Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Antes de que te golpee el «wiper»: por qué los «wiper» son el arma más habitual en los ataques de tiempo de actividad

Detección y bloqueo de amenazas de tipo «wiper» en entornos de tecnología operativa con MetaDefender
Por Triet Tran Minh, analista de detección de amenazas
Última actualización:
Comparte esta publicación

En nuestra entrada anterior del blog, analizamos los principales ciberataques contra sistemas ICS y OT desde 2024 hasta principios de 2026. Se observó una tendencia clara: los programas de borrado total se han convertido en el arma preferida de los actores patrocinados por Estados que atacan entornos de tecnología operativa. Entre 2024 y 2025, seis campañas distintas de programas de borrado total afectaron a sectores industriales de todo el mundo, entre ellos las redes eléctricas, los sistemas de abastecimiento de agua, la sanidad y la industria manufacturera.

Este artículo analiza esa tendencia en detalle. Explica por qué los programas de borrado de datos son eficaces en entornos de operaciones (OT), repasa tres incidentes reales e identifica el patrón de ataque recurrente que se esconde tras ellos. Mientras se redactaba este artículo, surgió otro ejemplo. Una amenaza recientemente detectada, denominada «Lotus Wiper», tenía como objetivo el sector energético de Venezuela. Ese caso se incluye en la sección final.

¿Por qué los «wipers» son el arma preferida en los ataques de tiempo de actividad?

Los wipers están diseñados para destruir datos, lo que los diferencia fundamentalmente del ransomware. Dado que no permiten la extorsión, no constituyen una herramienta útil para los autores de amenazas motivados exclusivamente por el lucro. En cambio, resultan muy eficaces para aquellos cuyo objetivo es causar trastornos o daños, especialmente cuando pretenden que las operaciones cibernéticas tengan repercusiones en el mundo real, al tiempo que mantienen un alto grado de anonimato. Por este motivo, los wipers se asocian habitualmente con actividades patrocinadas por Estados.

En los entornos de TI tradicionales, los programas de borrado destruyen principalmente archivos. Aunque esto puede resultar muy perjudicial, el impacto suele ser reversible si se dispone de copias de seguridad fiables. Sin embargo, la situación es diferente en los entornos de OT e ICS. Sistemas como los servidores SCADA, las estaciones de trabajo de ingeniería y las pantallas HMI no se limitan a almacenar datos. Controlan y supervisan activamente los procesos físicos. Cuando se destruyen los datos de estos sistemas, los operadores pierden visibilidad y control sobre las operaciones, quedando prácticamente ciegos ante lo que ocurre sobre el terreno.

Es aquí donde los programas de borrado total resultan especialmente peligrosos. Pueden servir de puente entre los ciberataques y las consecuencias físicas. Debido a esta capacidad, los actores patrocinados por Estados recurren con frecuencia a los programas de borrado total. Su uso se observa a menudo en regiones que sufren conflictos armados o tensiones geopolíticas intensificadas, donde el objetivo principal es provocar la desestabilización.

El manual de cuatro fases que utiliza el malware Wiper

Todos los programas de borrado analizados, independientemente del idioma, la plataforma o su complejidad, siguen el mismo patrón básico. Comprender estas fases constituye un punto de partida práctico para defenderse de los ataques de este tipo.

Fase 1: Inicialización
El borrador prepara su carga útil de corrupción, normalmente generando datos pseudoaleatorios mediante un generador de números aleatorios común. Los datos aleatorios dificultan la recuperación forense más que la sobrescritura con ceros.

Captura de pantalla de FileScan: indicador de amenaza relacionado con el generador de números aleatorios.

Fase 2: Descubrimiento
El programa de borrado mapea todo lo que puede destruir mediante el recuento de unidades, volúmenes, directorios y archivos.

Captura de pantalla de FileScan: Indicadores de amenazas relacionados con la detección y el mapeo del sistema.

Fase 3: Destrucción
El programa de borrado abre cada archivo, elimina los atributos de protección y lo sobrescribe con datos aleatorios. Algunos también borran los archivos posteriormente. Otros se centran en el registro de arranque maestro (MBR) o la tabla maestra de archivos (MFT), lo que hace que todo el disco quede ilegible.

Captura de pantalla de FileScan: indicador de amenaza relacionado con la corrupción de archivos.

Fase 4: Antirrecuperación
Un reinicio forzado consolida el daño. El programa de borrado amplía sus privilegios, obtiene derechos de apagado y reinicia el sistema. Cuando, y si es que, vuelve a arrancar, ya no queda nada que restaurar.

Captura de pantalla de FileScan: Indicadores de amenazas relacionados con la escalada de privilegios y el apagado del sistema.

En la siguiente sección se aplica este manual a incidentes reales.

¿Cómo son los ataques de tipo «wiper» en entornos de tecnología operativa (OT) en la vida real?

DynoWiper — La red eléctrica de Polonia

Autor: Sandworm/ELECTRUM (GRU)
Objetivo: Polonia, sector energético (recursos energéticos distribuidos)
Formato: archivo ejecutable de Windows (binario PE) distribuido a través de una red comprometida

En diciembre de 2025, Sandworm, la unidad más competente del GRU especializada en sistemas de control industrial (ICS), lanzó un ataque contra la infraestructura eléctrica de Polonia utilizando DynoWiper. Según Dragos, se trató del primer ciberataque coordinado a gran escala dirigido contra los recursos energéticos distribuidos (RED).

Se vieron afectados aproximadamente 30 emplazamientos, entre los que se incluyen centrales de cogeneración, parques eólicos y sistemas de gestión de energía solar. A diferencia de los ataques anteriores, que se centraban en centrales eléctricas centralizadas, esta operación se dirigió contra instalaciones más pequeñas y distribuidas que están experimentando una rápida expansión en los mercados energéticos actuales. Además, estos entornos suelen estar menos protegidos.

El ataque podría haber afectado a hasta 500 000 residentes. El primer ministro de Polonia afirmó que la red de transmisión no corría peligro, pero que los atacantes habían accedido a los sistemas de tecnología operativa (OT) y habían inutilizado de forma permanente algunos equipos. DynoWiper siguió al pie de la letra el protocolo de cuatro fases: generación de carga útil pseudoaleatoria, enumeración de unidades, sobrescritura de archivos y reinicio forzado. Se ejecutó como un binario compilado diseñado para la destrucción sistemática.

PathWiper — Infraestructuras críticas de Ucrania

Autor: Russia-nexus (unidad no especificada)
Objetivo: Ucrania, infraestructuras críticas (varios sectores)
Vía de distribución: un dropper de VBScript junto con un ejecutable

PathWiper fue utilizado contra infraestructuras críticas ucranianas por un actor vinculado a Rusia, en el marco de una campaña cibernética en curso en tiempo de guerra. Mientras que DynoWiper se centró en un sector específico, PathWiper atacó infraestructuras críticas de forma más generalizada, afectando a múltiples servicios esenciales durante el conflicto activo.

Lo que lo distingue es el carácter exhaustivo de la destrucción. PathWiper no se limita a sobrescribir los archivos, sino que destruye el almacenamiento local a nivel de volumen. En una guerra en curso, el borrado de los sistemas que gestionan servicios esenciales tiene consecuencias que van más allá de la pérdida de datos.

Se aplican las mismas cuatro fases, pero PathWiper lleva la fase de destrucción más allá que la mayoría. Al centrarse en el almacenamiento a nivel de volumen en lugar de en archivos individuales, garantiza que incluso una recuperación forense parcial resulte prácticamente imposible. El objetivo es el borrado total, no solo de los datos, sino también de la capacidad del sistema para funcionar.

LazyWiper — El sector manufacturero de Polonia

Actor: Sandworm/ELECTRUM (GRU)
Objetivo: Polonia, sector manufacturero
Distribución: script de PowerShell distribuido a través de objetos de política de grupo (GPO)

LazyWiper no fue una campaña independiente. Se llevó a cabo el mismo día que DynoWiper, el 29 de diciembre de 2025, como parte de la misma operación coordinada. Sin embargo, se dirigió contra una empresa manufacturera, y CERT Polska la calificó de oportunista. Los atacantes identificaron un punto de entrada expuesto y lo aprovecharon.

Ese punto de entrada fue un dispositivo Fortinet cuya configuración había sido sustraída y publicada en un foro delictivo. Los atacantes utilizaron las credenciales filtradas para establecer un acceso persistente, se desplazaron lateralmente hasta obtener privilegios de administrador de dominio e instalaron LazyWiper en todos los equipos a través de GPO. A diferencia del binario compilado de DynoWiper, LazyWiper es un script de PowerShell. Desactiva Defender, utiliza herramientas de administración integradas de Windows para mapear todas las unidades, renombra los archivos con nombres aleatorios de cuatro caracteres y los sobrescribe con datos pseudoaleatorios.

Hay un detalle que hace que este caso sea especialmente destacable. CERT Polska estimó que algunas partes del código encargado de sobrescribir archivos probablemente fueron generadas por un modelo de lenguaje a gran escala, lo que apunta a que se está produciendo el desarrollo de malware asistido por IA en el mundo real. Si los defensores dan por sentado que los wipers siempre se presentarán como malware compilado tradicional, LazyWiper pone de relieve la necesidad de tener en cuenta las amenazas basadas en scripts y generadas dinámicamente.

¿Por qué todos los ataques de borrado comienzan con un archivo que traspasa un límite de confianza?

Todos los incidentes descritos en este blog, así como todos los del informe anterior sobre el panorama de amenazas, tienen un punto en común: un archivo traspasó un límite de confianza. Los formatos y los métodos de distribución varían, pero el patrón es el mismo.

  • DynoWiper: archivo ejecutable de Windows distribuido a través de una red comprometida
  • PathWiper: un dropper de VBScript combinado con un ejecutable
  • LazyWiper: script de PowerShell implementado mediante GPO

Sandbox Adaptive OPSWATSandbox cada archivo en cada límite de confianza antes de que llegue a la estación de trabajo de ingeniería, antes de que interactúe con el sistema SCADA y antes de que pase del ámbito de TI al de OT. No se basa en la detección de comportamientos destructivos. En su lugar, identifica las capacidades maliciosas en un entorno controlado antes de que se considere fiable el archivo.

Si su empresa opera en los sectores de la energía, el agua, la industria manufacturera, la sanidad o la administración pública, los wipers forman parte de su modelo de amenazas, se tengan en cuenta explícitamente o no.

Los wipers evolucionarán con nuevos lenguajes, métodos de distribución y objetivos, pero el patrón sigue siendo el mismo. Un archivo debe llegar, acceder a un sistema y ejecutarse. Esto ha sido así desde Stuxnet en 2010 hasta DynoWiper en 2025. La inspección del archivo antes de que cruce la frontera es una medida de control que se aplica a todos los wipers, actores y sectores.

El último ataque informático contra el sector energético de Venezuela

Mientras se ultimaba este artículo, el 21 de abril, Kaspersky GReAT informó de la existencia de un programa de borrado de datos hasta entonces desconocido, denominado Lotus Wiper, que tenía como objetivo el sector energético y de servicios públicos de Venezuela.

El ataque es metódico. Dos scripts por lotes aíslan primero el equipo desactivando servicios, cerrando interfaces de red y cerrando sesiones. A continuación, borran los volúmenes del disco, sobrescriben carpetas y llenan el espacio de almacenamiento restante. Solo tras estos pasos se ejecuta la carga útil final.

El wiper se disfraza de componente legítimo de software empresarial, se distribuye en formato cifrado y se descifra en tiempo de ejecución. Una vez activo, el sistema deja de arrancar y los datos se pierden sin posibilidad de recuperación. No se exige ningún rescate ni hay indicios de sustracción de datos con fines lucrativos. Al igual que los demás wipers analizados en este artículo, Lotus Wiper está diseñado para la destrucción.

El mismo patrón se repite en tiempo real. Un archivo cruza un límite de confianza, se ejecuta y destruye todo lo que encuentra a su alcance. La inspección a nivel de archivo antes de que se descifre la carga útil constituye la primera oportunidad para interceptarlo.

Captura de pantalla de Filescan: Archivo detectado como amenaza confirmada.

Muestras e indicadores de limpiaparabrisas a los que se hace referencia en este análisis

Limpiaparabrisas

Tipo

Destino

Actor

Hash / Indicador

DynoWiper

Windows PE

Polonia, Energía

Sandworm/ELECTRUM (GRU)

835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5

PathWiper

Windows PE

Ucrania, infraestructuras críticas

Vínculo con Rusia

7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3

LazyWiper

PowerShell

Polonia, Sector manufacturero

Sandworm/ELECTRUM (GRU)

033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2

Limpiaparabrisas Lotus

Windows PE

Venezuela, Energía y servicios públicos

Desconocido (por motivos geopolíticos)

111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327

Detén los ataques de Wiper antes de que se ejecuten

Los ataques de tipo «wiper» siguen un patrón constante en todos los entornos, sectores y actores maliciosos. Independientemente de cómo se propaguen o del lenguaje que utilicen, siguen la misma secuencia: un archivo traspasa un límite de confianza, se ejecuta y destruye los datos del sistema.

Esta coherencia ofrece una clara oportunidad defensiva. Identificar y analizar los archivos antes de considerarlos de confianza sigue siendo una de las formas más eficaces de detener los programas de borrado antes de que puedan causar daños.

MetaDefender aborda este problema mediante un enfoque por capas. Combina el análisis de reputación en tiempo real, el sandboxing avanzado y la correlación de comportamientos para detectar amenazas desconocidas y evasivas antes de su ejecución. Su análisis basado en la emulación revela cargas útiles ocultas, descomprime el malware de múltiples etapas e identifica indicadores de compromiso sin depender de firmas.

Para las organizaciones que gestionan infraestructuras críticas, este enfoque permite una detección más temprana en el punto donde se inician los ataques, antes de que las interrupciones afecten a los sistemas de tecnología operativa (OT). Para comprender cómo se aplica esto a su entorno, póngase en contacto con un OPSWAT para hablar sobre MetaDefender .

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.