¿Cuál es la diferencia entre un wiper y un ransomware?

Un ransomware cifra los datos de la víctima con una clave que los atacantes poseen, y exige un pago a cambio de esa clave. Un wiper destruye los datos sin posibilidad real de recuperación, aunque a veces se disfraza de ransomware mostrando una nota de rescate falsa (como hizo WhisperGate). La distinción clave es la intención: el ransomware busca monetización, el wiper busca destrucción. En el contexto de Ucrania, todos los wipers desplegados por Rusia eran armas de destrucción digital, no herramientas de extorsión.

¿Por qué Rusia desplegó tantas variantes diferentes de wipers?

La diversidad de wipers responde a varias razones operativas: cada variante era un desarrollo independiente para evitar que la detección de uno comprometiera a los demás. Diferentes variantes se diseñaron para diferentes vectores de acceso y tipos de objetivo. Equipos distintos dentro de la inteligencia rusa (GRU, SVR, FSB) desarrollaban sus propias herramientas. Además, la resistencia ucraniana y la ayuda internacional obligaron a los atacantes a crear nuevas variantes cuando las anteriores eran detectadas y bloqueadas.

¿Cómo resistió Ucrania la ofensiva cibernética rusa?

La resiliencia cibernética de Ucrania se debió a varios factores: años de experiencia defendiéndose de ataques rusos (desde 2014 y los apagones eléctricos de 2015-2016), asistencia técnica directa de empresas occidentales (Microsoft, ESET, Google, Amazon), apoyo gubernamental de Estados Unidos y la UE, migración acelerada de infraestructura gubernamental a servicios cloud (incluyendo AWS), compartición rápida de inteligencia sobre amenazas, y la determinación del CERT-UA y las fuerzas de ciberdefensa ucranianas. También influyó que muchos ataques se dirigieron contra IT (no OT) y que la infraestructura ya se había endurecido tras años de conflicto.

¿Qué fue el ataque a Viasat KA-SAT?

El 24 de febrero de 2022, coincidiendo con el inicio de la invasión terrestre, un ataque cibernético inutilizó decenas de miles de módems del servicio de Internet satelital KA-SAT operado por Viasat. El malware AcidRain fue desplegado contra los módems, sobrescribiendo su firmware y dejándolos inoperativos. El ataque afectó a comunicaciones militares y civiles ucranianas, pero también causó daño colateral: 5.800 aerogeneradores de Enercon en Alemania perdieron su conexión de monitorización remota. Estados Unidos y la UE atribuyeron el ataque a Rusia en mayo de 2022.

¿Qué papel jugó NotPetya como ensayo general de la ciberguerra en Ucrania?

NotPetya (junio de 2017) fue un wiper disfrazado de ransomware, desplegado por Sandworm (GRU Unidad 74455) a través de una actualización troyanizada del software de contabilidad ucraniano M.E.Doc. Causó más de 10.000 millones de dólares en daños globales, afectando a Maersk, Merck, FedEx y cientos de empresas. NotPetya demostró tres lecciones que Rusia aplicó en 2022: los wipers disfrazados de ransomware retrasan la respuesta, los ataques a la cadena de suministro maximizan el alcance, y Ucrania era un objetivo viable para operaciones cibernéticas destructivas a gran escala. Sin embargo, también enseñó a Ucrania y a la comunidad internacional la necesidad de prepararse para ataques similares.

Avanzadohistoriawipernation-stateciberguerraSandwormUcraniadestrucción

Wipers en Ucrania: HermeticWiper, WhisperGate y CaddyWiper (2022)

En 2022, la invasión rusa de Ucrania fue precedida y acompañada por una ofensiva cibernética sin precedentes. Al menos nueve variantes de malware destructivo (wipers) fueron desplegadas contra infraestructura ucraniana, desde WhisperGate en enero hasta AcidPour en 2024, en la mayor campaña de ciberguerra documentada.

MalwareIntel Research·20 de mayo de 2026·19 min lectura·3 técnicas ATT&CK

Serie: Historia del Malware — Parte 22

2022: la ciberguerra que acompañó a la guerra

El 24 de febrero de 2022, Rusia lanzó una invasión militar a gran escala contra Ucrania. Pero la ofensiva cibernética había comenzado semanas antes. El 13 de enero, un malware destructivo llamado WhisperGate fue desplegado contra agencias gubernamentales ucranianas. El 23 de febrero, un día antes de la invasión, HermeticWiper atacó organizaciones ucranianas en una operación coordinada con la ofensiva terrestre. En las semanas y meses siguientes, IsaacWiper, CaddyWiper, DoubleZero, AcidRain, SwiftSlicer y otras variantes completaron la mayor campaña de wipers documentada en la historia.

Lo que ocurrió en el ciberespacio ucraniano en 2022 fue un laboratorio en tiempo real de ciberguerra: el primer conflicto bélico a gran escala donde las operaciones cibernéticas ofensivas se ejecutaban de forma coordinada y simultánea con operaciones militares convencionales. Los wipers fueron las armas principales de esa ofensiva digital.

El ensayo general: NotPetya (2017)

La campaña de wipers de 2022 no surgió de la nada. Su precedente más importante fue NotPetya, desplegado por Sandworm en junio de 2017 a través de una actualización troyanizada del software de contabilidad ucraniano M.E.Doc. NotPetya se disfrazó de ransomware Petya, pero no tenía mecanismo de recuperación: era un wiper puro que destruía los datos de forma irreversible. Se propagó globalmente y causó más de 10.000 millones de dólares en daños, afectando a Maersk, Merck, FedEx, Mondelez y cientos de empresas fuera de Ucrania.

NotPetya estableció el patrón que Rusia repetiría cinco años después: wipers disfrazados de ransomware, desplegados contra infraestructura ucraniana, con capacidad de propagación autónoma. Pero también fue una advertencia que Ucrania y sus aliados supieron interpretar.

Wipers: armas de destrucción digital

Qué es un wiper y en qué se diferencia del ransomware

Un wiper es malware diseñado para destruir datos de forma irreversible. A diferencia del ransomware, que cifra los datos y exige un pago para proporcionar la clave de descifrado, un wiper no ofrece posibilidad de recuperación. Su objetivo es causar el máximo daño operativo posible.

Característica	Ransomware	Wiper
Objetivo	Monetización	Destrucción
Datos recuperables	Sí (con la clave)	No
Nota de rescate	Real, con instrucciones de pago	Ausente o falsa
Clave de cifrado	Almacenada por los atacantes	No existe o se destruye
Motivación típica	Financiera	Geopolítica, sabotaje
Actor típico	Grupos criminales	Estados-nación

Algunos wipers se disfrazan deliberadamente de ransomware para confundir la atribución y retrasar la respuesta. WhisperGate y NotPetya son ejemplos claros de este engaño.

Técnicas de destrucción de datos

Los wipers utilizan diferentes técnicas para destruir datos, dependiendo de su sofisticación y objetivos:

Sobrescritura del MBR/GPT: Destruye el registro de arranque del disco, impidiendo que el sistema operativo arranque
Sobrescritura de la MFT: Destruye la Master File Table de NTFS, haciendo que los ficheros sean ilocalizables
Sobrescritura de ficheros: Recorre el sistema de ficheros y sobrescribe los contenidos de archivos seleccionados
Corrupción de drivers: Utiliza drivers legítimos del sistema para acceder directamente al disco y sobrescribir datos a nivel de sector
Borrado selectivo: Apunta a tipos de ficheros específicos (documentos, bases de datos, backups) para maximizar el impacto operativo
Destrucción de firmware: Sobrescribe el almacenamiento flash de dispositivos embebidos, dejándolos permanentemente inoperativos

Cronología de los wipers: enero 2022 a 2024

WhisperGate (13 de enero de 2022)

WhisperGate fue el primer wiper desplegado en la escalada previa a la invasión. Microsoft Threat Intelligence Center (MSTIC) lo detectó el 13 de enero de 2022 en redes de organizaciones gubernamentales ucranianas, incluyendo ministerios y proveedores de servicios IT del gobierno.

Diseño en dos fases. La primera fase sobrescribía el Master Boot Record (MBR) con una nota de rescate falsa que exigía 10.000 dólares en Bitcoin a una dirección específica. La segunda fase, un componente independiente, descargaba y ejecutaba un corruptor de ficheros que seleccionaba archivos por extensión (.docx, .xlsx, .pptx, .pdf, .sql, .zip y otras 190 extensiones) y los sobrescribía con un millón de bytes (0xCC), destruyendo su contenido.

Engaño deliberado. La nota de rescate era falsa en todos los sentidos. No existía mecanismo real de descifrado, la infraestructura de pago no era funcional, y la dirección de Bitcoin era un señuelo. Microsoft identificó que el componente de destrucción de ficheros no cifraba sino que sobrescribía, confirmando que WhisperGate era un wiper puro disfrazado de ransomware. Esta técnica buscaba retrasar la respuesta: si los defensores creían estar ante un ransomware, perderían tiempo buscando una clave de descifrado que no existía.

Atributo	Detalle
Fecha de detección	13 de enero de 2022
Descubierto por	Microsoft Threat Intelligence Center (MSTIC)
Objetivos	Agencias gubernamentales ucranianas, proveedores IT gubernamentales
Técnica	Sobrescritura MBR + corrupción selectiva de ficheros (190+ extensiones)
Disfraz	Nota de rescate falsa (10.000 USD en BTC)
Atribución	DEV-0586 (Microsoft), vinculado a inteligencia militar rusa
MITRE	T1561.002 (Disk Structure Wipe), T1485 (Data Destruction)

HermeticWiper (23 de febrero de 2022)

HermeticWiper fue el wiper más sofisticado desplegado en toda la campaña. ESET lo detectó el 23 de febrero de 2022, un día antes de la invasión, atacando al menos cinco organizaciones ucranianas de los sectores gubernamental y financiero. En las horas siguientes se confirmaron cientos de sistemas afectados en múltiples organizaciones.

Abuso de driver legítimo. HermeticWiper utilizaba un driver del software EaseUS Partition Master (empntdrv.sys), firmado digitalmente y reconocido como legítimo por Windows, para obtener acceso directo a nivel de disco físico. Esto le permitía bypasear las protecciones del sistema operativo y sobrescribir el MBR, la tabla de particiones GPT y sectores críticos del disco con datos aleatorios generados por la API CryptGenRandom de Windows.

Ecosistema de componentes. HermeticWiper no operaba solo. Se desplegó junto con un ecosistema coordinado de herramientas:

HermeticWizard: Un gusano (worm) diseñado para propagar HermeticWiper por la red local de la víctima, escaneando rangos de IPs locales mediante WMI y SMB, y desplegando el wiper en cada máquina accesible
HermeticRansom (también conocido como PartyTicket): Un ransomware decoy escrito en Go que cifraba ficheros mientras HermeticWiper realizaba la destrucción real. Su código contenía errores deliberados y referencias humorísticas a la política estadounidense, lo que sugería que su propósito no era funcional sino confundir a los defensores

Certificado de tapadera. El wiper estaba firmado con un certificado digital válido emitido a nombre de "Hermetica Digital Ltd", una empresa registrada en Chipre que aparentemente fue creada como tapadera meses antes de la operación. El nombre del malware deriva de esta empresa. El certificado fue emitido el 13 de abril de 2021, lo que indica planificación con al menos diez meses de antelación.

Acceso previo confirmado. Análisis forense de ESET y Symantec reveló que los atacantes habían comprometido las redes de las víctimas semanas o meses antes del despliegue. En al menos un caso, los atacantes habían robado credenciales de Active Directory y preparado GPOs (Group Policy Objects) para distribuir el wiper. Las timestamps de compilación del malware indicaban desarrollo activo desde diciembre de 2021.

Atributo	Detalle
Fecha de detección	23 de febrero de 2022
Descubierto por	ESET Research
Objetivos	Organizaciones gubernamentales y financieras ucranianas (cientos de sistemas)
Técnica	Driver legítimo EaseUS (empntdrv.sys) + sobrescritura directa de disco
Componentes	HermeticWiper + HermeticWizard (worm) + HermeticRansom (decoy)
Firma digital	Certificado de Hermetica Digital Ltd (Chipre), emitido abril 2021
Atribución	Sandworm (GRU, Unidad 74455)
MITRE	T1561.002, T1485, T1036 (Masquerading), T1218 (Signed Binary Proxy)

IsaacWiper (24 de febrero de 2022)

Detectado el mismo día de la invasión terrestre, IsaacWiper era considerablemente menos sofisticado que HermeticWiper. Escrito en C++ sin ofuscación significativa, iteraba sobre el sistema de ficheros y sobrescribía los contenidos de cada archivo con datos aleatorios generados con el generador Mersenne Twister. No utilizaba drivers de terceros ni técnicas avanzadas de evasión.

ESET encontró que IsaacWiper se había compilado el 19 de octubre de 2021, cuatro meses antes de su despliegue. Esta fecha, combinada con el certificado de HermeticWiper de abril de 2021 y las intrusiones previas confirmadas, demostraba que la ofensiva cibernética fue planificada con mucha antelación como parte integral de la operación militar.

CaddyWiper (14 de marzo de 2022)

Descubierto por ESET el 14 de marzo, CaddyWiper era un wiper compacto (solo 9 KB de código) que operaba en dos fases: primero llenaba los primeros 1.920 bytes de cada fichero con ceros (destruyendo las cabeceras y metadatos del archivo), y luego sobrescribía sectores del disco físico con ceros usando llamadas DeviceIoControl para hacer el sistema completamente inarrancable.

CaddyWiper tenía una particularidad reveladora: verificaba si se estaba ejecutando en un controlador de dominio (Domain Controller) de Active Directory y, si era así, no destruía los datos de ese servidor. Esto indicaba que los atacantes querían mantener la infraestructura de Active Directory intacta para facilitar la propagación del wiper a otras máquinas de la red antes de la destrucción final. CaddyWiper fue reutilizado en abril de 2022 como componente destructivo en el ataque Industroyer2 contra la red eléctrica.

DoubleZero (22 de marzo de 2022)

Detectado por el CERT-UA (Computer Emergency Response Team de Ucrania), DoubleZero era un wiper escrito en .NET que destruía ficheros y claves del registro de Windows mediante sobrescritura con bloques de ceros de 4.096 bytes. Apuntaba específicamente a ficheros de sistema y registro para maximizar la inestabilidad del sistema operativo antes de intentar sobrescribir el disco.

AcidRain y el ataque a Viasat KA-SAT (24 de febrero de 2022)

Uno de los ataques más significativos y estratégicos del conflicto no fue contra infraestructura terrestre sino satelital. El 24 de febrero de 2022, a las 05:00 UTC (coincidiendo con el inicio de la invasión terrestre), un ataque cibernético inutilizó decenas de miles de módems del servicio de Internet satelital KA-SAT, operado por Viasat.

El malware AcidRain fue diseñado específicamente para destruir el firmware de módems de comunicaciones satelitales basados en Linux (arquitectura MIPS). Sobrescribía el almacenamiento flash de los dispositivos de forma secuencial, desde /dev/mtd0 hasta /dev/mtd31, y luego los dispositivos de almacenamiento estándar (/dev/sda, /dev/mmcblk0), dejándolos permanentemente inoperativos ("bricked"). El ataque requirió acceso previo al sistema de gestión centralizada de la infraestructura KA-SAT.

El impacto fue doble y tuvo consecuencias transfronterizas:

Militar: Interrumpió comunicaciones militares y de mando ucranianas que dependían del servicio satelital en las primeras horas de la invasión
Daño colateral en Europa: Aproximadamente 30.000 módems en toda Europa quedaron inoperativos. Entre ellos, 5.800 aerogeneradores de Enercon en Alemania perdieron su conexión de monitorización remota, demostrando cómo un ataque dirigido contra un país podía causar disrupciones en otro

En mayo de 2022, la Unión Europea y Estados Unidos atribuyeron formalmente el ataque a Rusia. SentinelLabs publicó el análisis técnico detallado de AcidRain y estableció conexiones de código con el framework VPNFilter, previamente atribuido a Sandworm.

SwiftSlicer (25 de enero de 2023)

Un año después del inicio de la ofensiva, nuevos wipers seguían apareciendo. SwiftSlicer, desplegado mediante Active Directory Group Policy Objects (GPO), fue detectado por ESET y atribuido a Sandworm. Escrito en Go (un lenguaje que Sandworm adoptó progresivamente para sus herramientas), utilizaba bloques aleatorios de 4.096 bytes para sobrescribir ficheros del directorio %SYSTEMDRIVE%\Windows y el directorio de perfil de usuario, y luego reiniciaba el sistema para garantizar que fuera inarrancable.

AcidPour (2024)

La evolución del arsenal continuó en 2024 con AcidPour, una variante significativamente más sofisticada de AcidRain. Diseñada para atacar dispositivos Linux y sistemas embebidos, AcidPour ampliaba las capacidades de destrucción a una gama más amplia de dispositivos: routers empresariales, servidores Linux, sistemas de almacenamiento en red (NAS), y dispositivos IoT industriales. SentinelLabs identificó que AcidPour añadía soporte específico para sistemas de ficheros UBI (Unsorted Block Images), comunes en dispositivos embebidos con memoria flash NAND, y para RAID arrays en servidores Linux.

El catálogo completo de wipers

Wiper	Fecha	Técnica principal	Objetivo
WhisperGate	13 enero 2022	MBR + corrupción ficheros (190+ ext.)	Gobierno ucraniano
HermeticWiper	23 febrero 2022	Driver EaseUS + disco directo	Gobierno, finanzas (cientos de sistemas)
IsaacWiper	24 febrero 2022	Sobrescritura secuencial de ficheros	Gobierno ucraniano
AcidRain	24 febrero 2022	Flash firmware de módems (MIPS/Linux)	Viasat KA-SAT (~30.000 módems)
CaddyWiper	14 marzo 2022	Cabeceras + sectores disco (9 KB)	Energía, gobierno
DoubleZero	22 marzo 2022	Sobrescritura .NET + registro	Empresas ucranianas
Industroyer2	12 abril 2022	Protocolo ICS (IEC-104)	Red eléctrica
SwiftSlicer	25 enero 2023	Group Policy + Go	Gobierno ucraniano
AcidPour	2024	Variante AcidRain para Linux/UBI/RAID	Dispositivos embebidos, servidores

Sandworm: el actor principal

Quién es Sandworm

Sandworm (también conocido como Voodoo Bear, IRIDIUM o Seashell Blizzard en la taxonomía de Microsoft) es la Unidad 74455 del GRU, la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia. Es uno de los grupos de ciberataque más peligrosos y prolíficos documentados, responsable de:

Los ataques a la red eléctrica ucraniana en diciembre de 2015 (BlackEnergy3, primer apagón causado por ciberataque) y diciembre de 2016 (Industroyer/CrashOverride)
NotPetya (junio de 2017), el ciberataque más costoso de la historia (>10.000 millones USD)
El ataque a los Juegos Olímpicos de Invierno de PyeongChang 2018 (Olympic Destroyer), con false flags deliberados apuntando a Corea del Norte y China
Múltiples campañas de wipers contra Ucrania en 2022, 2023 y 2024
El ataque a Viasat KA-SAT (AcidRain) el día de la invasión

En octubre de 2020, el Departamento de Justicia de Estados Unidos acusó formalmente a seis oficiales del GRU miembros de la Unidad 74455 por los ataques de NotPetya, Olympic Destroyer y otras operaciones.

Atributo	Detalle
Nombre	Sandworm / Voodoo Bear / IRIDIUM / Seashell Blizzard
MITRE ID	G0034
Afiliación	GRU, Unidad 74455 (inteligencia militar rusa)
Base	Torre del GRU, Jyamskiy Proyezd 22, Moscú
Motivación	Destrucción, sabotaje, desestabilización
Activo desde	Al menos 2009
Capacidades	Wipers, ataques ICS/SCADA, supply chain, zero-days, operaciones de información
Especialidad	Operaciones destructivas contra infraestructura crítica

Otros actores rusos involucrados

Sandworm no fue el único actor estatal ruso operando contra Ucrania. La campaña cibernética involucró múltiples unidades de inteligencia con roles diferenciados:

APT28 (Fancy Bear, GRU Unidad 26165): Operaciones de espionaje, recopilación de inteligencia y campañas de phishing dirigidas contra funcionarios ucranianos y de la OTAN
APT29 (Cozy Bear, SVR): Espionaje estratégico contra aliados occidentales de Ucrania, particularmente gobiernos y think tanks
Gamaredon (FSB, Centro 18): Campañas masivas y persistentes de phishing contra entidades gubernamentales ucranianas, con un volumen de operaciones superior al de cualquier otro grupo
UNC1151 (Ghostwriter, vinculado a Bielorrusia): Operaciones de desinformación y espionaje contra Ucrania y países bálticos

Industroyer2: el ataque a la red eléctrica

El 12 de abril de 2022, ESET y el CERT-UA detectaron y neutralizaron un intento de ataque contra la red eléctrica ucraniana utilizando una nueva versión de Industroyer, el malware que había causado un apagón parcial en Kiev en diciembre de 2016.

Industroyer2 estaba diseñado para comunicarse con equipos de subestaciones eléctricas mediante el protocolo industrial IEC-104 y enviar comandos para abrir disyuntores de alta tensión, lo que habría provocado un apagón regional. A diferencia de los wipers que atacaban sistemas IT (ordenadores, servidores), Industroyer2 apuntaba directamente a sistemas de control industrial (OT/ICS). El ataque combinaba Industroyer2 para la destrucción de los sistemas OT con CaddyWiper para destruir los sistemas IT de la misma organización, maximizando la dificultad de la restauración.

El ataque fue detectado y neutralizado antes de causar un apagón, gracias a la colaboración coordinada entre CERT-UA, ESET y los operadores de la red eléctrica ucraniana. Este fue uno de los momentos más críticos de la ciberguerra: un ataque contra infraestructura eléctrica coordinado con operaciones militares convencionales, neutralizado in extremis.

La resiliencia ucraniana

Factores de defensa

A pesar de la intensidad y diversidad de la ofensiva cibernética rusa (al menos nueve variantes de wipers, un ataque a infraestructura satelital y un intento de ataque a la red eléctrica), el impacto fue significativamente menor de lo que muchos analistas anticipaban. Varios factores contribuyeron a esta resiliencia:

Experiencia forjada en el fuego. Ucrania llevaba siendo objetivo de ciberataques rusos desde 2014 (anexión de Crimea). Los apagones eléctricos de 2015 y 2016, NotPetya en 2017, y las campañas constantes de Gamaredon habían forzado al país a desarrollar capacidades de ciberdefensa que pocos países de su tamaño tenían. El CERT-UA se convirtió en uno de los equipos de respuesta más experimentados del mundo en la gestión de ataques destructivos de estado-nación.

Coalición Cibernética Internacional. Empresas tecnológicas y gobiernos occidentales proporcionaron asistencia directa sin precedentes:

Microsoft detectó WhisperGate y HermeticWiper, publicando análisis técnicos inmediatos y proporcionando licencias gratuitas de sus herramientas de seguridad al gobierno ucraniano
ESET, desde sus operaciones en Eslovaquia (país vecino de Ucrania), detectó y analizó la mayoría de los wipers, publicando investigaciones técnicas detalladas en tiempo récord
Amazon Web Services ayudó a migrar infraestructura gubernamental ucraniana a la nube, incluyendo datos fiscales y de registro civil
Google proporcionó Project Shield (protección DDoS) y soporte de Mandiant para investigación de incidentes
El Comando Cibernético de Estados Unidos desplegó equipos de "hunt forward" en Ucrania antes de la invasión para identificar amenazas en las redes ucranianas

Migración a la nube. La migración acelerada de datos y servicios gubernamentales a centros de datos fuera de Ucrania (principalmente en AWS y Microsoft Azure) significó que la destrucción física de servidores en territorio ucraniano, o la destrucción lógica de datos en máquinas locales, no eliminaba copias de seguridad almacenadas fuera del alcance de los wipers.

Compartición de inteligencia en tiempo real. La velocidad con la que se compartían indicadores de compromiso (IOCs), reglas YARA de detección y análisis técnicos entre Ucrania, empresas de ciberseguridad y gobiernos aliados fue sin precedentes. Cuando ESET publicaba un análisis de un nuevo wiper, los IOCs estaban disponibles para defensores de todo el mundo en cuestión de horas.

Lecciones para la ciberdefensa

La experiencia ucraniana dejó lecciones que están transformando la doctrina de ciberdefensa en países de todo el mundo:

La diversidad de wipers no garantiza el éxito: Desplegar nueve variantes diferentes no fue suficiente para destruir la infraestructura digital ucraniana si los defensores están preparados
La preparación importa más que la reacción: Los años de experiencia previa de Ucrania fueron decisivos. Un país que nunca ha enfrentado un ciberataque destructivo estatal tiene pocas posibilidades de responder eficazmente la primera vez
La nube como refugio estratégico: Mover datos críticos fuera del alcance físico del adversario es una estrategia de resiliencia fundamental en cualquier escenario de conflicto
La colaboración internacional multiplica la defensa: Ningún país puede defenderse solo contra una campaña cibernética de esta escala. La asistencia de empresas y gobiernos occidentales fue un factor decisivo
IT y OT requieren defensas diferentes: Los wipers contra sistemas IT causaron disrupción, pero los ataques más peligrosos fueron los dirigidos contra sistemas de control industrial (Industroyer2). La convergencia IT/OT exige equipos de defensa especializados en ambos dominios

MITRE ATT&CK: técnicas principales

Técnica	ID	Descripción en el contexto de Ucrania
Disk Structure Wipe	T1561.002	HermeticWiper, WhisperGate, CaddyWiper destruyendo MBR/GPT/tablas de partición
Data Destruction	T1485	Todos los wipers sobrescribiendo ficheros y sectores de disco
Supply Chain Compromise: Software	T1195.002	AcidRain desplegado vía sistema de gestión centralizada de Viasat
Valid Accounts	T1078	Acceso previo a redes de víctimas semanas o meses antes del despliegue
Signed Binary Proxy Execution	T1218	HermeticWiper abusando del driver firmado de EaseUS Partition Master
Group Policy Modification	T1484.001	SwiftSlicer y CaddyWiper desplegados vía Active Directory GPO
Masquerading	T1036	WhisperGate y HermeticRansom disfrazados de ransomware

La ciberguerra como nueva normalidad

El conflicto en Ucrania confirmó lo que muchos analistas llevaban años advirtiendo: las operaciones cibernéticas se han convertido en un componente integral de la guerra moderna. No son un sustituto del conflicto cinético sino un complemento que opera en paralelo, atacando infraestructura, comunicaciones, logística y moral.

Sin embargo, también reveló los límites de la ciberguerra. A pesar de la intensidad y sofisticación de la ofensiva rusa, los wipers no lograron paralizar Ucrania ni proporcionar la ventaja estratégica que Rusia buscaba. La resiliencia cibernética, la ayuda internacional y la competencia de los defensores ucranianos demostraron que el dominio cibernético no es unilateral: un atacante puede tener la iniciativa, pero un defensor preparado puede absorber el impacto y mantener la continuidad operativa.

Los wipers de 2022 a 2024 se convirtieron en un catálogo de referencia para investigadores de ciberseguridad y planificadores militares de todo el mundo. Cada variante ofrece lecciones técnicas sobre destrucción de datos, evasión, persistencia y coordinación operativa. Y la respuesta ucraniana ofrece un modelo de ciberdefensa nacional basado en experiencia, colaboración internacional y adaptación constante que otros países han comenzado a estudiar e implementar.

La pregunta que Ucrania respondió no fue si la ciberguerra es real. Eso ya lo sabíamos. La pregunta que respondió fue: ¿se puede sobrevivir a una ofensiva cibernética total de un adversario con las capacidades de Rusia? La respuesta es sí, pero solo con preparación, aliados y determinación.

Técnicas MITRE ATT&CK referenciadas

T1561.002 T1485 T1195.002

Preguntas frecuentes

Libros recomendados

Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (Andy Greenberg)

Amazon (enlace afiliado)