Lotus Wiper, un malware destructivo diseñado para inutilizar sistemas informáticos de forma irreversible vuelve a poner en jaque el panorama de la ciberseguridad. Detectado por investigadores de la firma Kaspersky, este nuevo data wiper ha sido utilizado en una campaña altamente dirigida contra el sector energético y de servicios públicos en Venezuela a finales de 2025 y principios de 2026.
A diferencia del ransomware tradicional, cuya finalidad es extorsionar económicamente a las víctimas, Lotus Wiper responde a una lógica distinta: la destrucción pura. No contiene instrucciones de pago ni mecanismos de recuperación, lo que sugiere un objetivo claro de sabotaje y desestabilización.
Un ataque quirúrgico contra infraestructuras críticas
El análisis técnico revela que el malware fue desplegado mediante una cadena de ataque cuidadosamente orquestada. Dos scripts en lenguaje batch actúan como catalizadores de la fase destructiva, preparando el entorno antes de ejecutar la carga final.
Estos scripts no solo coordinan la operación dentro de la red comprometida, sino que también desactivan defensas del sistema, interrumpen servicios críticos y facilitan la ejecución del wiper. El nivel de automatización y sincronización apunta a una operación planificada con precisión, probablemente tras un acceso prolongado a la infraestructura afectada.
Uno de los primeros pasos del ataque consiste en intentar detener el servicio Windows Interactive Services Detection (UI0Detect), una funcionalidad obsoleta eliminada en versiones modernas del sistema operativo. Este detalle no es menor: indica que los atacantes conocían de antemano que los sistemas objetivo utilizaban versiones antiguas de Windows, lo que refuerza la hipótesis de un ataque altamente personalizado.
Persistencia, reconocimiento y ejecución
El vector inicial incluye la comprobación de recursos compartidos como NETLOGON, típicos en entornos corporativos con Active Directory. El malware accede a archivos XML remotos y evalúa si el sistema forma parte de un dominio, lo que le permite adaptar su comportamiento según la topología de red.
En caso de no encontrar los recursos necesarios, introduce retrasos aleatorios de hasta 20 minutos antes de reintentar la conexión, una técnica diseñada para evadir sistemas de detección y análisis automatizados.
Una vez validado el entorno, entra en acción un segundo script que ejecuta una serie de acciones críticas: enumeración de usuarios, desactivación de inicios de sesión en caché, cierre de sesiones activas y desconexión de interfaces de red. Este proceso aísla completamente el sistema, impidiendo cualquier respuesta o mitigación en tiempo real.
Destrucción total: sin vuelta atrás
La fase final del ataque es la más devastadora. Lotus Wiper emplea herramientas nativas del sistema operativo como diskpart, robocopy y fsutil para eliminar datos de forma sistemática.
Primero, ejecuta el comando diskpart clean all, que borra todos los datos de las unidades lógicas detectadas. A continuación, utiliza robocopy para sobrescribir archivos existentes y fsutil para crear archivos de gran tamaño que ocupan todo el espacio disponible, dificultando cualquier intento de recuperación.
El malware también elimina puntos de restauración, sobrescribe sectores físicos del disco con ceros y borra los registros del sistema de archivos (USN Journal), lo que complica aún más el análisis forense posterior.
El resultado es un sistema completamente inutilizable, sin posibilidad práctica de recuperación.
Un ataque sin ánimo de lucro
El hecho de que Lotus Wiper no incluya mecanismos de extorsión lo sitúa dentro de una categoría cada vez más relevante: los ciberataques destructivos con motivación estratégica. Este tipo de amenazas busca interrumpir servicios esenciales, generar caos operativo y, en algunos casos, enviar un mensaje político.
En este sentido, el sector energético es un objetivo especialmente sensible en los tiempos que corren. La interrupción de servicios eléctricos o de suministro puede tener efectos en cascada sobre la economía, la seguridad y la vida cotidiana de la población.
