Login Probar gratis
Wiper malware: el arma cibernética de destrucción masiva

Wiper malware: el arma cibernética de destrucción masiva

por MataSpam Malware y Virus

Un wiper es un tipo de malware destructivo diseñado con un único objetivo: borrar tus datos de forma irreversible. No pide rescate, no roba información, no negocia. Destruye. Variantes como HermeticWiper y WhisperGate han protagonizado algunos de los episodios más agresivos de ciberguerra wiper en la última década, arrasando infraestructuras críticas de países enteros en cuestión de horas. Si el ransomware es un secuestrador, el wiper es un pirómano: entra, quema todo y se va. Y lo peor es que muchas organizaciones ni siquiera contemplan esta amenaza en sus planes de contingencia.

Qué es exactamente un wiper y en qué se diferencia de otros malware

La mayoría de malware tiene una motivación económica. El ransomware cifra tus archivos para cobrarte. Los troyanos bancarios roban credenciales para vaciar cuentas. Los falsos antivirus tipo scareware te asustan para venderte humo. Todos buscan dinero.

El malware destructivo tipo wiper rompe esa lógica. Su propósito es causar daño máximo: sobrescribe el MBR (Master Boot Record), corrompe tablas de particiones, machaca archivos del sistema y deja la máquina inservible. No hay clave de descifrado porque no hay cifrado — hay destrucción pura.

Técnicamente, un wiper suele actuar en tres fases:

  1. Reconocimiento: identifica discos, particiones y archivos críticos del sistema operativo.
  2. Sobrescritura: reemplaza sectores de arranque y datos con bytes aleatorios o ceros. Algunos wipers usan drivers legítimos del sistema (como EaseUS Partition Master) para acceder al disco a bajo nivel.
  3. Destrucción de evidencias: borra logs, desactiva servicios de recuperación y, en algunos casos, se autodestruye para dificultar el análisis forense.

La diferencia con un ransomware disfrazado es sutil pero crítica. WhisperGate, detectado en enero de 2022 contra sistemas ucranianos, mostraba una nota de rescate falsa pidiendo 10.000 dólares en Bitcoin. Parecía ransomware. Pero el análisis de Microsoft Threat Intelligence reveló que la sobrescritura del MBR era irreversible — no existía mecanismo de recuperación. Era un wiper camuflado de ransomware, diseñado para ganar tiempo mientras destruía todo.

Los wipers más devastadores de la historia reciente

La genealogía de los wipers está ligada a conflictos geopolíticos. No son herramientas de cibercriminales corrientes — son armas de estado.

WiperAñoObjetivoAtribuciónImpacto
Shamoon2012Saudi AramcoIrán (APT33)Más de 30.000 equipos borrados en horas
Dark Seoul2013Bancos y TV surcoreanosCorea del Norte (Lazarus)Redes bancarias paralizadas
NotPetya2017Ucrania (se propagó globalmente)Rusia (Sandworm/GRU)Aproximadamente 10.000 millones USD en daños globales
Olympic Destroyer2018JJOO de PyeongchangRusia (GRU)Infraestructura IT de los Juegos comprometida
WhisperGate2022Gobierno de UcraniaRusia (DEV-0586)Múltiples agencias gubernamentales afectadas
HermeticWiper2022Ucrania (pre-invasión)RusiaCentenares de sistemas destruidos horas antes de la invasión
CaddyWiper2022UcraniaSandwormSector energético atacado
AcidPour2024ISPs ucranianosSandwormRouters Linux/IoT destruidos

NotPetya merece mención especial. Se propagó mediante una actualización troyanizada del software contable ucraniano M.E.Doc, pero saltó fronteras. Maersk perdió toda su infraestructura IT. Merck, FedEx, Mondelez — multinacionales que ni operaban en Ucrania sufrieron daños masivos. La Casa Blanca lo calificó como el ciberataque más destructivo de la historia.

HermeticWiper se desplegó el 23 de febrero de 2022, apenas horas antes de que las tropas rusas cruzaran la frontera ucraniana. Estaba firmado con un certificado digital legítimo de la empresa chipriota Hermetica Digital Ltd — certificado que fue revocado tras el incidente. Usaba un driver legítimo de EaseUS para sobrescribir el MBR y las tablas de particiones NTFS/FAT a bajo nivel. ESET lo detectó en centenares de máquinas de organizaciones ucranianas.

Cómo se despliegan los wipers: vectores de ataque

Los wipers no llegan por un email de phishing cualquiera. Normalmente son la fase final de una intrusión que lleva semanas o meses de preparación. Los atacantes ya están dentro de la red cuando lo lanzan.

Los vectores más documentados incluyen:

  • Supply chain (cadena de suministro): NotPetya se distribuyó a través de una actualización legítima de software. Si usas herramientas de terceros sin verificar la seguridad de tu infraestructura, eres vulnerable.
  • Active Directory comprometido: HermeticWiper se desplegó mediante GPO (Group Policy Objects) — los atacantes ya controlaban el directorio activo de las víctimas.
  • VPN y credenciales robadas: acceso inicial mediante credenciales obtenidas por kits de phishing vendidos en la dark web o mediante ataques de fuerza bruta.
  • Exploits de día cero: aprovechando vulnerabilidades no parcheadas en servicios expuestos a internet.
  • Wipers como segunda carga: un RAT (Remote Access Trojan) o backdoor instalado previamente descarga y ejecuta el wiper cuando el atacante decide "apretar el botón".

Lo más inquietante del malware destructivo moderno es su paciencia. Los operadores de ciberguerra wiper pueden permanecer meses dentro de una red, mapeando sistemas, elevando privilegios, preparando el terreno. El wiper se activa cuando el daño será máximo.

Cómo protegerte: defensa contra wipers

No existe una herramienta mágica que te proteja al 100% contra un wiper respaldado por un estado-nación. Pero sí puedes reducir drásticamente el impacto con medidas concretas.

Backups offline y verificados

Es la medida más importante. Si un wiper arrasa tus sistemas pero tienes copias de seguridad desconectadas de la red (air-gapped), puedes recuperarte. Las copias en la nube conectadas permanentemente pueden ser alcanzadas por el wiper — necesitas copias que el atacante no pueda tocar. Sigue la regla 3-2-1: tres copias, dos medios diferentes, una fuera de las instalaciones.

Segmentación de red

NotPetya arrasó redes enteras porque se propagaba lateralmente sin obstáculos. Segmenta tu red. Aísla los sistemas críticos. Limita los privilegios de administración de dominio al mínimo imprescindible. Si un wiper entra en un segmento, que no pueda saltar a los demás.

Monitorización y detección temprana

Herramientas EDR (Endpoint Detection and Response) como CrowdStrike Falcon, Microsoft Defender for Endpoint o SentinelOne pueden detectar comportamientos típicos de wipers: acceso masivo a disco a bajo nivel, modificación del MBR, uso de drivers legítimos para operaciones destructivas. Configura alertas para estos patrones.

Parcheado agresivo

Muchos wipers explotan vulnerabilidades conocidas (EternalBlue en el caso de NotPetya, CVE-2017-0144). Mantén tus sistemas actualizados. Si gestionas infraestructura web, asegúrate de que tu stack está al día — equipos especializados en WordPress saben que un plugin desactualizado es una puerta abierta.

Plan de respuesta a incidentes

Ten documentado qué hacer si detectas un wiper. Quién desconecta qué. Dónde están los backups. Cómo se restauran los servicios críticos. Cuánto tiempo puedes operar sin IT. Si no lo has ensayado, no tienes plan — tienes un documento decorativo.

Wipers en 2025-2026: la amenaza sigue activa

La ciberguerra wiper no se ha detenido tras los picos de 2022. Según informes de ESET y Mandiant, el grupo Sandworm (Unidad 74455 del GRU ruso) ha continuado desarrollando variantes como AcidPour, dirigida específicamente a dispositivos Linux y routers IoT. La superficie de ataque se amplía.

El CERT-UA (equipo de respuesta de Ucrania) documentó múltiples intentos de despliegue de wipers contra infraestructura energética durante 2023-2024, algunos combinados con ataques cinéticos coordinados. La convergencia entre guerra física y malware destructivo digital ya no es ciencia ficción.

Fuera del conflicto ruso-ucraniano, Irán ha usado wipers contra objetivos en Albania (2022, atribución FBI) y el grupo Agrius ha desplegado variantes contra organizaciones israelíes. La tecnología wiper se ha democratizado entre los APT estatales.

Para particulares, el riesgo directo de un wiper estatal es bajo. Pero los daños colaterales de NotPetya demostraron que cualquiera puede verse afectado. Si usas servicios de una empresa comprometida, si tu proveedor de software sufre un ataque a la cadena de suministro, estás en la línea de fuego sin saberlo. Proteger tus contraseñas con métodos robustos y mantener backups offline te cubre frente a la mayoría de escenarios.

Preguntas frecuentes

¿Un antivirus puede detener un wiper?

Depende. Los antivirus y soluciones EDR detectan wipers conocidos por sus firmas y comportamiento. Pero los wipers de estado-nación suelen ser variantes nuevas (zero-day) diseñadas para evadir detección inicial. Un buen EDR actualizado te protege contra variantes conocidas y puede alertar de comportamientos sospechosos, pero no garantiza detección al 100% frente a amenazas inéditas.

¿Puede un wiper afectar a mis backups en la nube?

Sí, si los backups están montados como unidades de red o accesibles con las credenciales del sistema comprometido. Wipers avanzados como HermeticWiper enumeran todas las unidades conectadas. Por eso los backups air-gapped (desconectados físicamente) son la única garantía real contra malware destructivo de este calibre.

¿Los wipers solo atacan a empresas grandes y gobiernos?

Los wipers se diseñan contra objetivos específicos, pero se propagan de forma indiscriminada. NotPetya empezó en Ucrania y acabó paralizando a Maersk (logística), Merck (farmacéutica) y miles de pymes que usaban el software comprometido. Tu tamaño no te protege — tu conexión con la cadena de suministro sí te expone.

¿Se pueden recuperar datos después de un ataque wiper?

En la mayoría de casos, no. Los wipers sobrescriben datos con bytes aleatorios o ceros, lo que hace la recuperación forense extremadamente difícil o imposible. Algunos wipers menos sofisticados solo borran sin sobrescribir, permitiendo recuperación parcial con herramientas como Recuva o TestDisk. Pero contra un wiper profesional como Shamoon o HermeticWiper, si no tienes backup, has perdido los datos.

¿Qué diferencia hay entre WhisperGate y HermeticWiper?

WhisperGate (enero 2022) se disfrazaba de ransomware mostrando una nota de rescate falsa, pero sobrescribía el MBR de forma irreversible. HermeticWiper (febrero 2022) era más sofisticado técnicamente: usaba un driver legítimo firmado digitalmente para acceder al disco a bajo nivel y destruir tablas de particiones. Ambos se atribuyen a actores rusos y se dirigieron contra Ucrania, pero con técnicas y timing distintos.

El siguiente paso

Comprueba ahora mismo si tus backups críticos están realmente desconectados de la red. No los que crees que están offline — los que puedes verificar físicamente. Desconecta un disco externo, llévalo a otra ubicación, y comprueba que puedes restaurar desde él. Si tu único backup es un disco USB conectado permanentemente al servidor o una carpeta sincronizada en la nube, no tienes protección real contra un wiper. Esa verificación de 15 minutos puede ahorrarte meses de reconstrucción. Si quieres entender mejor cómo los atacantes obtienen el acceso inicial que precede al despliegue de un wiper, revisa cómo funcionan los ataques en redes WiFi públicas — otro vector que demasiada gente subestima.

wiper malware destructivo hermeticwiper whispergate ciberguerra wiper
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Malware en Mac: el mito de que Apple no tiene virus y la realidad actual
Malware y Virus

Malware en Mac: el mito de que Apple no tiene virus y la realidad actual

¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra
Malware y Virus

¿Pagar el rescate del ransomware o no? Argumentos a favor y en contra

Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación
Malware y Virus

Wiper malware: programas diseñados para destruir datos sin posibilidad de recuperación

← Volver al blog