- ¿Por qué los «wipers» son el arma preferida en los ataques de tiempo de actividad?
- El manual de cuatro fases que utiliza el malware Wiper
- ¿Cómo son los ataques de tipo «wiper» en entornos de tecnología operativa (OT) en la vida real?
- ¿Por qué todos los ataques de borrado comienzan con un archivo que traspasa un límite de confianza?
- El último ataque informático contra el sector energético de Venezuela
- Muestras e indicadores de limpiaparabrisas a los que se hace referencia en este análisis
- Detén los ataques de Wiper antes de que se ejecuten
En nuestra entrada anterior del blog, analizamos los principales ciberataques contra sistemas ICS y OT desde 2024 hasta principios de 2026. Se observó una tendencia clara: los programas de borrado total se han convertido en el arma preferida de los actores patrocinados por Estados que atacan entornos de tecnología operativa. Entre 2024 y 2025, seis campañas distintas de programas de borrado total afectaron a sectores industriales de todo el mundo, entre ellos las redes eléctricas, los sistemas de abastecimiento de agua, la sanidad y la industria manufacturera.
Este artículo analiza esa tendencia en detalle. Explica por qué los programas de borrado de datos son eficaces en entornos de operaciones (OT), repasa tres incidentes reales e identifica el patrón de ataque recurrente que se esconde tras ellos. Mientras se redactaba este artículo, surgió otro ejemplo. Una amenaza recientemente detectada, denominada «Lotus Wiper», tenía como objetivo el sector energético de Venezuela. Ese caso se incluye en la sección final.
¿Por qué los «wipers» son el arma preferida en los ataques de tiempo de actividad?
Los wipers están diseñados para destruir datos, lo que los diferencia fundamentalmente del ransomware. Dado que no permiten la extorsión, no constituyen una herramienta útil para los autores de amenazas motivados exclusivamente por el lucro. En cambio, resultan muy eficaces para aquellos cuyo objetivo es causar trastornos o daños, especialmente cuando pretenden que las operaciones cibernéticas tengan repercusiones en el mundo real, al tiempo que mantienen un alto grado de anonimato. Por este motivo, los wipers se asocian habitualmente con actividades patrocinadas por Estados.
En los entornos de TI tradicionales, los programas de borrado destruyen principalmente archivos. Aunque esto puede resultar muy perjudicial, el impacto suele ser reversible si se dispone de copias de seguridad fiables. Sin embargo, la situación es diferente en los entornos de OT e ICS. Sistemas como los servidores SCADA, las estaciones de trabajo de ingeniería y las pantallas HMI no se limitan a almacenar datos. Controlan y supervisan activamente los procesos físicos. Cuando se destruyen los datos de estos sistemas, los operadores pierden visibilidad y control sobre las operaciones, quedando prácticamente ciegos ante lo que ocurre sobre el terreno.
Es aquí donde los programas de borrado total resultan especialmente peligrosos. Pueden servir de puente entre los ciberataques y las consecuencias físicas. Debido a esta capacidad, los actores patrocinados por Estados recurren con frecuencia a los programas de borrado total. Su uso se observa a menudo en regiones que sufren conflictos armados o tensiones geopolíticas intensificadas, donde el objetivo principal es provocar la desestabilización.
El manual de cuatro fases que utiliza el malware Wiper
Todos los programas de borrado analizados, independientemente del idioma, la plataforma o su complejidad, siguen el mismo patrón básico. Comprender estas fases constituye un punto de partida práctico para defenderse de los ataques de este tipo.
Fase 1: Inicialización
El borrador prepara su carga útil de corrupción, normalmente generando datos pseudoaleatorios mediante un generador de números aleatorios común. Los datos aleatorios dificultan la recuperación forense más que la sobrescritura con ceros.

Fase 2: Descubrimiento
El programa de borrado mapea todo lo que puede destruir mediante el recuento de unidades, volúmenes, directorios y archivos.

Fase 3: Destrucción
El programa de borrado abre cada archivo, elimina los atributos de protección y lo sobrescribe con datos aleatorios. Algunos también borran los archivos posteriormente. Otros se centran en el registro de arranque maestro (MBR) o la tabla maestra de archivos (MFT), lo que hace que todo el disco quede ilegible.

Fase 4: Antirrecuperación
Un reinicio forzado consolida el daño. El programa de borrado amplía sus privilegios, obtiene derechos de apagado y reinicia el sistema. Cuando, y si es que, vuelve a arrancar, ya no queda nada que restaurar.

En la siguiente sección se aplica este manual a incidentes reales.
¿Cómo son los ataques de tipo «wiper» en entornos de tecnología operativa (OT) en la vida real?
DynoWiper — La red eléctrica de Polonia
Autor: Sandworm/ELECTRUM (GRU)
Objetivo: Polonia, sector energético (recursos energéticos distribuidos)
Formato: archivo ejecutable de Windows (binario PE) distribuido a través de una red comprometida
En diciembre de 2025, Sandworm, la unidad más competente del GRU especializada en sistemas de control industrial (ICS), lanzó un ataque contra la infraestructura eléctrica de Polonia utilizando DynoWiper. Según Dragos, se trató del primer ciberataque coordinado a gran escala dirigido contra los recursos energéticos distribuidos (RED).
Se vieron afectados aproximadamente 30 emplazamientos, entre los que se incluyen centrales de cogeneración, parques eólicos y sistemas de gestión de energía solar. A diferencia de los ataques anteriores, que se centraban en centrales eléctricas centralizadas, esta operación se dirigió contra instalaciones más pequeñas y distribuidas que están experimentando una rápida expansión en los mercados energéticos actuales. Además, estos entornos suelen estar menos protegidos.
El ataque podría haber afectado a hasta 500 000 residentes. El primer ministro de Polonia afirmó que la red de transmisión no corría peligro, pero que los atacantes habían accedido a los sistemas de tecnología operativa (OT) y habían inutilizado de forma permanente algunos equipos. DynoWiper siguió al pie de la letra el protocolo de cuatro fases: generación de carga útil pseudoaleatoria, enumeración de unidades, sobrescritura de archivos y reinicio forzado. Se ejecutó como un binario compilado diseñado para la destrucción sistemática.
PathWiper — Infraestructuras críticas de Ucrania
Autor: Russia-nexus (unidad no especificada)
Objetivo: Ucrania, infraestructuras críticas (varios sectores)
Vía de distribución: un dropper de VBScript junto con un ejecutable
PathWiper fue utilizado contra infraestructuras críticas ucranianas por un actor vinculado a Rusia, en el marco de una campaña cibernética en curso en tiempo de guerra. Mientras que DynoWiper se centró en un sector específico, PathWiper atacó infraestructuras críticas de forma más generalizada, afectando a múltiples servicios esenciales durante el conflicto activo.
Lo que lo distingue es el carácter exhaustivo de la destrucción. PathWiper no se limita a sobrescribir los archivos, sino que destruye el almacenamiento local a nivel de volumen. En una guerra en curso, el borrado de los sistemas que gestionan servicios esenciales tiene consecuencias que van más allá de la pérdida de datos.
Se aplican las mismas cuatro fases, pero PathWiper lleva la fase de destrucción más allá que la mayoría. Al centrarse en el almacenamiento a nivel de volumen en lugar de en archivos individuales, garantiza que incluso una recuperación forense parcial resulte prácticamente imposible. El objetivo es el borrado total, no solo de los datos, sino también de la capacidad del sistema para funcionar.
LazyWiper — El sector manufacturero de Polonia
Actor: Sandworm/ELECTRUM (GRU)
Objetivo: Polonia, sector manufacturero
Distribución: script de PowerShell distribuido a través de objetos de política de grupo (GPO)
LazyWiper no fue una campaña independiente. Se llevó a cabo el mismo día que DynoWiper, el 29 de diciembre de 2025, como parte de la misma operación coordinada. Sin embargo, se dirigió contra una empresa manufacturera, y CERT Polska la calificó de oportunista. Los atacantes identificaron un punto de entrada expuesto y lo aprovecharon.
Ese punto de entrada fue un dispositivo Fortinet cuya configuración había sido sustraída y publicada en un foro delictivo. Los atacantes utilizaron las credenciales filtradas para establecer un acceso persistente, se desplazaron lateralmente hasta obtener privilegios de administrador de dominio e instalaron LazyWiper en todos los equipos a través de GPO. A diferencia del binario compilado de DynoWiper, LazyWiper es un script de PowerShell. Desactiva Defender, utiliza herramientas de administración integradas de Windows para mapear todas las unidades, renombra los archivos con nombres aleatorios de cuatro caracteres y los sobrescribe con datos pseudoaleatorios.
Hay un detalle que hace que este caso sea especialmente destacable. CERT Polska estimó que algunas partes del código encargado de sobrescribir archivos probablemente fueron generadas por un modelo de lenguaje a gran escala, lo que apunta a que se está produciendo el desarrollo de malware asistido por IA en el mundo real. Si los defensores dan por sentado que los wipers siempre se presentarán como malware compilado tradicional, LazyWiper pone de relieve la necesidad de tener en cuenta las amenazas basadas en scripts y generadas dinámicamente.
¿Por qué todos los ataques de borrado comienzan con un archivo que traspasa un límite de confianza?
Todos los incidentes descritos en este blog, así como todos los del informe anterior sobre el panorama de amenazas, tienen un punto en común: un archivo traspasó un límite de confianza. Los formatos y los métodos de distribución varían, pero el patrón es el mismo.
- DynoWiper: archivo ejecutable de Windows distribuido a través de una red comprometida
- PathWiper: un dropper de VBScript combinado con un ejecutable
- LazyWiper: script de PowerShell implementado mediante GPO
Sandbox Adaptive OPSWATSandbox cada archivo en cada límite de confianza antes de que llegue a la estación de trabajo de ingeniería, antes de que interactúe con el sistema SCADA y antes de que pase del ámbito de TI al de OT. No se basa en la detección de comportamientos destructivos. En su lugar, identifica las capacidades maliciosas en un entorno controlado antes de que se considere fiable el archivo.
Si su empresa opera en los sectores de la energía, el agua, la industria manufacturera, la sanidad o la administración pública, los wipers forman parte de su modelo de amenazas, se tengan en cuenta explícitamente o no.
Los wipers evolucionarán con nuevos lenguajes, métodos de distribución y objetivos, pero el patrón sigue siendo el mismo. Un archivo debe llegar, acceder a un sistema y ejecutarse. Esto ha sido así desde Stuxnet en 2010 hasta DynoWiper en 2025. La inspección del archivo antes de que cruce la frontera es una medida de control que se aplica a todos los wipers, actores y sectores.
El último ataque informático contra el sector energético de Venezuela
Mientras se ultimaba este artículo, el 21 de abril, Kaspersky GReAT informó de la existencia de un programa de borrado de datos hasta entonces desconocido, denominado Lotus Wiper, que tenía como objetivo el sector energético y de servicios públicos de Venezuela.
El ataque es metódico. Dos scripts por lotes aíslan primero el equipo desactivando servicios, cerrando interfaces de red y cerrando sesiones. A continuación, borran los volúmenes del disco, sobrescriben carpetas y llenan el espacio de almacenamiento restante. Solo tras estos pasos se ejecuta la carga útil final.
El wiper se disfraza de componente legítimo de software empresarial, se distribuye en formato cifrado y se descifra en tiempo de ejecución. Una vez activo, el sistema deja de arrancar y los datos se pierden sin posibilidad de recuperación. No se exige ningún rescate ni hay indicios de sustracción de datos con fines lucrativos. Al igual que los demás wipers analizados en este artículo, Lotus Wiper está diseñado para la destrucción.
El mismo patrón se repite en tiempo real. Un archivo cruza un límite de confianza, se ejecuta y destruye todo lo que encuentra a su alcance. La inspección a nivel de archivo antes de que se descifre la carga útil constituye la primera oportunidad para interceptarlo.

Muestras e indicadores de limpiaparabrisas a los que se hace referencia en este análisis
Limpiaparabrisas | Tipo | Destino | Actor | Hash / Indicador |
DynoWiper | Windows PE | Polonia, Energía | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ucrania, infraestructuras críticas | Vínculo con Rusia | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Polonia, Sector manufacturero | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Limpiaparabrisas Lotus | Windows PE | Venezuela, Energía y servicios públicos | Desconocido (por motivos geopolíticos) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Detén los ataques de Wiper antes de que se ejecuten
Los ataques de tipo «wiper» siguen un patrón constante en todos los entornos, sectores y actores maliciosos. Independientemente de cómo se propaguen o del lenguaje que utilicen, siguen la misma secuencia: un archivo traspasa un límite de confianza, se ejecuta y destruye los datos del sistema.
Esta coherencia ofrece una clara oportunidad defensiva. Identificar y analizar los archivos antes de considerarlos de confianza sigue siendo una de las formas más eficaces de detener los programas de borrado antes de que puedan causar daños.
MetaDefender aborda este problema mediante un enfoque por capas. Combina el análisis de reputación en tiempo real, el sandboxing avanzado y la correlación de comportamientos para detectar amenazas desconocidas y evasivas antes de su ejecución. Su análisis basado en la emulación revela cargas útiles ocultas, descomprime el malware de múltiples etapas e identifica indicadores de compromiso sin depender de firmas.
Para las organizaciones que gestionan infraestructuras críticas, este enfoque permite una detección más temprana en el punto donde se inician los ataques, antes de que las interrupciones afecten a los sistemas de tecnología operativa (OT). Para comprender cómo se aplica esto a su entorno, póngase en contacto con un OPSWAT para hablar sobre MetaDefender .
