Alerta: ransomware con BitLocker compromete ~1.000 sistemas de Apele Române

El ransomware con BitLocker en Apele Române se ha convertido en uno de los incidentes más relevantes de la semana para la seguridad de infraestructuras críticas en Europa: el Directoratul Național de Securitate Cibernetică (DNSC) de Rumanía confirmó que el ataque comprometió alrededor de 1.000 sistemas en la administración nacional responsable de la gestión del agua, con equipos aún en fase de análisis y recuperación.

De acuerdo con la información pública disponible, el alcance técnico incluye servidores de aplicaciones GIS, servidores de bases de datos, Windows workstations, Windows Server, además de servidores de correo, web servers y DNS servers. La web de la entidad quedó fuera de servicio, por lo que los comunicados oficiales se han difundido por canales alternativos.

Impacto del ransomware con BitLocker en Apele Române: qué sistemas se vieron afectados

La entidad afectada, Administrația Națională Apele Române (conocida como Romanian Waters), opera y supervisa infraestructura hídrica del país —incluyendo presas, vías fluviales, suministro de agua potable y sistemas de monitorización—, un contexto que eleva la criticidad del incidente. El DNSC indicó que el ataque comenzó el 20 de diciembre y se propagó a 10 de las 11 organizaciones de gestión de cuencas del país.

Aunque el recuento de equipos bajo investigación ronda el millar, las autoridades sostienen que las capacidades operativas hidrotécnicas no se detuvieron: la operación continuó localmente mediante personal in situ, mientras los sistemas IT centrales afrontaban la contención y restauración.

Qué se sabe del cifrado: el ransomware con BitLocker en Apele Române

Las autoridades rumanas describieron el incidente como ransomware, confirmando que hubo cifrado de archivos y que los atacantes dejaron notas de rescate exigiendo iniciar negociaciones en un plazo de siete días. Sin embargo, no se atribuyó públicamente el ataque a un grupo concreto.

El punto técnico más llamativo es que, según el DNSC, los atacantes habrían abusado de Windows BitLocker para cifrar los datos, un patrón que puede diferir de campañas basadas en payloads típicos de familias de ransomware “tradicionales”. Microsoft describe BitLocker como la tecnología de full-disk encryption integrada en Windows para proteger datos en reposo, lo que la convierte en un objetivo especialmente sensible si un actor malicioso logra control administrativo sobre endpoints y servidores.

Más información técnica sobre BitLocker puede consultarse en la documentación oficial de Microsoft: https://learn.microsoft.com/windows/security/operating-system-security/data-protection/bitlocker/.

Posición oficial sobre negociación con atacantes

El DNSC reiteró su recomendación de no contactar ni negociar con los atacantes para evitar incentivar o financiar el cibercrimen, y pidió además minimizar las interrupciones al equipo técnico de la organización mientras se restablecen los servicios afectados. El comunicado oficial del DNSC está disponible aquí: https://www.dnsc.ro/citeste/comunicat-presa-atac-cibernetic-ransomware-apele-romane.

Infraestructura crítica y monitoreo: el contexto tras el ransomware con BitLocker en Apele Române

Otro dato clave es que, según las autoridades, la red de Apele Române no estaba integrada en el sistema nacional rumano de protección y monitorización de infraestructuras críticas, comparable en enfoque a servicios de “early warning” y observabilidad de tráfico para detectar anomalías antes de que se materialicen en impacto operativo.

El DNSC señaló que se han iniciado pasos para integrar esta infraestructura en los sistemas de protección cibernética desarrollados a nivel nacional, con el objetivo de reforzar la seguridad tanto en entornos públicos como privados considerados críticos para la seguridad nacional.

Por qué este caso importa para Europa

El ransomware con BitLocker en Apele Române vuelve a poner el foco en un patrón que preocupa a agencias de seguridad: la exposición de entidades vinculadas al agua potable y a la operación hidrotécnica, donde incluso interrupciones parciales en IT corporativo pueden tensionar la continuidad y la confianza pública. Además, cuando el vector de cifrado involucra capacidades nativas del sistema operativo —como BitLocker—, la respuesta exige una lectura forense especialmente cuidadosa para distinguir entre fallo de controles, abuso de credenciales privilegiadas y movimientos laterales.

Datos confirmados hasta ahora

• Alcance: ~1.000 sistemas bajo investigación.
• Superficie afectada: servidores GIS, bases de datos, Windows workstations, Windows Server, email/web servers y DNS.
• Propagación: 10 de 11 organizaciones de cuencas fluviales.
• Estado operativo: operaciones hidrotécnicas continuaron localmente.
• Cifrado: confirmado; uso de BitLocker citado por el DNSC.
• Atribución: no especificada por las autoridades.

A medida que avance la remediación y se publique más información, el incidente servirá como referencia para evaluar cómo las organizaciones de infraestructura crítica en Europa están endureciendo su postura frente a campañas que combinan control de dominio, cifrado a escala y presión por negociación. Por ahora, el ransomware con BitLocker en Apele Române deja una señal clara: el perímetro ya no es el debate, la resiliencia y la visibilidad lo son.