Las autoridades polacas e investigadores independientes han atribuido un ciberataque a gran escala a la red eléctrica polaca a finales de diciembre de 2025 a hackers estatales vinculados a Rusia. El ataque se dirigió a sistemas que gestionan la generación y distribución de energía e involucró malware diseñado para borrar datos de los sistemas de control industrial y perturbar las operaciones. El incidente no causó cortes generalizados, pero las autoridades lo describieron como una de las operaciones cibernéticas más importantes jamás dirigidas contra infraestructuras críticas polacas.
El gobierno polaco informó que los sistemas del 29 y 30 de diciembre fueron objeto de intentos de intrusión digital dirigidos a las redes de tecnología de la información y tecnología operativa de centrales combinadas de calor y energía y los sistemas de gestión de instalaciones de energías renovables. Estos sistemas coordinan la producción eléctrica de turbinas eólicas, parques solares y otras fuentes de energía distribuidas. Las autoridades polacas dijeron que los ataques fueron repelidos antes de que se produjera cualquier pérdida de energía.
Los analistas de seguridad de una empresa ESET de ciberseguridad identificaron el malware utilizado en el incidente como una nueva variante del software limpiaparabrisas llamado DynoWiper. ESET atribuyó el ataque a un grupo de amenaza persistente avanzado ruso de larga trayectoria, ampliamente conocido como Sandworm, que los gobiernos occidentales asocian con la Dirección Principal de Inteligencia (GRU) de Rusia. El grupo ha sido vinculado a campañas cibernéticas disruptivas anteriores, incluyendo un ataque a la red eléctrica de Ucrania en 2015.
El ministro polaco de Asuntos Digitales afirmó que el incidente fue el primer ataque a gran escala conocido contra recursos energéticos distribuidos y describió el ataque tanto a instalaciones renovables grandes como pequeñas como una escalada de las amenazas cibernéticas al sector energético. Los funcionarios dijeron que el ataque mostró cómo se pueden explotar los sistemas digitales que conectan activos de generación eléctrica con infraestructuras de control de la red.
El primer ministro Donald Tusk y los responsables energéticos dijeron que la operación parecía destinada a interrumpir la comunicación entre las instalaciones generadoras y los operadores de la red. La magnitud y sofisticación del ataque provocaron advertencias de las autoridades nacionales de que la infraestructura crítica sigue siendo vulnerable a futuras incursiones de actores vinculados al Estado. A pesar de la ausencia de cortes, el episodio desencadenó planes para reforzar los requisitos de ciberseguridad de los sistemas energéticos y equipar a los operadores públicos y privados con herramientas avanzadas para la detección y respuesta a amenazas.
Informes independientes indicaron que los investigadores que analizaron el malware y las técnicas de intrusión vieron fuertes similitudes con campañas anteriores de Sandworm, incluyendo solapamiento de código y tácticas consistentes con actores vinculados a GRU. Los gobiernos occidentales han atribuido oficialmente en el pasado los ciberataques destructivos a infraestructuras en Europa a unidades de inteligencia militar rusa e han impuesto sanciones relacionadas con dichas operaciones.
El ministro de Energía de Polonia describió el evento de finales de diciembre como el ciberataque más potente al sistema energético nacional en años y confirmó que las medidas defensivas evitaron la pérdida de energía para los consumidores durante un periodo de frío. La evaluación del gobierno subrayó la importancia de la vigilancia y la mayor protección de las redes de infraestructuras críticas.