Alerta: ciberataque a RTUs en la red eléctrica de Polonia pudo ser letal en pleno invierno
El ciberataque a RTUs en la red eléctrica de Polonia investigado por Dragos pudo haber tenido consecuencias “potencialmente letales” si hubiese logrado provocar interrupciones durante el pico de frío invernal. La firma de ciberseguridad industrial afirma que la operación afectó a unas 30 instalaciones y que se trató de un intento coordinado para degradar capacidades de control y comunicaciones en sistemas conectados a la infraestructura energética del país.
En su informe técnico, Dragos atribuye la campaña al actor que denomina Electrum, identificado ampliamente en la industria como Sandworm, un grupo históricamente asociado a inteligencia rusa. La compañía remarca que atacar un sistema eléctrico en invierno maximiza el impacto sobre población civil dependiente del suministro, elevando el riesgo de incidentes con consecuencias humanas.
Qué se sabe del ciberataque a RTUs en la red eléctrica de Polonia
Según Dragos, el incidente representa un hito por el enfoque sobre Distributed Energy Resources (DERs): instalaciones de menor tamaño (a menudo de generación distribuida o renovable) conectadas a la red central. A diferencia de objetivos clásicos como subestaciones o centros de control, los DERs suelen tener menor inversión en ciberseguridad, lo que los convierte en un vector atractivo para atacantes con recursos estatales.
El informe indica que los atacantes comprometieron Remote Terminal Units (RTUs) y parte de la infraestructura de comunicaciones en múltiples emplazamientos. Para ello habrían combinado el abuso de dispositivos expuestos a Internet, posibles vulnerabilidades explotables y misconfigurations, además de un conocimiento operativo de cómo se despliegan estas RTUs “en el campo”, sugiriendo reconocimiento previo de patrones de configuración repetidos.
Wiper malware y sabotaje: el papel de DynoWiper
Dragos menciona el uso de wiper malware, concretamente DynoWiper, una táctica coherente con campañas previas atribuidas a Sandworm contra infraestructuras críticas. Aun así, la compañía subraya que el salto cualitativo está en la coordinación simultánea contra numerosos sitios DER y en la intención de sistematizar la explotación de configuraciones y prácticas operativas comunes.
La investigación citada por Dragos también señala que, aunque se deshabilitaron algunos dispositivos de comunicaciones y Operational Technology, ese tipo de interrupción no necesariamente causa un apagón por sí sola: en muchos escenarios impide la monitorización y control remoto mientras los sistemas continúan operando localmente. Los equipos de respuesta, no obstante, siguen analizando si el objetivo final era emitir comandos para alterar el comportamiento de los equipos o simplemente dejarlos fuera de servicio para degradar capacidades operativas.
Por qué este ciberataque a RTUs en la red eléctrica de Polonia preocupa a la industria
La comparación con los ataques a la red eléctrica de Ucrania hace una década es inevitable: Dragos describe similitudes en el enfoque de sabotaje industrial y en el perfil del actor. Lo diferencial, insisten los analistas, es el movimiento hacia un perímetro más fragmentado (DERs) donde el inventario de activos, la estandarización de despliegues y la exposición de equipos de campo pueden abrir una superficie de ataque más amplia y heterogénea.
Además, Dragos afirma que en algunos casos el impacto fue más allá de la indisponibilidad temporal y llegó a dañar equipos “más allá de reparación”, un indicador de riesgo operativo que trasciende la clásica intrusión IT y apunta a consecuencias físicas en entornos industriales.
Para contexto y verificación, Dragos publica el análisis completo en su portal oficial: Dragos: Electrum targeting Poland’s electric sector. También puede consultarse el seguimiento de la noticia en The Register: The Register (29 Jan 2026).
A falta de detalles públicos adicionales sobre los fabricantes concretos de RTUs o integradores afectados, el caso refuerza una tendencia: el ciberataque a RTUs en la red eléctrica de Polonia coloca a los sistemas de generación distribuida y a los activos de campo en el centro del modelo de amenaza, especialmente cuando un adversario demuestra conocimiento de despliegues reales y capacidad de actuar de forma coordinada a escala.
