Login Probar gratis
Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación

Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación

por MataSpam Malware y Virus

El wiper malware existe con un único propósito: destruir tus datos y que no los recuperes jamás. No pide rescate, no roba información, no negocia. Llega, arrasa y se va. Mientras el ransomware al menos te deja la esperanza de pagar y recuperar tus archivos, el malware de destrucción de datos es puro nihilismo digital. Programas como HermeticWiper, desplegado horas antes de la invasión rusa de Ucrania en febrero de 2022, dejaron claro que el borrado de datos malicioso se ha convertido en un arma de ciberguerra real, con consecuencias que van mucho más allá de lo virtual. Y no, esto no es solo un problema de gobiernos y ejércitos: cualquier empresa conectada a una cadena de suministro global puede acabar como daño colateral.

Qué es exactamente un wiper y cómo se diferencia del ransomware

Un wiper es malware diseñado específicamente para la destrucción irreversible de datos. Sobrescribe el MBR (Master Boot Record), corrompe la tabla de particiones, machaca archivos críticos del sistema o directamente escribe basura sobre sectores enteros del disco. El objetivo no es monetario: es causar el máximo daño operativo posible.

La confusión con el ransomware es frecuente porque algunos wipers se disfrazan de ransomware. NotPetya (2017) es el caso de manual: mostraba una pantalla de rescate con una dirección de Bitcoin, pero la clave de descifrado nunca existió. Era un wiper disfrazado, atribuido al grupo Sandworm (GRU ruso), que causó pérdidas estimadas en más de 10.000 millones de dólares según la Casa Blanca. Maersk, la mayor naviera del mundo, perdió 300 millones y tuvo que reinstalar 45.000 PCs y 4.000 servidores.

CaracterísticaRansomwareWiper
ObjetivoExtorsión económicaDestrucción pura
Datos recuperablesSí (si pagas o tienes backup)No, irreversible por diseño
MotivaciónFinancieraGeopolítica, sabotaje, venganza
CifradoReversible con claveSobrescritura o cifrado sin clave
ComunicaciónNota de rescate funcionalNinguna o nota falsa

Si te interesa entender las herramientas que usan los atacantes para distribuir este tipo de amenazas, el artículo sobre kits de ataque automatizados te dará contexto sobre cómo se montan estas operaciones.

Los wipers más devastadores de la historia reciente

Shamoon (2012) fue el que puso los wipers en el mapa. Atribuido a Irán, borró los datos de aproximadamente 35.000 estaciones de trabajo de Saudi Aramco, la petrolera más grande del mundo, y los reemplazó con la imagen de una bandera estadounidense en llamas. La compañía tardó semanas en recuperar operaciones y tuvo que comprar una cantidad masiva de discos duros que temporalmente afectó al mercado global de almacenamiento.

Dark Seoul (2013) golpeó bancos y cadenas de televisión surcoreanas. Atribuido al grupo Lazarus (Corea del Norte), borró el MBR de miles de equipos simultáneamente. Los cajeros automáticos dejaron de funcionar, las televisiones dejaron de emitir.

HermeticWiper (2022) marcó un antes y un después en el uso de malware de destrucción en contextos de ciberguerra. Desplegado el 23 de febrero de 2022 —un día antes de la invasión rusa—, abusaba de un driver legítimo de EaseUS Partition Master (firmado digitalmente) para obtener acceso directo al disco y sobrescribir los primeros 512 bytes de cada archivo con datos aleatorios. Complementado por IsaacWiper y CaddyWiper, formó parte de una ofensiva digital coordinada contra infraestructuras ucranianas.

AcidRain (2022) fue quizá el más quirúrgico: un wiper diseñado específicamente para routers y módems satelitales Viasat KA-SAT. El 24 de febrero de 2022, dejó sin internet a miles de usuarios en Ucrania y, como efecto colateral, inutilizó aproximadamente 5.800 aerogeneradores de Enercon en Alemania que dependían de esa conexión satelital para su monitorización.

Cómo funciona un wiper por dentro: anatomía de la destrucción

Los wipers modernos no son simples scripts que ejecutan rm -rf /. Son herramientas sofisticadas que combinan varias técnicas para maximizar el daño y minimizar las posibilidades de recuperación.

  • Sobrescritura del MBR/GPT: Impide que el sistema arranque. HermeticWiper corrompía tanto MBR como las tablas GPT para cubrir sistemas legacy y modernos.
  • Abuso de drivers legítimos (BYOVD): HermeticWiper usaba un driver firmado de EaseUS para acceder al disco a nivel raw, evitando las protecciones del sistema operativo. Esta técnica — Bring Your Own Vulnerable Driver — se repite en casi todas las campañas recientes.
  • Corrupción selectiva de archivos: Algunos wipers priorizan bases de datos, documentos y backups locales. Saben qué extensiones buscar (.mdf, .bak, .vmdk) para causar el máximo daño operativo.
  • Desactivación de servicios de recuperación: Eliminan las Shadow Copies de Windows (vssadmin delete shadows), desactivan el servicio de recuperación del sistema y borran puntos de restauración.
  • Propagación lateral: Usan credenciales robadas, vulnerabilidades de desbordamiento de búfer o herramientas como PsExec y WMI para moverse por la red y ejecutarse en el mayor número de equipos posible antes de activarse.

Un aspecto particularmente perverso: muchos wipers incluyen un mecanismo de temporización. Se despliegan silenciosamente en toda la red durante días o semanas, y solo se activan cuando han alcanzado una masa crítica de equipos infectados. Cuando el ataque comienza, ya es demasiado tarde para contenerlo.

Protección real contra malware de destrucción de datos

Aquí viene la parte incómoda: contra un wiper bien ejecutado, la protección no consiste en detectarlo a tiempo (aunque ayuda), sino en sobrevivir al impacto. La resiliencia importa más que la prevención pura.

  1. Backups offline y verificados. No backups en la misma red, no backups en un NAS accesible por SMB, no backups que el wiper pueda alcanzar. Cintas LTO, discos desconectados o backups inmutables en cloud (con object lock tipo S3). Y lo más olvidado: prueba tus restauraciones periódicamente. Un backup que no has verificado es una promesa vacía.
  2. Segmentación de red real. El wiper necesita moverse lateralmente para causar daño masivo. Si tu red es plana —todo el mundo ve todo—, un solo equipo comprometido basta. Segmenta por función, limita el movimiento lateral, implementa microsegmentación donde puedas. Esto aplica doblemente si gestionas dispositivos IoT o domóticos en la misma infraestructura: una red plana con dispositivos conectados es una invitación al desastre, como explican en DomóticaYA.
  3. EDR y monitorización de comportamiento. Un antivirus basado en firmas no detectará un wiper nuevo. Necesitas detección por comportamiento: si un proceso empieza a sobrescribir sectores del disco raw o elimina Shadow Copies masivamente, algo va muy mal. Herramientas como CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint pueden detectar y bloquear estas acciones.
  4. Gestión de vulnerabilidades y parches. NotPetya se propagó usando EternalBlue (CVE-2017-0144), un exploit que Microsoft había parcheado dos meses antes. Organizaciones con políticas de parcheo lentas fueron las más afectadas. El BYOVD (drivers vulnerables firmados) se mitiga con listas de bloqueo de drivers: Microsoft mantiene una lista actualizada de drivers vulnerables conocidos.
  5. Protección del Active Directory. La mayoría de wipers a gran escala abusan de credenciales de administrador de dominio para desplegarse vía GPO o PsExec. Protege las cuentas privilegiadas con MFA, implementa PAM (Privileged Access Management) y considera llaves de seguridad físicas como YubiKey para las cuentas más críticas.

Wiper malware y geopolítica: el arma digital del siglo XXI

El wiper como arma de ciberguerra no es una teoría conspirativa, es doctrina militar documentada. El conflicto Rusia-Ucrania ha producido más wipers conocidos en dos años que toda la década anterior. ESET documentó al menos nueve familias distintas de wipers desplegados contra Ucrania solo entre enero y octubre de 2022: HermeticWiper, IsaacWiper, CaddyWiper, WhisperGate, DoubleZero, AcidRain, y otros.

El problema para el resto del mundo es el daño colateral. NotPetya estaba dirigido contra Ucrania, pero acabó paralizando a Maersk (Dinamarca), Merck (EE.UU.), Saint-Gobain (Francia) y FedEx/TNT (global). Cualquier empresa con conexiones comerciales, proveedores o filiales en una zona de conflicto digital puede convertirse en víctima involuntaria.

Agencias como CISA (EE.UU.), ANSSI (Francia) y CCN-CERT (España) han emitido alertas específicas sobre la amenaza de wipers para infraestructuras críticas fuera de las zonas de conflicto directo. No hace falta ser el objetivo para recibir el impacto.

Preguntas frecuentes

¿Se pueden recuperar datos después de un ataque de wiper malware?

Depende del wiper. Si solo corrompió el MBR, una herramienta de recuperación de particiones podría rescatar parte de los datos. Pero los wipers modernos como HermeticWiper sobrescriben directamente los archivos con datos aleatorios, lo que hace la recuperación prácticamente imposible sin backups externos. Herramientas forenses como Autopsy o R-Studio pueden intentarlo, pero no esperes milagros.

¿Puede un antivirus detectar un wiper antes de que actúe?

Los antivirus basados en firmas solo detectan wipers ya conocidos. Para amenazas nuevas (zero-day wipers), necesitas soluciones EDR con análisis de comportamiento que identifiquen acciones sospechosas como el acceso masivo al disco raw o la eliminación de Shadow Copies. Puedes verificar archivos sospechosos en VirusTotal, pero si el wiper es nuevo, los ratios de detección iniciales suelen ser bajos.

¿Los wipers afectan solo a Windows?

No. AcidRain atacó firmware de routers Linux. Existen wipers documentados para Linux (como AwfulShred, usado contra Ucrania) y macOS. Los wipers dirigidos a infraestructura IoT y sistemas embebidos son una preocupación creciente, ya que estos dispositivos suelen carecer de protecciones avanzadas.

¿Mi empresa puede ser objetivo de un wiper si no tiene relación con conflictos geopolíticos?

Sí. NotPetya demostró que el daño colateral no discrimina por sector ni geografía. Además, wipers como Destover (usado contra Sony Pictures en 2014) fueron motivados por venganza, no por geopolítica. Empleados descontentos, competidores sin escrúpulos o simplemente compartir proveedor de software con un objetivo real: cualquier conexión basta.

El siguiente paso

Comprueba ahora mismo si tus backups más críticos son realmente offline e inmutables. No mañana, no la semana que viene. Abre tu sistema de backups, verifica que existe al menos una copia completamente desconectada de la red, y programa una prueba de restauración para esta semana. Si descubres que todos tus backups están en la misma red que tus equipos de producción, ya sabes cuál es tu primera tarea urgente. Un wiper tarda minutos en ejecutarse; recuperarte sin backups puede llevar meses — o no ocurrir nunca.

wiper malware malware destrucción borrado datos malicioso hermeticwiper malware ciberguerra
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra
Malware y Virus

¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra

Gusanos informáticos: cómo se propagan sin que hagas nada
Malware y Virus

Gusanos informáticos: cómo se propagan sin que hagas nada

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas
Malware y Virus

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas

← Volver al blog