Autoridades y expertos en ciberseguridad señalan que un ataque con un malware destructor dirigido a la red eléctrica polaca, atribuido al grupo ruso Sandworm, fue frustrado a fines de diciembre, marcando uno de los episodios más serios contra infraestructura crítica en años.
El ciberataque dirigido a la infraestructura energética de Polonia a fines de diciembre de 2025 -y que ya mencionáramos en este blog- fue recientemente atribuido por investigadores de seguridad a un grupo cibercrimal vinculado al Estado ruso conocido como Sandworm, según informes basados en análisis técnicos y declaraciones oficiales. El incidente, que involucró un malware diseñado para destruir datos, se produjo en lo que las autoridades del país describieron como uno de los ataques más potentes contra la red eléctrica nacional en años, aunque las defensas lograron evitar interrupciones significativas del servicio.
La firma de ciberseguridad ESET Research informó que el ataque utilizó un nuevo tipo de malware de borrado de datos, al que han llamado DynoWiper, clasificado por sus soluciones de seguridad como Win32/KillFiles.NMO. Según los especialistas, este software malicioso está diseñado para borrar archivos y dejar sistemas inutilizables si se ejecuta con éxito, evidenciando una intención destructiva más allá de la mera intrusión digital.
Aunque los detalles sobre el alcance técnico de la intrusión aún están bajo investigación, ESET indicó que hay una fuerte superposición técnica con campañas previas del grupo Sandworm, una unidad de guerra cibernética asociada con la inteligencia militar rusa (GRU), responsable de ataques disruptivos en el pasado. Por este motivo, los analistas atribuyen con “confianza media” la autoría de este intento a Sandworm.
El entorno y la cronología del ataque también llamaron la atención, porque la operación se realizó casi exactamente diez años después del histórico ciberataque de Sandworm contra la red eléctrica de Ucrania en diciembre de 2015, que provocó apagones en la región de Ivano-Frankivsk. Este precedente subraya la persistente focalización de la infraestructura energética por parte de esta amenaza avanzada.
Las autoridades polacas informaron que el ataque ocurrió entre el 29 y 30 de diciembre de 2025 y se concentró en dos plantas combinadas de calor y energía, así como en sistemas de gestión de energía renovable como parques eólicos y fotovoltaicos. El ministro de Energía del país calificó el incidente como el “más fuerte” que se había enfrentado en años y señaló que pudo haber afectado a cientos de miles de hogares, aunque las defensas internas impidieron que se produjera un apagón generalizado.
La respuesta polaca al ciberataque ha incluido no solo la contención técnica, sino también el impulso a nuevas medidas de ciberseguridad y legislación reforzada para proteger las infraestructuras críticas ante amenazas cada vez más sofisticadas y persistentes.