Investigadores identificaron un nuevo malware identificado como Lotus Wiper, el cual fue utilizado en ataques contra organizaciones de energía y servicios en Venezuela entre 2025 y 2026. La amenaza elimina datos y mecanismos de recuperación, dejando los sistemas comprometidos en estado irrecuperable.
Investigadores de ciberseguridad identificaron un nuevo malware destructivo denominado “Lotus Wiper”, utilizado en ataques dirigidos contra organizaciones del sector energético y de servicios en Venezuela durante finales de 2025 y comienzos de 2026. El hallazgo fue atribuido a análisis realizados por la firma Kaspersky, que documentó el funcionamiento y alcance de la amenaza en su blog.
De acuerdo con la información publicada, Lotus Wiper corresponde a un tipo de malware diseñado específicamente para la destrucción de datos, sin incluir mecanismos de extorsión o solicitudes de pago. Su objetivo principal es inutilizar los sistemas comprometidos mediante la eliminación completa de la información almacenada y de las opciones de recuperación disponibles.
El análisis técnico indica que el malware fue empleado en una campaña dirigida contra organizaciones del sector energético y de servicios públicos en Venezuela. Los investigadores señalaron que se trata de una operación altamente focalizada, en la que los atacantes preparan previamente los sistemas antes de ejecutar la fase destructiva.
Según el reporte, el ataque se inicia con la ejecución de scripts por lotes que cumplen funciones específicas dentro de la cadena de infección. Estos scripts debilitan las defensas del sistema, interrumpen operaciones normales y preparan el entorno para la ejecución del componente principal del malware. En este contexto, Kaspersky explicó que “dos scripts por lotes son responsables de iniciar la fase destructiva del ataque y preparar el entorno para ejecutar la carga final del wiper”.
Posteriormente, el malware ejecuta acciones destinadas a impedir la recuperación del sistema. Entre ellas se incluye la desactivación de servicios del sistema operativo, la desconexión de interfaces de red, la eliminación de credenciales almacenadas y el cierre de sesiones activas. Estas acciones buscan aislar el equipo comprometido y dificultar cualquier respuesta o mitigación durante el ataque.
Una vez completada la fase de preparación, Lotus Wiper despliega su capacidad destructiva. El malware utiliza herramientas del propio sistema operativo, como comandos para borrar discos y sobrescribir datos, con el objetivo de eliminar tanto archivos como estructuras del sistema. Además, ejecuta operaciones a bajo nivel para sobrescribir sectores físicos del disco, lo que impide la recuperación posterior de la información.
Kaspersky describió el impacto final del malware señalando que “el wiper elimina los mecanismos de recuperación, sobrescribe el contenido de las unidades físicas y elimina sistemáticamente los archivos en los volúmenes afectados, dejando el sistema en un estado irrecuperable”.
Los reportes también indican que el malware fue detectado en una plataforma pública a mediados de diciembre de 2025, tras ser cargado desde una máquina ubicada en Venezuela. Este hallazgo permitió a los investigadores analizar su funcionamiento y establecer una línea temporal aproximada de su actividad.
En paralelo, se ha señalado que el periodo en que se detectó el malware coincide con una fase de incremento en la actividad cibernética dirigida al sector energético en el país. Durante ese mismo periodo, se reportaron incidentes que afectaron a organizaciones vinculadas a la industria petrolera, aunque no existe confirmación pública de que Lotus Wiper haya sido utilizado en esos casos.
Otro elemento relevante es que el malware parece haber sido diseñado para operar en entornos específicos. El análisis técnico sugiere que algunos de sus componentes están orientados a versiones antiguas del sistema operativo Windows, lo que indicaría conocimiento previo del entorno objetivo por parte de los atacantes.
Asimismo, los investigadores señalaron que la ejecución del ataque requiere condiciones previas, como acceso a sistemas comprometidos y privilegios elevados, lo que refuerza la hipótesis de que los atacantes lograron infiltrarse en las redes antes de desplegar la fase destructiva.
Hasta ahora, no se ha atribuido públicamente el desarrollo o uso de Lotus Wiper a un actor específico, pero el contexto coincide con las tensiones geopolítica en el país durante el proceso de captura del entonces presidente de Venezuela Nicolás Maduro por tropas norteamericanas.
La investigación sobre Lotus Wiper continúa en desarrollo, con el objetivo de determinar su alcance completo, su posible relación con otros incidentes y las técnicas utilizadas en su implementación.