Alerta: DynoWiper, el wiper ligado a Sandworm, apunta a la red eléctrica de Polonia

El ataque DynoWiper a la red eléctrica de Polonia fue un intento de intrusión y sabotaje sobre sistemas vinculados a compañías energéticas del país en diciembre, y los investigadores de ESET creen que Rusia estuvo “probablemente” detrás de la operación. La atribución se realiza con confianza media y apunta al grupo Sandworm, asociado históricamente a operaciones del GRU y a campañas contra infraestructura crítica.

Según la investigación, los atacantes desplegaron DynoWiper, una familia de wiper malware diseñada para destruir datos y degradar la disponibilidad de sistemas, un patrón recurrente en operaciones de impacto. El incidente, de acuerdo con declaraciones públicas citadas por Reuters, buscaba interferir con las comunicaciones entre hardware de energías renovables y operadores de distribución, aunque no tuvo éxito en provocar interrupciones del servicio.

Por qué el ataque DynoWiper a la red eléctrica de Polonia preocupa a la industria

El ataque DynoWiper a la red eléctrica de Polonia destaca por dos razones clave para el sector: el uso explícito de un wiper como herramienta de sabotaje (no de monetización) y el foco en un entorno donde convergen sistemas IT y OT. En campañas anteriores, Sandworm ha sido vinculado a wipers y acciones disruptivas dirigidas a infraestructura energética, lo que refuerza la hipótesis de continuidad táctica y operativa.

ESET subraya que mantiene la investigación abierta y que publicará nuevas actualizaciones si aparecen evidencias adicionales que conecten el incidente con actividad más amplia del grupo, una señal de que la atribución podría fortalecerse o ampliarse con nuevos indicadores.

Antecedentes: wipers, energía y el historial atribuido a Sandworm

La atribución cobra relevancia por el historial del actor: investigaciones previas en la industria han relacionado a Sandworm con incidentes disruptivos en Ucrania. En particular, se ha documentado el uso de otras familias de wiper malware en contextos de conflicto y presión geopolítica. En este caso, ESET también sugiere que la ventana temporal del ataque podría estar alineada con fechas simbólicas asociadas a operaciones pasadas del grupo contra el sector energético.

Contexto geopolítico y superficie de ataque en infraestructura crítica

Polonia, miembro de la OTAN y uno de los principales apoyos logísticos y políticos de Ucrania, se ha convertido en un objetivo de alto valor en el panorama de amenazas. En los meses previos al incidente se registraron tensiones diplomáticas y movimientos de seguridad interna, aumentando la probabilidad de operaciones híbridas donde el ciberespacio funciona como multiplicador de presión.

En términos defensivos, el caso vuelve a poner el foco sobre la resiliencia de comunicaciones industriales, la segmentación entre redes IT/OT, y la capacidad de contención ante malware destructivo. Aunque el ataque no logró su objetivo, la mera presencia de un wiper en la cadena de ataque eleva el umbral de riesgo: los controles de recuperación, continuidad operativa y respuesta a incidentes pasan a ser tan críticos como la prevención.

Fuentes y referencias de alta autoridad

• Comunicado y actualizaciones de investigación de ESET Research: https://www.eset.com/

• Cobertura del incidente y declaraciones oficiales citadas: https://www.reuters.com/

A falta de evidencia pública adicional, el ataque DynoWiper a la red eléctrica de Polonia queda como un episodio fallido pero significativo: confirma que las campañas con malware destructivo siguen activas en Europa y que la infraestructura energética continúa en el punto de mira de actores estatales con capacidad de sabotaje.