La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta de ciberseguridad para el sector energético estadounidense tras una serie de ciberataques destructivos contra infraestructuras energéticas en Polonia. La alerta insta a los operadores a revisar las contraseñas predeterminadas y reforzar las protecciones en los dispositivos conectados a internet tras el incidente de diciembre que expuso vulnerabilidades en la tecnología operativa y los sistemas de control.
El incidente en Polonia tuvo lugar el 29 de diciembre de 2025, cuando varias instalaciones, incluyendo más de 30 instalaciones eólicas y solares, una central combinada de calor y energía y un centro de producción, fueron objeto de una actividad maliciosa coordinada, según un análisis del Equipo de Respuesta a Emergencias Informáticas de Polonia (CERT-PL). Los atacantes accedieron a dispositivos de borde conectados a internet como cortafuegos, pasarelas de red privada virtual (VPN) y otros sistemas con credenciales predeterminadas o débiles.
Una vez dentro de la red, los atacantes desplegaron malware destructivo que corrompió el firmware en unidades terminales remotas (UTR), borró datos en interfaces hombre-máquina (HMIs) y borró datos de los sistemas informáticos corporativos, según la alerta. Estas acciones interrumpieron la capacidad de los operadores para monitorizar y controlar infraestructuras críticas, aunque la producción de energía en los sitios de energía renovable afectados supuestamente continuó durante el incidente.
En su aviso, CISA destacó que los dispositivos de borde orientados a internet siguen siendo un objetivo principal para los actores de amenaza. Estos dispositivos conectan sistemas de control internos con redes más amplias y pueden proporcionar un punto de entrada para los atacantes cuando se les queda con credenciales de inicio de sesión predeterminadas o reutilizadas y protecciones de autenticación débiles. El aviso instaba a las organizaciones a sustituir los equipos de fin de vida útil y a hacer cumplir cambios de contraseña en todos los dispositivos.
La guía también señalaba el riesgo que supone la tecnología operativa que carece de verificación de firmware. En algunos casos, dispositivos sin mecanismos para validar la integridad del firmware pueden verse dañados permanentemente por código malicioso o por cambios de configuración corruptos. CISA recomendó a los operadores priorizar actualizaciones que apoyen la verificación de firmware cuando sea posible y asegurarse de que los planes de respuesta a incidentes tengan en cuenta posibles fallos en OT.
El análisis polaco del CERT atribuyó el incidente a una campaña deliberada y disruptiva alineada con tensiones geopolíticas más amplias, aunque no se reportaron cortes importantes en ese momento. El uso de credenciales predeterminadas para obtener acceso inicial subrayó el riesgo continuo de descuidos básicos de seguridad en entornos de infraestructuras críticas.
En su alerta, CISA animó a las empresas energéticas estadounidenses y a otros operadores de infraestructuras críticas a revisar los hallazgos técnicos de CERT-PL e integrar las medidas de seguridad recomendadas en sus operaciones. Estas incluyen la aplicación de la autenticación multifactor cuando sea posible, la reducción de la exposición de la red para sistemas de control de horas ocupacionales y industriales, y la eliminación de hardware no compatible o vulnerable del servicio.
La agencia se ha centrado recientemente en reducir los riesgos derivados de equipos de red no asegurados. En una directiva separada emitida a agencias federales, CISA ordenó la retirada de dispositivos de borde no compatibles de los sistemas gubernamentales, reflejando un impulso más amplio para cerrar rutas de ataque comunes explotadas en incidentes recientes.
La alerta forma parte de una guía continua de las autoridades de seguridad estadounidenses destinada a reforzar las protecciones en los sectores energético, manufacturero y otros que dependen de tecnología operativa interconectada. El aviso de CISA sirve como recordatorio de la importancia de la higiene básica de la ciberseguridad, incluyendo el cambio de contraseñas predeterminadas y la aplicación de estándares de configuración segura para todos los dispositivos conectados a internet.