha cubierto estas limitaciones en su seguimiento de la noticia: BleepingComputer.
La sombra de la experiencia previa en Europa del Este hace que esta operación sea especialmente inquietante. En diciembre de 2015 Sandworm fue responsabilizado por un ataque que dejó sin electricidad a cerca de 230.000 consumidores en Ucrania, un precedente que demostró que el riesgo no es ya teórico: el ciberataque puede traducirse en apagones y en interrupciones de servicios esenciales. Esa lección subraya por qué los servicios críticos deben priorizar la resiliencia, desde estrategias de segmentación de redes hasta planes de recuperación validos y copias de seguridad desconectadas.
Más allá de la atribución y la firma del malware, una de las preguntas técnicas que queda por responder es cuánto tiempo permanecieron los atacantes dentro de los entornos comprometidos antes de activar el borrador y cuál fue la vía de intrusión inicial: explotación de vulnerabilidades, correos de spear‑phishing, acceso a través de cuentas con credenciales robadas o movimientos laterales a partir de una brecha independiente son escenarios plausibles. Para los equipos de seguridad que buscan reforzar defensas, los expertos recomiendan revisar investigaciones recientes sobre la actividad de Sandworm y sus subgrupos; Microsoft publicó en febrero de 2025 un informe exhaustivo sobre campañas relacionadas que puede servir como guía para identificar indicadores de compromiso y tácticas relevantes: Microsoft: The BadPilot campaign.
En 2025, los analistas ya habían seguido atribuciones de Sandworm hacia incidentes destructivos en Ucrania que afectaron a sectores como la educación, la administración pública y la logística agraria en diferentes momentos del año. Esa continuidad operacional muestra un patrón de repetición y evolución en las herramientas, desde fácilmente recuperables hacia variantes más agresivas o más difíciles de analizar públicamente, lo que encarece la labor de mitigación y responsabilización internacional.
El episodio polaco vuelve a colocar sobre la mesa cuestiones políticas y técnicas simultáneamente. En el plano político, la vinculación de un ataque a un actor estatal plantea preguntas sobre la respuesta multilateral y la disuasión en el plano cibernético. En el plano técnico, recuerda tres prioridades prácticas: comprobar y ensayar las copias de seguridad para asegurarse de que son recuperables; endurecer la segmentación y el acceso en redes de control industrial para minimizar movimientos laterales; y ampliar la visibilidad de telemetría para detectar actividades inusuales antes de que se transformen en destrucción masiva de datos.
Para responsables de seguridad y operadores de infraestructuras críticas la conclusión es contundente: las amenazas son persistentes, sofisticadas y, en manos de actores con capacidad estatal, no se limitan a espionaje o exfiltración, sino que pueden convertirse en ataques que paralicen servicios. La combinación de inteligencia compartida, respuesta coordinada entre empresas y estados, y medidas técnicas robustas es la mejor defensa practicable hoy. Aquellos interesados en profundizar en tácticas, técnicas e indicadores asociados a Sandworm tienen en los análisis de empresas de ciberseguridad y en los informes públicos de grandes fabricantes una base para actualizar protocolos y detecciones; además del informe de Microsoft ya mencionado, seguir a los centros de respuesta nacional y a los laboratorios privados permite mantenerse al día y compartir lecciones en tiempo real.
La historia del ataque a Polonia no es solo una nota más en la prensa de seguridad: es un recordatorio de que las infraestructuras modernas, especialmente las que integran generación distribuida y sistemas de gestión en la nube o locales, requieren una vigilancia constante y una cooperación entre sectores. En un mundo donde el ciberconflicto traspasa fronteras, la resiliencia de los servicios esenciales es una responsabilidad colectiva que no admite postergaciones.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...