La Agencia de Seguridad Interna de Polonia (ABW) acaba de confirmar que los grupos rusos APT28 y APT29 quebraron los sistemas de control industrial de cinco plantas potabilizadoras polacas en 2025. En varios casos, los atacantes no se limitaron a observar: obtuvieron la capacidad de modificar parámetros operativos en tiempo real. No se trata de un robo de datos. Es la antesala del sabotaje híbrido contra infraestructura crítica europea.
Cómo se produjo la intrusión: el fallo no fue un zero‑day, fue la comodidad
El informe de la ABW detalla que las brechas se produjeron en las localidades de Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko y Sierakowo. El vector de ataque, lejos de requerir exploits sofisticados, se apoyó en dos viejos conocidos de la ciberseguridad industrial: contraseñas débiles y sistemas de gestión expuestos directamente a internet. En varios casos, los paneles de control de la tecnología operativa (OT) carecían de cualquier mecanismo de protección adicional y eran accesibles desde la red pública sin segmentación ni autenticación robusta.
La comunidad de seguridad lleva años advirtiendo de que la convergencia IT-OT multiplica la superficie de ataque. Por eso me sorprende menos la atribución a Moscú que la persistencia de fallos tan básicos. Usted, como responsable de una infraestructura crítica, sabe que el eslabón más frágil no suele ser un zero‑day, sino una credencial compartida en un Excel.
De hecho, el comunicado de la ABW es demoledor: «En varios casos, los sistemas responsables de la tecnología operativa eran accesibles sin suficientes mecanismos de protección». La lectura es clara: el sabotaje digital contra el agua potable ya no es una hipótesis de laboratorio.
APT28 y APT29: los brazos cibernéticos del GRU y el SVR
ABW identifica a los actores con nombres y apellidos. APT28 (Fancy Bear), vinculado al GRU, y APT29 (Cozy Bear), atribuido al SVR, son los mismos grupos que estuvieron detrás de la campaña SolarWinds y de las injerencias electorales en Europa. A ellos se suma UNC1151, un actor alineado con Bielorrusia y conocido por la operación Ghostwriter contra países de la OTAN. La combinación sugiere una campaña coordinada de reconocimiento y preparación del terreno que combina ciberespionaje, desinformación y, ahora, la capacidad de alterar procesos físicos.
Llevo años escribiendo sobre esto. En El quinto elemento dejé apuntado que «el próximo 11S empezará con un clic». Lo que Polonia ha sufrido es exactamente ese clic: una intrusión silenciosa que podría haber escalado a un corte masivo de suministro o a un envenenamiento selectivo si los atacantes hubieran decidido pasar de la recolección de inteligencia a la acción cinética.
A eso se suma que la ABW también relaciona los incidentes con «operaciones coordinadas de guerra de la información». Es decir, el acceso técnico no es un fin en sí mismo: forma parte de una campaña híbrida donde la capacidad de dañar se convierte en moneda de cambio o en elemento de presión geopolítica.
Lo que ha ocurrido en Polonia no es un robo de datos. Es un ensayo general de sabotaje contra el agua que bebemos.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es un ciberataque contra sistemas de control industrial (ICS) con fines de reconocimiento y, potencialmente, de sabotaje físico. Los atacantes no necesitaron vulnerabilidades de día cero; explotaron la exposición directa a internet de paneles OT y políticas de contraseñas deficientes. Esto entra dentro de la categoría de amenaza persistente avanzada (APT) combinada con guerra híbrida, donde la información y el control operativo se convierten en armas.
Las agencias atacantes son APT28 (GRU), APT29 (SVR) y el grupo bielorruso UNC1151. De hecho, APT28 ya había sido vinculado al sabotaje del sistema eléctrico ucraniano en 2015, y APT29 a la filtración de SolarWinds que afectó a media docena de agencias federales estadounidenses. La parte defensora es el ABW polaco y, por extensión, la OTAN en su dimensión de ciberdefensa colectiva. Pero hay un tercer actor en la sala: el CNI y el CCN ‑ CERT españoles. En España hay más de 8.000 infraestructuras críticas identificadas, muchas de ellas con sistemas OT accesibles desde internet, como recordé en El quinto elemento. Moncloa sabe que el patrón polaco es reproducible en cualquier depuradora de la cuenca del Tajo o del Ebro.
El nivel de clasificación estimado del material vulnerado es, como mínimo, de uso restringido, aunque la naturaleza operativa de los sistemas de control sugiere que podría alcanzar el nivel de confidencial o incluso de secreto, dado que la alteración de parámetros de potabilización afecta a la seguridad nacional. No es casualidad que la ABW haya tardado meses en difundir los detalles: el informe incluye inteligencia sobre métodos de ataque que todavía están siendo analizados por los aliados de Varsovia.
El precedente más cercano en el oficio no es cibernético, sino físico: en 2021, un pirata informático accedió a los sistemas de una planta de tratamiento de agua en Oldsmar, Florida, y elevó los niveles de sosa cáustica a límites peligrosos. Aquello fue un empleado descontento que actuó por su cuenta. Lo de Polonia es diferente: es un Estado modificando parámetros operativos con una intencionalidad estratégica. Y eso cambia las reglas de la contención.
Lo veo así: Moscú está probando la resistencia de las infraestructuras críticas europeas con el mismo descaro con el que testeó los sistemas electorales hace una década. Si no hubo un corte masivo de agua fue porque no quisieron, no porque no pudieran. La cuestión ahora es si la OTAN está dispuesta a considerar un ataque de este calibre como una agresión que active el Artículo 5 si se repite en un país báltico o en Alemania.
Me consta que en los círculos de inteligencia se sigue con preocupación la evolución de la doctrina rusa de «escalada horizontal»: en lugar de cruzar un umbral militar evidente, acumulan incidentes grises que erosionan la cohesión aliada sin dar pie a una respuesta colectiva. Polonia ha sido el banco de pruebas. España, con el flanco sur y su dependencia hídrica, no está fuera del radar.
