En los primeros días del conflicto en curso en el Medio Oriente, los equipos de seguridad descubrieron un sondeo en curso en el perímetro digital de una de las instituciones científicas más sensibles de Europa. El objetivo era el Centro Nacional de Investigación Nuclear (NCBJ) de Polonia, el principal y más importante instituto nuclear gubernamental del país ubicado en Świerk, a casi 30 kilómetros al sureste de Varsovia. Los atacantes no lograron ingresar. Pero el intento en sí mismo representa una señal fuerte en una tormenta geopolítica ya ensordecedora.

Lo que realmente sucedió

El NCBJ de Polonia confirmó que los hackers habían atacado su infraestructura de TI. Sin embargo, afirmó que el ataque fue detectado y bloqueado antes de causar cualquier impacto. En un comunicado, la organización dijo que sus sistemas de seguridad y procedimientos internos diseñados para detectar amenazas temprano evitaron el compromiso y permitieron al personal de TI asegurar rápidamente los sistemas atacados.

El Ministro de Asuntos Digitales de Polonia, Krzysztof Gawkowski, dijo al canal privado TVN24+ que el ataque había ocurrido "en los últimos días". Añadió que "las primeras identificaciones de los vectores de entrada (aquellos lugares desde los que se atacó el centro) están vinculadas a Irán."

Críticamente, el ministro también emitió una advertencia inmediata de que los indicadores podrían ser una desviación deliberada para ocultar la verdadera ubicación de los atacantes. Como todos sabemos, hay un elefante en la habitación en este ataque, que es Rusia.

El NCBJ: Por qué este objetivo importa

El ciberataque apuntó sin éxito al Centro Nacional de Investigación Nuclear que alberga el único reactor nuclear operativo del país. El NCBJ no es una instalación de armas ya que Polonia no posee armas nucleares y está construyendo su primera planta de energía nuclear. Pero el valor estratégico del instituto no se trata de ojivas.

El NCBJ es el principal instituto gubernamental de investigación nuclear de Polonia, especializado en física nuclear, tecnología de reactores, física de partículas y aplicaciones de radiación. Proporciona apoyo técnico y científico que sustenta el programa de energía nuclear del país. En este momento, Polonia está construyendo su primera planta nuclear civil en asociación con las empresas estadounidenses Westinghouse y Bechtel. Cualquier información obtenida sobre sistemas de seguridad de reactores, relaciones con proveedores o especificaciones de ingeniería sería valiosa operacionalmente para un adversario sofisticado. Esto es especialmente cierto para los actores de amenazas que ven los compromisos económicos y militares de EE.UU. como objetivos blandos legítimos.

Esto es claramente un intento de asegurar la persistencia y pre-posicionamiento. Los atacantes buscaban acceso temprano para establecer persistencia, asegurándose de permanecer incrustados a medida que los datos se volvían más valiosos.

El contexto geopolítico que no puedes separar de esto

El ataque al NCBJ el 12 de marzo no ocurrió en el vacío. Ocurrió 12 días después de una guerra abierta. Ese contexto importa enormemente para el modelo de amenaza y las implicaciones que siguen.

Solo un día antes, el 11 de marzo, ya había tenido lugar una operación cibernética iraní mucho más consecuente. El gigante de la tecnología médica Stryker, una empresa de la lista Fortune 500 con sede en Michigan que se especializa en equipos quirúrgicos, implantes ortopédicos y neurotecnología, fue atacado por un ciberataque altamente disruptivo. El grupo vinculado a Irán, Handala, afirmó haber eliminado más de 200,000 servidores, dispositivos móviles y otros sistemas, obligando a Stryker a cerrar oficinas en 79 países. Hemos cubierto los aspectos únicos de este incidente en un post anterior, aquí.

Handala es uno de varios actores de amenazas afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Posiblemente está trabajando junto con APT 35 para violar empresas de todo el mundo. Se sabe que Handala persigue objetivos estratégicos y no está interesado en rescates o filtraciones de datos.

El ataque a Stryker fue visceral, a gran escala y explícitamente político. Handala dijo que llevó a cabo el ataque en represalia por el asesinato de más de 170 personas en un ataque a una escuela en la ciudad iraní del sur de Minab en el primer día de la guerra militar entre EE. UU. e Israel contra Irán.

La sonda en Polonia, por el contrario, fue más silenciosa. Fue más un intento de reconocimiento quirúrgico en una instalación nuclear. Esto ha creado dos firmas operativas muy diferentes en una ventana de 24 horas para el mismo grupo.

El problema de la bandera falsa: la atribución es más difícil de lo que parece

La propia advertencia del gobierno polaco sobre posible desviación representa el núcleo del desafío analítico aquí. En operaciones cibernéticas ofensivas, los ataques de bandera falsa en los que un atacante imita deliberadamente las TTP (tácticas, técnicas y procedimientos) de otro estado-nación no son teóricos. Son una práctica estándar y podría haber razones para creer que esto fue una instancia también.

Los vectores de entrada que apuntan a Irán podrían significar varias cosas:

Escenario A: Operación directa iraní. La lógica de represalia es coherente. Polonia es un miembro de la OTAN. El Ministro de Defensa de Polonia declaró que Polonia no está participando en el conflicto en el Medio Oriente. Pero en el cálculo de amenazas de Irán, cualquier miembro de la OTAN que albergue infraestructura militar de EE. UU. o suministre a Ucrania (lo cual Polonia hace sustancialmente) es un punto de presión legítimo.

Escenario B: Una bandera falsa rusa. Polonia ha estado en lo alto de la lista de objetivos de los actores cibernéticos rusos, con 31 incidentes confirmados atribuidos a ellos entre mediados de 2025 y principios de 2026. A principios de 2026, APT44 de Rusia ("Sandworm") atacó la red eléctrica de Polonia, apuntando a sitios de recursos energéticos distribuidos, instalaciones de calor y energía y sistemas de despacho de energías renovables. Moscú tiene todas las razones para golpear la infraestructura polaca y dejar que Irán se lleve la culpa. Este ataque podría ser parte de una serie de ataques a Polonia; solo que esta vez Rusia decidió pasar la culpa a Irán. Para que conste, este ataque tiene todas las características de una operación rusa estándar, ya sea en términos de objetivo, tiempo o incluso las TTP.

Escenario C: Oportunismo de terceros. El conflicto activo crea cobertura. Un grupo criminal o de espionaje sin afiliación estatal puede explotar el ruido geopolítico para llevar a cabo operaciones que se mezclen con el entorno. Esto parece un poco improbable, ya que las instalaciones de investigación nuclear están muy fuera de la liga de tales actores. Pero es posible que el actor de amenazas estuviera posiblemente intentando ingresar a la red para vender acceso a un actor de amenazas más establecido en el futuro.

Los vectores de entrada —las direcciones IP, infraestructura y rutas de acceso a través de las cuales llega un ataque— son trivialmente falsificables o se pueden lavar a través de infraestructuras de terceros y granjas de bots. Cualquier analista que te diga que la geolocalización de IP resuelve la atribución posiblemente te está vendiendo algo o posiblemente está menos informado.

Lo que los defensores hicieron bien

Este incidente también vale la pena examinarlo por lo que no sucedió. El NCBJ no fue violado. Gracias a las acciones rápidas y efectivas de los sistemas de seguridad y procedimientos internos, así como a la rápida respuesta de los equipos, el ataque fue frustrado y la integridad de los sistemas no se vio comprometida.

Ese no es un resultado trivial. La infraestructura crítica, especialmente las instalaciones nucleares, ha sido históricamente un objetivo de alto valor y poco fortificado, dentro de líneas rojas bien definidas desde el punto de vista de los gobiernos. La defensa exitosa aquí sugiere algunas cosas: se instauró una detección en capas, el SOC (Centro de Operaciones de Seguridad) tenía procedimientos de respuesta a incidentes probados y listos, y el intercambio de inteligencia de amenazas dentro del ciberaparato nacional de Polonia fue lo suficientemente funcional para permitir una reacción rápida.

Compara esto con el fracaso de Stryker, donde los investigadores de seguridad sugirieron que los actores de Handala obtuvieron acceso a los servicios de Active Directory de Stryker y usaron la herramienta de gestión de puntos finales de Microsoft Intune para borrar remotamente dispositivos Microsoft, incluyendo dispositivos manejados bajo una política de trae tu propio dispositivo. Eso es un fallo de gestión de la cadena de suministro y de la identidad a gran escala, el tipo de acceso que nunca debería ser alcanzable desde el exterior.

Lo que viene después

La imagen estratégica sugiere que estos son primeros días, no un incidente aislado. Irán ha respondido históricamente a la presión cinética con campañas cibernéticas sostenidas y de múltiples vectores, no con una sola explosión. Históricamente, Irán ha llevado a cabo algunos de los ataques cibernéticos tipo wiper más infames contra enemigos nacionales, con el objetivo de simplemente borrar todos los datos en las redes atacadas. En 2012, Saudi Aramco perdió decenas de miles de estaciones de trabajo. El patrón es de escalada paciente, no de espectáculo.

Para los operadores de infraestructura crítica europea, particularmente en los sectores de energía, nuclear y adyacentes a la defensa, el modelo de amenaza ahora se ha ampliado materialmente. La proximidad de Polonia al conflicto en Ucrania ya la convertía en un objetivo ruso de primer nivel. La adición de posibles operaciones de represalia iraníes crea una presión cibernética de múltiples frentes que tensionará el ancho de banda del SOC, las líneas de atribución y la coordinación de respuesta cibernética nacional simultáneamente.

El ataque al NCBJ fue frustrado. El próximo puede no serlo. Y en un entorno donde las banderas falsas son una práctica estándar y dos conflictos adyacentes a lo nuclear se están desarrollando en paralelo, el margen de error de atribución y las consecuencias de ese error nunca han sido mayores.

¿Preguntas? No olvides dejarnos un mensaje aquí.

Adiciones y listas de verificación relevantes

Controles de seguridad OT alineados con NIST SP 800-171
Modelo de amenaza basado en STRIDE y evaluación DREAD para los Sistemas de Control Distribuido de las refinerías de petróleo