Un ciberataque a finales de diciembre de 2025 dirigido a partes de la infraestructura energética polaca ha sido vinculado al grupo de hackers alineado con el Estado ruso Sandworm, aunque las autoridades afirman que el esfuerzo no logró interrumpir los sistemas eléctricos. Los investigadores de seguridad atribuyen el intento de intrusión a Sandworm basándose en el análisis del malware utilizado y las similitudes con las operaciones previas del grupo.
El ataque tuvo lugar los días 29 y 30 de diciembre de 2025, cuando se desplegó un software malicioso conocido como DynoWiper contra sistemas de control de dos centrales combinadas de calor y energía y un sistema utilizado para gestionar electricidad de fuentes renovables como aerogeneradores e instalaciones solares. DynoWiper es un tipo de malware “wiper” diseñado para borrar datos y hacer que los sistemas infectados sean inutilizables si se ejecuta. La empresa de seguridad ESET analizó muestras del malware y atribuyó la actividad a Sandworm con una confianza media, citando solapamientos con herramientas destructivas previamente asociadas al grupo.
Las autoridades polacas calificaron el incidente como un grave ciberataque a la infraestructura energética del país. Milosz Motyka, ministro de Energía de Polonia, afirmó que el ataque fue “el más fuerte” visto en los últimos años, aunque las defensas se mantuvieron y el malware no logró el efecto deseado. Investigadores y representantes gubernamentales informaron que no se produjo ninguna interrupción operativa como resultado del despliegue del malware.
Sandworm, también rastreado por empresas de ciberseguridad como UAC-0113 y APT44, es ampliamente considerado como un actor de amenaza estatal con vínculos con la unidad de inteligencia militar rusa (GRU) y una larga historia de operaciones cibernéticas dirigidas a infraestructuras críticas. El grupo ha estado previamente vinculado a ataques destructivos contra sistemas energéticos, incluyendo un ataque con limpiaparabrisas en 2015 a la red eléctrica de Ucrania que provocó cortes de suministro a aproximadamente 230.000 clientes.
Las autoridades e investigadores polacos no han revelado detalles técnicos completos sobre cómo los atacantes obtuvieron acceso inicial a los sistemas energéticos ni la cronología de la intrusión. El análisis de ESET señaló que las similitudes en “tácticas, técnicas y procedimientos” del malware apoyan la atribución a Sandworm, un grupo con historial de despliegue de malware de borrador en otras campañas a lo largo de 2025.
El momento del ataque, que ocurrió casi diez años después del ataque a la red eléctrica de Ucrania en 2015, también vinculado a Sandworm, llamó la atención de analistas de ciberseguridad. El primer ministro polaco Donald Tusk dijo que las autoridades seguirán reforzando las defensas cibernéticas y trabajando con socios internacionales para proteger infraestructuras críticas de amenazas similares.