Saltar al contenido
Malware

Malware y Geopolítica: Una Historia de Wipers

8 min lectura

Un análisis profundo sobre el malware de tipo wiper, su evolución histórica de 2012 a 2025, y su uso como herramienta de sabotaje en conflictos geopolíticos.

Tabla de contenidos

Tabla de Contenidos

  1. Wipers: cuando el objetivo no es el dinero, sino el daño
  2. ¿Por qué están en auge?
  3. Cronología de wipers más relevantes (2012–2025)
  4. HermeticWiper (Ucrania, 2022)
  5. ¿Quién está detrás de estos ataques?
  6. Sectores más afectados (2023–2024)
  7. Conclusión
  8. Referencias

Wipers: cuando el objetivo no es el dinero, sino el daño

Análisis de Malware Wiper y su impacto en la Geopolítica

Los wipers son una clase de malware cuyo propósito principal es destruir información de forma irreversible, o incluso dejar inservible el sistema afectado. A diferencia del ransomware, que cifra los archivos y luego pide un rescate para recuperarlos, el wiper va a saco: borra, sobrescribe o inutiliza los datos directamente. El daño es el objetivo.

Este tipo de ataque no busca dinero. Lo que busca es interrumpir, sabotear o incluso mandar un mensaje. Aunque durante años fueron menos frecuentes que los ransomware, en la última década —con el aumento de tensiones geopolíticas y guerras híbridas— han ganado protagonismo.

¿Por qué están en auge?

  • Porque cada vez hay más conflictos donde se combinan operaciones militares y ciberataques.
  • Porque permiten causar un impacto rápido y brutal en infraestructuras críticas.
  • Porque han heredado técnicas de los ransomware: acceso inicial, movimiento lateral, escalado de privilegios…

Un punto de inflexión fue la invasión rusa a Ucrania en 2022, donde se desplegaron múltiples wipers contra sectores estratégicos como el gobierno, la energía, la banca o las telecomunicaciones.

Cronología de wipers más relevantes (2012–2025)

AñoWiperDescripción breve
2012ShamoonInutilizó unos 30.000 equipos en Saudi Aramco sobrescribiendo el sector de arranque.
2013–2014DarkSeoul / DestoverAtacaron Corea del Sur y luego a Sony Pictures, destruyendo datos y filtrando info.
2016Shamoon 2Vuelve con mejoras, esta vez apuntando a grandes redes corporativas.
2017NotPetyaParecía un ransomware, pero era un wiper. Usó EternalBlue y causó pérdidas millonarias.
2018–2020Olympic Destroyer, Dustman, ZeroCleareEnfocados en infraestructuras industriales. ZeroCleare usó drivers de bajo nivel.
2022HermeticWiper, WhisperGate, CaddyWiper, IsaacWiper, AcidRain…Todos ligados al conflicto en Ucrania. Técnicas avanzadas como eliminar el MBR, copias de seguridad y sabotaje total.
2023SwiftSlicerDetectado en organismos estatales, con técnicas que impiden recuperar archivos.
2024CryWiperApareció en Rusia, se hacía pasar por ransomware pero eliminaba los datos sin remedio.
2025PathWiperAún en análisis. Todo apunta a que manipula UEFI y discos NVMe para bloquear el arranque.

El patrón es claro: más variantes, más sofisticación, y objetivos cada vez más estratégicos.

HermeticWiper (Ucrania, 2022)

Uno de los casos mejor analizados. HermeticWiper no buscaba chantaje ni rescate, solo destrucción. Así lo hizo:

  • Cómo entró: aprovechó políticas de grupo (GPO) para desplegarse de forma masiva.
  • Herramientas usadas: utilizó drivers legítimos para acceder al disco a bajo nivel.
  • Cadena de ataque: borró servicios de backup, sobrescribió sectores clave y forzó reinicio.
  • Engaño final: mostraba una falsa pantalla de rescate (pero no había forma de recuperar nada).
  • Atribución: aunque no confirmada del todo, varios informes apuntan a actores estatales.

Un ejemplo perfecto de cómo técnicas de ransomware pueden adaptarse para destruir sin más.

¿Quién está detrás de estos ataques?

En la mayoría de casos, no se trata de ciberdelincuencia común. Aquí suelen ser:

  • Geopolítico o estratégico: gobiernos que buscan sabotaje o presión internacional.
  • Grupos regionales o ideológicos con acceso a recursos avanzados.
  • Hacktivismo en casos muy concretos, aunque menos frecuente.

El objetivo es dañar, interrumpir, desmoralizar o desinformar. No hay recompensa, solo impacto.

Sectores más afectados (2023–2024)

Los datos de ENISA y Verizon lo dejan claro. Estos son los más golpeados:

  • Energía: redes eléctricas, refinerías, etc.
  • Gobiernos: instituciones públicas y servicios críticos.
  • Finanzas: bancos y sistemas de pagos.
  • Telecomunicaciones y satélites: infraestructuras de comunicación.
  • Sanidad y sistemas industriales: menos frecuentes, pero de alto riesgo.

¿Por qué estos sectores? Porque un ataque cuesta poco al atacante, pero el daño para la víctima puede ser brutal.

Conclusión

Los wipers ya no son una rareza. Son una amenaza real, seria y en crecimiento, especialmente para infraestructuras críticas. No buscan dinero, buscan causar el mayor daño posible. Su análisis no es solo un ejercicio técnico: es clave para estar preparados frente a un escenario donde la ciberseguridad y la geopolítica van cada vez más de la mano.

Referencias

  1. Check Point, “What Is Wiper Malware?”, Cyber Hub, 2023 – 2024. checkpoint.com
  2. ESET Research, “Industroyer2: Industroyer reloaded”, WeLiveSecurity, 2022. welivesecurity.com
  3. Microsoft Security Intelligence, “Special Report: Ukraine”, 2022. microsoft.com
  4. IBM X-Force, “HermeticWiper Analysis”, Security Intelligence, 2022. securityintelligence.ibm.com
  5. Mandiant, “Ukraine Crisis – Cyber Threat Landscape”, 2022. mandiant.com
  6. CISA, “Russian State-Sponsored Cyber Operations”, Cybersecurity Advisory, 2022. cisa.gov
  7. ENISA, “Threat Landscape Report”, European Union Agency for Cybersecurity, 2023. enisa.europa.eu
  8. Verizon, “Data Breach Investigations Report”, 2024. verizon.com