Entre finales de 2025 y comienzos de 2026 se registró una serie de ciberataques altamente destructivos contra organizaciones del sector energético y de servicios públicos en Venezuela. Investigadores de Kaspersky atribuyen estos incidentes al uso de una nueva familia de wiper de datos, denominada Lotus Wiper, diseñada no para obtener beneficios económicos, sino para inutilizar por completo los sistemas atacados.
Lotus Wiper y el auge de los ataques destructivos a infraestructura crítica
De acuerdo con el análisis publicado por Kaspersky, Lotus Wiper se ha utilizado en operaciones muy dirigidas contra empresas de los segmentos energy & utilities. En este tipo de entornos, una caída de la infraestructura TI puede afectar directamente a la disponibilidad de electricidad, agua y servicios esenciales, con impacto potencial en la seguridad y la estabilidad económica.
Las muestras analizadas muestran que el malware fue compilado a finales de septiembre de 2025 y posteriormente cargado en una plataforma pública en diciembre desde un equipo ubicado en Venezuela. Este periodo coincide con un aumento de la actividad maliciosa en la región, documentado por fuentes locales e internacionales. La ausencia total de notas de rescate, direcciones de criptomonedas u otros elementos típicos del ransomware confirma una motivación no financiera, probablemente de sabotaje.
La campaña encaja en una tendencia más amplia de ataques con wipers usados para desestabilizar infraestructuras críticas. Casos anteriores como Shamoon o NotPetya provocaron, según estimaciones públicas, pérdidas económicas de miles de millones de dólares y largas interrupciones operativas en sectores industriales y gubernamentales a nivel global.
Cadena de ataque: scripts por lotes, Active Directory y abuso de NETLOGON
Fase inicial: reconocimiento del dominio y preparación del entorno
La intrusión de Lotus Wiper se orquesta mediante un script por lotes (batch) que despliega una secuencia de acciones para distribuir y ejecutar el componente destructivo. En primer lugar, el script intenta detener el servicio Windows Interactive Services Detection (UI0Detect), utilizado en versiones antiguas de Windows para avisar al usuario sobre interfaces gráficas de servicios en la sesión 0.
Este detalle es significativo: UI0Detect fue eliminado a partir de Windows 10 1803. Su presencia en la lógica del ataque sugiere que los atacantes conocían de antemano que la infraestructura de la víctima ejecutaba sistemas operativos obsoletos, algo habitual en redes industriales y administrativas donde las actualizaciones se postergan por razones de compatibilidad o coste.
A continuación, el script comprueba la existencia del recurso compartido NETLOGON, habitual en dominios Active Directory, desde el que intenta descargar un archivo XML de configuración remoto. En paralelo, verifica si existe un archivo con el mismo nombre en directorios locales como C:\lotus o %SystemDrive%\lotus. Independientemente del resultado, se invoca un segundo script por lotes. Según Kaspersky, esta verificación permite determinar si el host pertenece a un dominio AD y si puede consumirse una configuración centralizada del ataque.
Si no se encuentra el archivo remoto en NETLOGON, el script finaliza. Sin embargo, se contempla una espera aleatoria de hasta 20 minutos antes de reintentar el acceso, una técnica que complica la detección basada en comportamiento y facilita la sincronización temporal del ataque en múltiples sistemas.
Fase destructiva: inutilización total del sistema comprometido
El segundo script inicia la fase abiertamente destructiva con varias acciones coordinadas:
1. Manipulación de cuentas y sesiones: se enumeran cuentas locales, se deshabilita el caché de credenciales (cached logons) y se cierran sesiones activas, reduciendo la capacidad de respuesta inmediata de los administradores.
2. Aislamiento de red: se desactivan los interfaces de red, lo que dificulta la intervención remota, el uso de herramientas de gestión centralizada y la propagación de actualizaciones o parches de emergencia.
3. Borrado de discos mediante herramientas nativas: el comando diskpart clean all se ejecuta sobre los discos detectados, eliminando la estructura de particiones y los datos asociados. Es uno de los métodos más agresivos disponibles de forma nativa en Windows para destruir información en el nivel de la tabla de particiones.
4. Sobrescritura masiva de archivos: mediante robocopy se realiza una operación de espejo (mirror) sobre directorios, sobrescribiendo y eliminando el contenido existente. Posteriormente, fsutil calcula el espacio libre y crea un archivo que ocupa todo el almacenamiento restante. El objetivo es maximizar la destrucción de datos y obstaculizar la recuperación, incluso desde copias de seguridad locales.
Capacidades técnicas de Lotus Wiper y efecto sobre la infraestructura
Tras la manipulación inicial del entorno, se ejecuta el componente principal Lotus Wiper, que completa el proceso de inutilización del sistema con varias operaciones críticas:
• Eliminación de puntos de restauración: borra las restore points, bloqueando el uso de los mecanismos estándar de recuperación del sistema operativo.
• Sobrescritura de sectores físicos con ceros: escribe ceros en sectores de todos los discos conectados, reduciendo drásticamente la probabilidad de recuperar datos, incluso con herramientas forenses especializadas.
• Limpieza de los registros USN en volúmenes NTFS: la eliminación de estos diarios dificulta el análisis posterior del incidente y el rastreo de cambios en la estructura de archivos.
• Borrado secuencial de archivos de sistema en cada volumen montado: este paso deja a Windows incapaz de arrancar o funcionar, obligando en muchos casos a una reinstalación completa desde cero y a la restauración desde copias de seguridad offline.
En conjunto, Lotus Wiper se posiciona como un wiper de datos de impacto máximo, especialmente peligroso para infraestructura crítica y entornos OT/IT híbridos, donde los tiempos de recuperación suelen ser elevados y las ventanas de parada, muy limitadas.
Recomendaciones clave de ciberseguridad para el sector energético, gobierno y grandes empresas
Para mitigar el riesgo de ataques similares a Lotus Wiper, resulta esencial adoptar un enfoque de defensa en profundidad:
1. Monitorización de Active Directory y recursos compartidos críticos: vigilar cambios anómalos en la compartición NETLOGON, intentos de modificación de políticas de dominio y señales de credential dumping o escalada de privilegios en controladores de dominio.
2. Control de herramientas nativas (Living-off-the-Land): configurar reglas en SIEM y EDR para detectar uso inusual de fsutil, robocopy, diskpart y scripts por lotes que ejecuten operaciones masivas de borrado o sobrescritura de discos.
3. Gestión del ciclo de vida de sistemas operativos: la orientación de Lotus Wiper a versiones antiguas de Windows evidencia un reconocimiento previo de la infraestructura. Es fundamental planificar la retirada progresiva de sistemas obsoletos, aplicar parches de seguridad y reforzar la segmentación de red, en especial en entornos industriales y energéticos.
4. Estrategia robusta de copias de seguridad y continuidad de negocio: mantener copias de seguridad aisladas y regularmente verificadas (incluyendo respaldos offline o inmutables) y probar de forma periódica los planes de recuperación ante escenarios de destrucción total de datos.
Ante la creciente sofisticación de los ataques destructivos con wipers de datos y su impacto directo sobre la infraestructura crítica, las organizaciones del sector energético, de utilities y de la administración pública deben priorizar la detección temprana, el endurecimiento de sus dominios Active Directory y la protección de sus copias de seguridad. Invertir ahora en visibilidad, monitorización avanzada y procedimientos de respuesta probados es una de las formas más eficaces de reducir el riesgo de interrupciones masivas, daños económicos y consecuencias geopolíticas asociadas a este tipo de ciberataques.
