>

El ataque coordinado a la red eléctrica de Polonia a finales de diciembre tuvo como objetivo múltiples instalaciones de recursos energéticos distribuidos (RED) en todo el país, incluyendo plantas de cogeneración (CHP) y sistemas de distribución eólica y solar.

Aunque el atacante comprometió los sistemas de tecnología operativa (OT), dañando equipos clave irreparablemente, no logró interrumpir el suministro eléctrico, lo que representa un total de 1,2 GW, o el 5% del suministro energético de Polonia.

Según informes públicos, hay al menos 12 instalaciones afectadas confirmadas. Sin embargo, investigadores afirman que la cifra es de aproximadamente 30.

Fallos y configuraciones erróneas

Investigadores de Dragos, empresa de seguridad de infraestructuras industriales críticas (OT) y sistemas de control (ICS), publicaron más detalles sobre el ataque y afirman que la ausencia de cortes de energía no indica un incidente menos preocupante, sino que debe interpretarse como una advertencia sobre la vulnerabilidad de los sistemas energéticos descentralizados.

"Atacar una red eléctrica en cualquier momento es irresponsable, pero llevarlo a cabo en pleno invierno es potencialmente letal para la población civil que depende de ella", afirma el informe de Dragos. "Es lamentable que quienes atacan estos sistemas parezcan elegir deliberadamente el momento ideal para maximizar el impacto en la población civil".

Dragos atribuye el ataque con cierta certeza a un actor de amenazas ruso que rastrea como Electrum. Si bien se superpone con Sandworm (APT44), los investigadores subrayan que se trata de un clúster de actividad distinto.

ESET publicó hace unos días un informe sobre APT44, vinculándolo con ataques destructivos fallidos contra la red eléctrica de Polonia mediante el malware DynoWiper. Dragos vincula Electrum con otros "limpiadores" implementados contra redes ucranianas, incluyendo unidades de suministro de energía como Caddywiper e Industroyer2, y señala que las operaciones del grupo de amenazas se han expandido recientemente a más países.

Electrum atacó sistemas expuestos y vulnerables relacionados con el despacho y la comunicación con la red, unidades terminales remotas (RTU), dispositivos de borde de red, sistemas de monitorización y control, y máquinas Windows en las instalaciones DER.

Atacante experto

Basándose en la evidencia de la respuesta a un incidente en una de las instalaciones afectadas, Dragos señala que los atacantes demostraron un profundo conocimiento y comprensión de cómo se implementan y operan estos dispositivos, comprometiendo repetidamente configuraciones similares de RTU y dispositivos de borde en múltiples instalaciones.

Electrum desactivó con éxito los equipos de comunicaciones en varias instalaciones, lo que provocó la pérdida de la monitorización y el control remotos, pero la generación de energía en las unidades continuó sin interrupciones.

Algunos dispositivos OT/ICS se deshabilitaron y sus configuraciones se corrompieron irreparablemente, mientras que los sistemas Windows de las instalaciones se borraron.

Incluso si los ataques hubieran tenido éxito en cortar el suministro eléctrico, el alcance relativamente limitado del ataque no habría sido suficiente para causar un apagón nacional en Polonia.

Sin embargo, podrían haber causado una desestabilización significativa de la frecuencia del sistema. "Estas desviaciones de frecuencia han provocado fallos en cascada en otros sistemas eléctricos, incluido el colapso de la red ibérica en 2025", afirman los investigadores.

Fuente: BC