A finales de 2025 y principios de 2026, Polonia se convirtió en epicentro de un ataque coordinado y altamente sofisticado contra su infraestructura energética. Las autoridades polacas, así como la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos, hicieron público el incidente y emitieron una alerta dirigida a organizaciones del sector energético e infraestructuras críticas de todo el mundo para extremar precauciones ante ataques similares.
Si bien el suministro eléctrico no colapsó totalmente, la intrusión expuso vulnerabilidades profundas en los sistemas de tecnología operativa (OT) y en los entornos de control industrial. Lo ocurrido puso de manifiesto el potencial del riesgo: de haber escalado la afectación, el país habría enfrentado un apagón nacional con consecuencias económicas y sociales severas.
El ataque fue atribuido al grupo ruso Sandworm, conocido por operaciones previas contra infraestructuras críticas, revelando un cambio estructural en el panorama de amenazas, donde actores sofisticados dirigen su atención hacia vectores que durante años fueron considerados de bajo riesgo. Los sistemas industriales, históricamente aislados, hoy están interconectados, digitalizados y, en muchos casos, expuestos.
La anatomía del ataque
El ciberataque en territorio polaco estuvo dirigido contra dispositivos de control industrial y afectó aproximadamente 30 instalaciones, incluyendo parques eólicos, solares y plantas de cogeneración. No se trató de un simple ataque a servidores corporativos; el objetivo fueron los sistemas que interactúan directamente con procesos físicos: controladores, interfaces hombre-máquina (HMI), unidades terminales remotas (RTU) y dispositivos edge.
Uno de los vectores principales fue el acceso a dispositivos OT expuestos a internet sin protección robusta ni segmentación adecuada. Equipos diseñados para operar de forma aislada fueron accesibles desde redes externas, creando rutas directas para que los atacantes ingresaran al entorno industrial y avanzaran lateralmente sin enfrentar barreras significativas.
La explotación de credenciales por defecto mal configuradas constituyó otra pieza fundamental. A pesar de ser una de las fallas más básicas en ciberseguridad, el uso de contraseñas predeterminadas continúa siendo una vulnerabilidad recurrente en el mundo OT. En el caso polaco, esta debilidad facilitó el movimiento lateral dentro de las redes industriales, permitiendo comprometer múltiples instalaciones en cascada.
El elemento más disruptivo fue la implantación de DynoWipers, una variante de malware del tipo “wiper”. A diferencia del ransomware tradicional, cuyo objetivo es exigir rescate, el wiper destruye datos de forma permanente. En este ataque, el malware fue utilizado para corromper firmwares de HMIs y RTUs, dañando equipos críticos y dificultando severamente el monitoreo de la red con el objetivo de inutilizar sistemas y generar un impacto físico, no sólo digital.
El ataque afectó también la visibilidad operacional, complicando la supervisión en tiempo real. Sin embargo, los mecanismos de resiliencia operativa del sistema energético polaco evitaron un apagón generalizado.
Desde una perspectiva técnica, el incidente fue la culminación de una cadena de fallas de seguridad. La exposición de activos OT a internet fue la puerta de entrada, la mala gestión de identidades facilitó la escalada, la falta de monitoreo proactivo retrasó la detección, mientras que la ausencia de controles específicos contra malware destructivo amplificó el daño potencial.
¿Estamos preparados?
Hoy, México está inmerso en un proceso acelerado de digitalización de infraestructuras críticas: plantas generadoras, sistemas de transporte, redes de distribución de agua y procesos industriales. En este contexto, la convergencia entre TI y OT, de no gestionarse adecuadamente, podría incrementar exponencialmente la superficie de ataque.
Actualmente, existen avances importantes en resiliencia operativa del sector eléctrico mexicano. Por ejemplo, el Centro Nacional de Control de Energía (CENACE) vigila la operación en tiempo real del sistema eléctrico nacional, mantiene el equilibrio entre generación y demanda y coordina maniobras para prevenir contingencias. Cuenta con centros de control redundantes, esquemas de protección sistémica y capacidad de despacho redistribuido, elementos que fortalecen la estabilidad física del sistema.
La Comisión Federal de Electricidad (CFE), por su parte, dispone de centros de monitoreo SCADA, red propia de telecomunicaciones y procedimientos de restauración Black Start. En comparación con otros países de la región, México posee una resiliencia eléctrica física considerable. Sin embargo, estos mecanismos fueron diseñados principalmente para enfrentar fallas técnicas o fenómenos naturales, no para responder a ataques coordinados de sabotaje digital contra entornos OT.
Asimismo, el Centro Nacional de Protección e Infraestructura Crítica de la Secretaría de Energía proporciona un marco de seguridad nacional que reconoce al sector eléctrico como infraestructura estratégica. Aunque fortalece la coordinación interinstitucional ante amenazas graves, aún no contempla de manera integral la creación de un CERT sectorial especializado en energía con capacidades avanzadas en OT.
En el ámbito normativo, la Comisión Reguladora de Energía (CRE) ha emitido un Código de Red que establece requisitos mínimos de confiabilidad, calidad y control de frecuencia y voltaje. No obstante, este marco está enfocado únicamente en la estabilidad eléctrica, no en la ciberresiliencia. No aborda explícitamente segmentación de redes OT, detección de intrusos industriales ni gestión de vulnerabilidades en sistemas SCADA.
En términos prácticos, México podría resistir un ataque similar sin un colapso total del sistema. Sin embargo, se enfrentarían interrupciones relevantes, pérdida de visibilidad operacional y procesos de restauración manual prolongados. La afectación a parques eólicos y solares interconectados complicaría la recuperación, aumentando los tiempos de restablecimiento y el impacto económico.
Fortalecimiento de OT y la infraestructura crítica
A partir de su amplia experiencia trabajando con el sector energético global, Minsait sugiere una serie de recomendaciones de ciberseguridad para OT y las infraestructuras críticas del sector energético.
- Fortalecer los perímetros y segmentar la red. Es importante realizar una segmentación estricta entre las redes de TI y OT, asegurándose que los dispositivos OT no estén directamente expuestos a internet y establecer mecanismos de control de acceso robustos.
- Gestionar las identidades y los controles de acceso. Se sugiere eliminar credenciales por defecto, implementar autenticación multifactor y monitorear identidades en tiempo real. Otras alternativas incluyen establecer políticas de contraseñas robustas y vigentes, monitorear identidades y controlar el acceso y crear un inventario de vulnerabilidades y evaluarlas continuamente.
- Desarrollar capacidad de respuesta y resiliencia operativa. Crear planes de respuesta a incidentes específicos para OT que incluyan escenarios de pérdida total de dispositivos físicos, realizar ejercicios de resiliencia y recuperación que simulen daños físicos y lógicos y poner en práctica el monitoreo y detección avanzados.
Nada de lo anterior tendrá impacto sin un centro de operaciones de ciberseguridad (SOC) con capacidades 7×24 y especialización en entornos industriales. La adopción de soluciones de detección de anomalías, como IDS o IPS adaptados a protocolos industriales, y el análisis continuo de patrones de tráfico son esenciales para identificar movimientos laterales atípicos antes de que se materialicen en sabotaje.
Un recurso transversal
El ataque contra la infraestructura energética de Polonia fue un llamado de atención para el mundo. Demostró que los sistemas crítica que sostienen la vida moderna son objetivos reales y persistentes. Para México y América Latina, la lección es contundente: la seguridad no puede limitarse a proteger redes corporativas; debe integrarse transversalmente, desde sensores industriales hasta plataformas en la nube.
La resiliencia eléctrica física es fundamental, pero sin ciberresiliencia, la estabilidad puede verse comprometida en cuestión de horas. La pregunta no es si ocurrirá un intento similar, sino cuándo y qué tan preparados estaremos para enfrentarlo.
