El ataque coordinado a la red eléctrica de Polonia a finales de diciembre tuvo
como objetivo múltiples instalaciones de recursos energéticos distribuidos
(RED) en todo el país, incluyendo plantas de cogeneración (CHP) y sistemas de
distribución eólica y solar.
Aunque el atacante comprometió los sistemas de tecnología operativa (OT),
dañando equipos clave irreparablemente, no logró interrumpir el suministro
eléctrico, lo que representa un total de 1,2 GW, o el 5% del suministro
energético de Polonia.
Según informes públicos, hay al menos 12 instalaciones afectadas confirmadas.
Sin embargo, investigadores afirman que la cifra es de aproximadamente 30.
Fallos y configuraciones erróneas
Investigadores de Dragos, empresa de seguridad de infraestructuras
industriales críticas (OT) y sistemas de control (ICS), publicaron más
detalles sobre el ataque y afirman que la ausencia de cortes de energía no
indica un incidente menos preocupante, sino que debe interpretarse como una
advertencia sobre la vulnerabilidad de los sistemas energéticos
descentralizados.
«Atacar una red eléctrica en cualquier momento es irresponsable, pero
llevarlo a cabo en pleno invierno es potencialmente letal para la población
civil que depende de ella»,
afirma el informe de Dragos.
«Es lamentable que quienes atacan estos sistemas parezcan elegir
deliberadamente el momento ideal para maximizar el impacto en la población
civil».
Dragos atribuye el ataque con cierta certeza a un actor de amenazas ruso que
rastrea como
Electrum. Si bien se superpone con Sandworm (APT44), los investigadores subrayan que
se trata de un clúster de actividad distinto.
ESET publicó hace unos días un informe sobre APT44, vinculándolo con ataques
destructivos fallidos contra la red eléctrica de Polonia mediante el malware
DynoWiper. Dragos vincula Electrum con otros «limpiadores» implementados contra redes
ucranianas, incluyendo unidades de suministro de energía como
Caddywiper
e
Industroyer2, y señala que las operaciones del grupo de amenazas se han expandido
recientemente a más países.
Electrum atacó sistemas expuestos y vulnerables relacionados con el despacho y
la comunicación con la red, unidades terminales remotas (RTU), dispositivos de
borde de red, sistemas de monitorización y control, y máquinas Windows en las
instalaciones DER.
Atacante experto
Basándose en la evidencia de la respuesta a un incidente en una de las
instalaciones afectadas, Dragos señala que los atacantes demostraron un
profundo conocimiento y comprensión de cómo se implementan y operan estos
dispositivos, comprometiendo repetidamente configuraciones similares de RTU y
dispositivos de borde en múltiples instalaciones.
Electrum desactivó con éxito los equipos de comunicaciones en varias
instalaciones, lo que provocó la pérdida de la monitorización y el control
remotos, pero la generación de energía en las unidades continuó sin
interrupciones.
Algunos dispositivos OT/ICS se deshabilitaron y sus configuraciones se
corrompieron irreparablemente, mientras que los sistemas Windows de las
instalaciones se borraron.
Incluso si los ataques hubieran tenido éxito en cortar el suministro
eléctrico, el alcance relativamente limitado del ataque no habría sido
suficiente para causar un apagón nacional en Polonia.
Sin embargo, podrían haber causado una desestabilización significativa de la
frecuencia del sistema.
«Estas desviaciones de frecuencia han provocado fallos en cascada en otros
sistemas eléctricos, incluido el colapso de la red ibérica en 2025», afirman los investigadores.
Fuente:
BC