Polonia tuvo más ciberataques en 2025, incluido uno grande al sector energético

Polonia experimentó 2½ veces más ciberataques en 2025 en comparación con el año anterior, y las cifras aumentan constantemente, manifestó un funcionario el martes.

Los ataques incluyeron una infiltración destructiva del sistema energético del país en diciembre sin precedentes entre miembros de la OTAN y la Unión Europea, y se sospechaba que se originó en Rusia.

Polonia fue blanco de 270.000 ciberataques durante el último año, informó el martes el viceministro de Asuntos Digitales, Paweł Olszewski.

“Llevamos muchos años librando una guerra en el ciberespacio”, señaló el funcionario. “El número de incidentes y ataques ha aumentado de manera significativa y radical año tras año”.

El gobierno, encabezado por el primer ministro Donald Tusk, ha reforzado sus defensas cibernéticas desde el inicio de la guerra en Ucrania el 24 de febrero de 2022, en respuesta a lo que considera una amenaza creciente por parte de Rusia.

Ataque al sistema energético

Ciberataques coordinados golpearon durante la mañana y la tarde del 29 de diciembre a una planta de cogeneración que suministra calefacción a casi 500.000 clientes, así como a múltiples parques eólicos y solares en Polonia.

Las autoridades polacas sospecharon que los ciberataques fueron realizados por un único “actor de amenaza”, y varios expertos señalaron a responsables vinculados a los servicios secretos rusos.

El suministro eléctrico no se interrumpió, pero la naturaleza del sabotaje alarmó tanto a las autoridades polacas que la agencia CERT Polska, o Equipo de Respuesta a Emergencias Informáticas de Polonia, publicó a finales de enero un informe con detalles técnicos del incidente y pidió a la comunidad cibernética cualquier aporte sobre lo ocurrido.

“El ataque fue una escalada significativa”, declaró a The Associated Press el jefe de CERT, Marcin Dudek.

“Hemos tenido incidentes así en el pasado, pero eran del tipo ransomware, en los que la motivación del atacante es financiera”, explicó Dudek. “En este caso, no hubo motivación financiera: la motivación fue simplemente la destrucción”.

Indicó que Polonia solo ha visto unos pocos incidentes destructivos en el pasado y que ninguno de ellos fue en el sector energético.

Dudek afirmó que no tenía conocimiento de otros ciberataques destructivos contra el sector energético ni en países de la OTAN ni de la Unión Europea. Ha habido incidentes de espionaje y grupos activistas que han causado daños marginales, pero ataques “avanzados” como el de diciembre en Polonia probablemente no tienen precedentes, sostuvo.

Dudek señaló que, si hubiera apuntado a unidades energéticas aún más grandes, podría haber afectado de manera sustancial la estabilidad de la red eléctrica de Polonia.

Los servicios secretos polacos aún no han dicho públicamente quién habría sido responsable.

El equipo de Dudek solo está autorizado a describir el modus operandi y a señalar a un probable “actor de amenaza”, jerga cibernética para un individuo o grupo que realiza actividad maliciosa.

Dragonfly o Sandworm

El análisis del CERT examinó la infraestructura de internet utilizada en el ataque en Polonia, incluidos dominios y direcciones IP, y determinó que ya habían sido utilizados anteriormente por un actor de amenaza ruso conocido como “Dragonfly”, también llamado “Static Tundra” o “Berserk Bear”.

Dudek indicó que se sabe que Dragonfly apunta al sector energético, pero hasta ahora no con un ataque destructivo.

Según una alerta emitida por el FBI en Estados Unidos en agosto de 2025, Dragonfly es un conglomerado de ciberseguridad asociado con el FSB Center 16, una unidad clave dentro del Servicio Federal de Seguridad de Rusia.

Expertos ajenos a las autoridades polacas coinciden en que los rastros del ataque de diciembre conducen de vuelta a Rusia.

ESET, una de las mayores empresas de ciberseguridad de la Unión Europea, analizó el malware utilizado en el ataque y concluyó que el responsable probablemente fue “Sandworm”, otro posible actor ruso previamente asociado con ataques destructivos en Ucrania.

El gobierno de Estados Unidos ha vinculado en el pasado a Sandworm a la inteligencia militar rusa o GRU.

Anton Cherepanov, investigador principal de malware en ESET, declaró a The Associated Press que “el uso de malware para borrar datos y su despliegue” en el caso polaco “son ambas técnicas empleadas comúnmente por Sandworm”.

“No tenemos conocimiento de otros actores de amenaza activos recientemente que hayan utilizado malware para borrar datos en sus operaciones contra objetivos en países de la Unión Europea”, añadió Cherepanov.

Sea Dragonfly o Sandworm, sería un actor previamente vinculado a Rusia. “Que sean estos rusos o aquellos rusos es un detalle”, comentó Cherepanov.

La embajada de Rusia en Varsovia no respondió a las solicitudes de comentarios.

_______

Esta historia fue traducida del inglés por un editor de AP con la ayuda de una herramienta de inteligencia artificial generativa.