Al grupo de hackers ruso Sandworm se le atribuye el “mayor ciberataque” a la red eléctrica polaca en la última semana de diciembre de 2025.
El ataque no tuvo éxito, afirmó la semana pasada el ministro de Energía del país, Milosz Motyka.
“El Comando de las Fuerzas del Ciberespacio diagnosticó en los últimos días del año el ataque más fuerte a la infraestructura energética en años”, dijo Motyka.
Según un nuevo informe de ESET, el ataque fue obra de Sandworm, que implementó un malware de limpieza previamente indocumentado con nombre en código DynoWiper. Los vínculos con Sandworm se basan en superposiciones con actividades anteriores de Wiper relacionadas con el adversario, particularmente después de la invasión militar rusa de Ucrania en febrero de 2022.
La empresa eslovaca de ciberseguridad, que identificó el uso del limpiador como parte del intento de ataque de interferencia en el sector energético polaco el 29 de diciembre de 2025, afirmó que no había pruebas de una interferencia exitosa.
Según el gobierno polaco, los ataques del 29 y 30 de diciembre de 2025 estaban dirigidos a dos plantas de cogeneración (CHP), así como a un sistema que permite la gestión de la electricidad procedente de fuentes de energía renovables, como turbinas eólicas y parques fotovoltaicos.
“Todo indica que estos ataques fueron preparados por grupos directamente relacionados con los servicios rusos”, dijo el primer ministro Donald Tusk, añadiendo que el gobierno está preparando medidas de protección adicionales, incluida una ley clave de ciberseguridad que impondrá requisitos estrictos en materia de gestión de riesgos, protección de los sistemas de tecnología de la información (TI) y tecnología operativa (OT), y respuesta a incidentes.
Vale la pena señalar que la actividad ocurrió en el décimo aniversario del ataque Sandworm a la red eléctrica de Ucrania en diciembre de 2015, que condujo al despliegue del malware BlackEnergy y sumió en la oscuridad partes de la región ucraniana de Ivano-Frankivsk.
El troyano, que entregaba un malware de limpieza llamado KillDisk, provocó un corte de energía de cuatro a seis horas para aproximadamente 230.000 personas.
“Sandworm tiene una larga historia de ciberataques disruptivos, particularmente en la infraestructura crítica de Ucrania”, dijo ESET. “Una década después, Sandworm sigue apuntando a empresas que operan en diversos sectores de infraestructura crítica”.
En junio de 2025, Cisco Talos anunció que una unidad de infraestructura crítica en Ucrania fue atacada por un malware de borrado de datos previamente desconocido llamado PathWiper, que tiene cierta superposición funcional con HermeticWiper de Sandworm.
También se observó que el grupo de hackers ruso implementaba malware de borrado de datos como ZEROLOT y Sting en una red universitaria ucraniana y posteriormente desplegó múltiples variantes de malware de borrado de datos contra empresas ucranianas que operaban en los sectores gubernamental, energético, logístico y de cereales entre junio y septiembre de 2025.
About The Author
