Los últimos días de 2025 han demostrado ser todo menos pacíficos para la infraestructura crítica de Rumania. Mientras la mayoría estaba con ánimo festivo, buscando pasar tiempo con sus familias, los equipos de seguridad estaban luchando por contener una importante brecha de seguridad en el Complejo Energético de Oltenia, que es el mayor productor de energía a base de carbón del país.

Esto ciertamente no fue un incidente aislado por ningún motivo. Fue el segundo golpe importante a las redes de servicios públicos rumanos en tan solo unas semanas. Visto en conjunto, esto señala una campaña sofisticada, persistente y dirigida contra los servicios esenciales de Rumania en un momento crítico.

El trasfondo

El Complejo Energético de Oltenia es una red de minas de carbón y plantas de energía operadas por Complexul Energetic Oltenia S.A. (CEO), en los condados de Gorj, Vâlcea y Mehedinţi en Rumania. Estos condados son parte de la región histórica de Oltenia que combina patrimonio y belleza escénica para ofrecer un trato único a los visitantes. 

El Complejo Energético de Oltenia se estableció en 2012 al integrar la Societatea Naţionala a Lignitului Oltenia con los Complejos Energéticos Turceni, Rovinari y Craiova. Según un informe de Euracoal publicado a principios de 2024, las reservas de lignito se concentran en un área relativamente pequeña de 250 kilómetros cuadrados. Aquí es donde el lignito se extrae en diez minas a cielo abierto y es una parte crítica del complejo.

El asalto al CEO: Los "Gentlemen" se mudan

El 26 de diciembre de 2025, aproximadamente a la 01:40 AM (hora regional), un grupo de ransomware que se hace llamar "Gentlemen" lanzó un ataque coordinado contra la infraestructura de TI empresarial del CEO. El momento no fue una coincidencia. Fue en cambio un ataque táctico coordinado que ocurrió durante el receso de Navidad cuando el personal es escaso y los tiempos de reacción a menudo no están a la altura.

El impacto fue casi inmediato:

• Los sistemas se apagaron: ERP (Planificación de Recursos Empresariales), gestión documental, servicios de correo electrónico y el sitio web oficial fueron encriptados y llevados fuera de línea.

• Operaciones afectadas: Aunque el Sistema Nacional de Energía (SEN) permaneció estable, la columna vertebral administrativa y logística de una empresa que proporciona el 30 por ciento de la electricidad de Rumania estaba esencialmente paralizada.

• El actor de la amenaza: El grupo "Gentlemen", que emergió por primera vez en agosto de 2025, es conocido por explotar servicios expuestos en internet y credenciales comprometidas. A diferencia de los actores de "golpe y huída", a menudo realizan un reconocimiento en múltiples etapas para asegurarse de atacar la capa ERP que esencialmente es el "cerebro" de las operaciones corporativas.

• Estos escaneos son realizados oportunísticamente por el actor de la amenaza para aprovechar las ventanas proporcionadas por actividades post-mantenimiento, activación de nuevos servicios o ejercicios operativos.

Conectando los puntos: El precursor de las "Aguas Rumanas"

Para entender la gravedad (y el contexto) del ataque al CEO, debemos retroceder solo seis días al 20 de diciembre de 2025. La autoridad nacional de gestión del agua, Administrația Națională "Apele Române", sufrió un evento masivo de ransomware que comprometió cerca de 1,000 sistemas de TI en 10 de sus 11 oficinas regionales. Hemos cubierto ese ataque en detalle aquí.

La investigación

Mientras que el ataque al CEO utilizó una cepa dedicada y posiblemente nueva del ransomware "Gentlemen", el ataque a la autoridad del agua fue más "viviendo de lo que hay", utilizando Windows BitLocker para bloquear a los empleados. Los dos ataques son tan diferentes como el agua y el aceite, pero a pesar de las herramientas y métodos diferentes, el vínculo estratégico es bastante innegable:

• Objetivo sistémico: Ambos ataques apuntaron a las capas administrativas de TI de entidades que sustentan los sistemas nacionales de energía y agua.

• La "Brecha de Vacaciones": Ambos ocurrieron a finales de diciembre, explotando el nivel reducido de vigilancia que viene con cualquier temporada vacacional.

• Interdependencia Hidroenergética: "Apele Române" gestiona las represas y flujos de agua que CEO y otros proveedores de energía dependen para refrigeración e hidroenergía. Al atacar la gestión del agua primero, el actor de amenaza efectivamente mapeó las dependencias de la red rumana antes de proceder a la energía gigante en sí. Esto es algo a lo que todos los operadores CI deben prestar atención.

• Ambos ataques apuntaron a Rumania

El actor de la amenaza

El grupo detrás del ataque "The Gentlemen" es un recién llegado relativamente nuevo que ha madurado significativamente en los últimos años. A diferencia de los actores de amenaza tradicionales que a menudo se deleitan en tácticas de golpe y huída, este grupo es conocido por realizar operaciones de reconocimiento que se extienden durante meses. Las tres tácticas comunes empleadas por The Gentlemen durante las etapas iniciales incluyen:

·       Documentar todas las partes de infraestructura accesibles desde la web (como puertos abiertos)

·       Reunir registros de datos violados para crear un perfil de vulnerabilidad (incluyendo servicios potenciales que podrían ser comprometidos) de la potencial víctima

·       Identificar una ventana para lanzar el ataque y/o desplegar el ransomware

·       Exfiltración de datos y entrega de nota de rescate

A continuación se muestra la línea de tiempo del ataque según lo determinado por nuestros investigadores.

En el mes de noviembre de 2025, el grupo pudo haber comenzado a investigar servicios expuestos (usando un escáner de IP avanzado) conectados a las operaciones del CEO. Una vez que se detectaron los servicios, el grupo adquirió y utilizó credenciales previamente filtradas de otras violaciones para apuntarlos. Por ejemplo, nuestro equipo pudo localizar dos de estas credenciales durante la primera fase de nuestra investigación. Un conjunto pertenecía a un empleado del equipo de operaciones (las credenciales fueron violadas en 2021 durante el incidente de violación de Nitro PDF). Otro conjunto de credenciales vinculado a un ID de correo electrónico corporativo genérico se encontró en una filtración relacionada con la violación del producto "Orbis" de Bureau van Dijk (BvD).

Una vez que el delincuente pudo obtener acceso y controlar los servicios, mapearon varios segmentos de la infraestructura y redes conectadas junto con patrones de uso del sistema. En paralelo, el actor también apagó varios software antivirus abusando de múltiples controladores de Windows para terminar procesos protegidos. Creemos que este ejercicio iniciado alrededor de la festividad de San Andrés debe haberse completado hacia el final de la segunda semana de diciembre de 2025. A partir de ese momento, fue solo un juego de espera mientras The Gentlemen esperaban que llegara la temporada baja para finalmente activar el ransomware.     

Lecciones de ciberseguridad para 2026: La realidad de la infraestructura crítica

Mientras nos dirigimos hacia 2026, la mentalidad de la "Vieja Guardia" de la seguridad que implicaba depender del aislamiento aéreo de la Tecnología Operacional (OT) ha quedado obsoleta. Estos ataques prueban que no necesitas tocar una turbina para detener una planta de energía; solo necesitas encriptar el sistema ERP que gestiona su cadena de suministro y personal.

Lecciones críticas para los operadores:

• El ERP es esencialmente el nuevo perímetro: La OT moderna se basa en TI para la logística. Si tu TI está caída, tu OT eventualmente se quedará sin recursos.

• Las copias de seguridad inmutables no son negociables: El CEO pudo comenzar a reconstruir en una nueva infraestructura porque tenían copias de seguridad viables. Sin estas, estarían a merced de los negociadores de "Gentlemen". El fracaso en mantener servicios críticos durante la temporada de vacaciones podría haber planteado el riesgo de una importante reacción pública para cualquier operador CI.

• Higiene de credenciales: Ambos ataques probablemente comenzaron con un solo conjunto de credenciales robadas. La Autenticación Multifactorial (MFA) debe ser impuesta no solo en el correo electrónico, sino en todos los servicios internos.

• Sensibilizar a los empleados: Necesitan saber sobre los niveles de sofisticación de actores de amenazas como The Gentlemen

El imperativo NIS2 y el panorama de amenazas OT

La implementación de la Directiva NIS2 ya no es un "requisito futuro"—es la base para la supervivencia en 2026. Estos incidentes subrayan dos pilares principales de la directiva:

Evaluaciones obligatorias de seguridad y riesgos para OT

Históricamente, los sistemas OT (el hardware que realmente mueve agua y genera energía) fueron ignorados en las evaluaciones de riesgos porque estaban "desconectados". Como se vio en el ataque a la autoridad del agua, incluso cuando la OT permanece funcional, la pérdida de comunicación basada en TI (respaldo de radio/teléfono) crea una niebla operacional peligrosa. 2026 requiere un monitoreo continuo de OT para detectar movimientos laterales desde redes de TI antes de que la "cadena de muerte" llegue a los activos físicos.

Resiliencia de la cadena de suministro y sectorial

NIS2 manda que las entidades miren más allá de sus propios muros. El vínculo entre "Apele Române" y CEO destaca que una vulnerabilidad en la gestión del agua es una vulnerabilidad en la producción de energía. Los operadores deben realizar evaluaciones de amenazas conjuntas con sus socios aguas arriba y aguas abajo.

Lista de verificación de respuesta para incidentes OT 2026

Para los operadores de infraestructura crítica, el margen de error ha desaparecido. Puedes usar esta lista de verificación básica de respuesta para incidentes para auditar tu preparación para el panorama de amenazas 2026:

Preparación y visibilidad

• [ ] Descubrimiento pasivo de activos: ¿Tienes un inventario automatizado en tiempo real probado de cada PLC, HMI y pasarela en tu red OT? (El escaneo activo puede estrellar OT heredada; usa monitoreo pasivo usando Shieldworkz).

• [ ] La copia de seguridad "Lógica": ¿Tienes copias de seguridad fuera de línea, inmutables, no solo de tus datos, sino también de tu lógica PLC y configuraciones?

• [ ] Enclaves de red: ¿Tus redes de TI y OT están separadas por un "DMZ" con filtrado estricto a nivel de protocolo (por ejemplo, permitir solo tráfico Modbus u OPC-UA)?

• [ ] ¿Alguien ha verificado la Web Oscura y otros sitios y foros para ver si algún dato empresarial o de empleados ha sido comprometido? Si es así, ¿hemos tomado medidas para asegurar adicionalmente los datos o sistemas afectados?

Detección e informe (Conformidad con NIS2)

• [ ] El disparador de 24 horas: ¿Existe un flujo de trabajo claro para notificar al CSIRT nacional dentro de las 24 horas de un evento de "advertencia temprana"?

• [ ] Como podrías ver un "Gentlemen"-actor moviéndose lateralmente, o solo te das cuenta cuando empieza la encriptación?

• [ ] Auditoría de la cadena de suministro: ¿Has auditado las herramientas de acceso remoto utilizadas por tus proveedores de mantenimiento de terceras partes?

Respuesta y resistencia manual

• [ ] Simulacros de "Arranque en Negro" en mesa: ¿Has realizado una simulación donde la red IT esté 100% oscura? ¿Pueden tus ingenieros seguir operando la planta física manualmente?

• [ ] Comunicación fuera de banda: ¿Tienes un plan de comunicación por satélite o móvil encriptado que no dependa del servidor de correo electrónico/VOIP corporativo?

• [ ] Preservación de evidencia: ¿Incluye tu plan de IR un paso de "Primero la Forensia" para capturar memoria volátil antes de reiniciar estaciones de trabajo OT infectadas?

Se encuentra disponible una plantilla de IR más detallada aquí.

Los "Gentlemen" pueden afirmar ser sofisticados, pero también son oportunistas, conscientes de las tácticas y pacientes. Se aprovechan de múltiples brechas de seguridad que existen entre los operadores de infraestructura crítica en todas partes. La crisis de invierno de 2025 de Rumania es un fuerte llamado de atención para el resto de Europa: el cumplimiento con NIS2 es el piso (o base), no el techo.

Por último, una nueva regla. Los actores de amenazas ciertamente no están de vacaciones este año. Así que esencialmente es hora de aumentar tu guardia también.

Aprende un poco más sobre los servicios de respuesta a incidentes de Shieldworkz

Habla con un experto en seguridad de vacaciones (sí, tenemos un profesional de seguridad dedicado que sabe más sobre cómo afinar tus medidas de seguridad durante tiempos de escasez).

Prueba nuestra plataforma de seguridad OT aquí.