VARSOVIA, 24 de enero de 2026, 14:24 (CET)
- ESET vincula los ciberataques de finales de diciembre a la red eléctrica de Polonia con el grupo Sandworm respaldado por Rusia, aunque no se produjeron interrupciones
- Según el gobierno polaco, dos plantas de cogeneración y sistemas de gestión de energías renovables fueron atacados
- Las autoridades dicen que se están redactando normas de ciberseguridad más estrictas tras el intento de ataque
La empresa de ciberseguridad ESET ha señalado a hackers vinculados a la inteligencia militar rusa como la probable fuente de los ciberataques dirigidos a la red eléctrica de Polonia a finales de diciembre. Los intrusos intentaron desplegar un malware borrador de datos conocido como DynoWiper, aunque su intento parece haber fracasado. La Embajada de Rusia en Washington no ha respondido a las solicitudes de comentarios. 1
El descubrimiento pone el foco en un incidente que las autoridades polacas ahora consideran una amenaza seria para la seguridad energética del país. El enfoque ha pasado del robo de datos a la posible interrupción. Este desarrollo llega mientras Varsovia aboga por normas cibernéticas más estrictas dirigidas a la infraestructura crítica.
TechCrunch calificó a DynoWiper como un malware “wiper” diseñado para borrar datos e inutilizar computadoras. 2
El primer ministro de Polonia dijo que los ataques del 29 y 30 de diciembre afectaron a dos plantas de cogeneración—estas instalaciones producen tanto electricidad como calor—y también apuntaron a un sistema que gestiona la energía de renovables como turbinas eólicas y parques solares. Donald Tusk afirmó que “todo indica” que la operación fue llevada a cabo por grupos “directamente vinculados a los servicios rusos.” 3
Tusk dijo que las defensas de Polonia se mantuvieron sólidas, subrayando que “en ningún momento se vio amenazada la infraestructura crítica.” Confirmó que ordenó a los ministros y servicios especiales trabajar a plena capacidad y señaló próximos pasos, incluyendo un proyecto de ley para un sistema nacional de ciberseguridad.
ESET vinculó el ataque a Sandworm con “confianza media”, citando su análisis tanto del malware como de los métodos de los atacantes. La empresa también señaló: “No tenemos conocimiento de ninguna interrupción exitosa como resultado de este ataque.” DynoWiper es un wiper—un tipo de malware que borra o sobrescribe datos para inutilizar las máquinas. 4
El ministro de Energía, Milosz Motyka, dijo a los periodistas a principios de este mes que las unidades de defensa cibernética de Polonia detectaron “el ataque más fuerte a la infraestructura energética en años.” La brecha afectó los enlaces de comunicación entre las instalaciones de energía renovable y los operadores de distribución eléctrica. 5
Robert Lipovsky, investigador principal de inteligencia de amenazas en ESET, calificó la operación como “sin precedentes” para Polonia, señalando que los ciberataques anteriores no habían tenido como objetivo la interrupción. “Llevar a cabo un ciberataque disruptivo contra el sector energético polaco es algo importante”, le dijo a la periodista Kim Zetter. 6
Sandworm, infame por sus operaciones destructivas, ha sido vinculado por funcionarios y expertos occidentales a ataques contra la infraestructura eléctrica de Ucrania, incluido un apagón provocado por malware hace una década. Ese evento de finales de diciembre en Polonia ha llamado la atención dado este antecedente.
La nueva ley cibernética de Polonia apunta a reglas más estrictas de gestión de riesgos y respuesta a incidentes tanto para redes de TI como para tecnología operativa—los sistemas de control industrial que gestionan plantas de energía e infraestructura de la red eléctrica.
La atribución cibernética rara vez produce pruebas aptas para un tribunal, y los hallazgos de ESET se basan en similitudes de código y tácticas en lugar de una admisión formal. La investigación sobre el daño intencionado continúa, y las autoridades polacas no han revelado cómo ocurrió la brecha—dejando abierta la posibilidad de otro ataque usando técnicas diferentes.
El incidente de diciembre no causó un apagón—al menos, no esta vez. Aun así, muestra cuán rápido el malware borrador de datos puede saltar de los sistemas de TI directamente a la red eléctrica. Los operadores energéticos ahora se están preparando para el ataque que realmente temen: el próximo.
