IntermediowiperNotPetyasupply chainGRUUcraniamediático

NotPetya: El Ciberataque más Destructivo de la Historia (10B USD)

Historia y análisis de NotPetya, el ciberataque de 2017 atribuido al GRU ruso que causó más de 10.000 millones de dólares en daños globales, disfrazado de ransomware pero diseñado para destruir. El ataque más costoso de la historia.

MalwareIntel Research··10 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 2

El ataque que nadie vio venir

27 de junio de 2017. Día de la Constitución en Ucrania, víspera del festivo nacional. A las 10:30 de la mañana hora local, los ordenadores de empresas ucranianas comenzaron a reiniciarse solos. Aparecía una pantalla negra con texto rojo simulando una verificación de disco, seguida de un mensaje pidiendo 300 dólares en Bitcoin para "recuperar los archivos".

Pero algo no cuadraba. A diferencia de WannaCry, que había ocurrido apenas seis semanas antes, este ataque parecía quirúrgico en su origen y devastador en su alcance. En menos de dos horas, empresas en Ucrania estaban completamente paralizadas. Y desde allí, la destrucción se extendió al resto del mundo.

Los analistas lo identificaron inicialmente como una variante de Petya, un ransomware conocido desde 2016. Pero pronto quedó claro que esto era algo diferente. Lo bautizaron NotPetya. Y resultó ser no un ataque de ransomware, sino un acto de guerra encubierto.

El contexto geopolítico: Ucrania como campo de pruebas

La ciberguerra contra Ucrania

Para 2017, Ucrania llevaba tres años siendo el laboratorio de ciberguerra de Rusia. Tras la anexión de Crimea en 2014 y el conflicto en el Donbás, las operaciones cibernéticas rusas contra Ucrania se habían convertido en algo sistemático:

  • Diciembre 2015: BlackEnergy atacó tres distribuidoras eléctricas ucranianas, dejando a 230.000 personas sin electricidad durante horas. Fue el primer ciberataque confirmado contra una red eléctrica.
  • Diciembre 2016: Industroyer/CrashOverride atacó la subestación eléctrica de Pivnichna en Kiev, causando un apagón de una hora. El malware estaba específicamente diseñado para manipular protocolos industriales de control eléctrico.
  • 2014-2017: Ataques continuos contra medios de comunicación, instituciones gubernamentales, infraestructura de transporte y sector financiero ucraniano.

NotPetya fue la escalada definitiva.

M.E.Doc: el caballo de Troya fiscal

M.E.Doc era un software de contabilidad y declaración fiscal utilizado por aproximadamente el 80% de las empresas ucranianas. Era obligatorio para presentar declaraciones de impuestos electrónicamente ante el gobierno ucraniano. Esto lo convertía en el vector de ataque perfecto: un software que prácticamente todas las empresas del país tenían instalado y actualizado.

Los atacantes comprometieron el servidor de actualizaciones de M.E.Doc. A través de una actualización legítima del software (la versión 10.01.175-10.01.176, distribuida el 27 de junio), inyectaron NotPetya en los sistemas de toda empresa ucraniana que tuviera M.E.Doc instalado.

Fue uno de los primeros ataques de supply chain a gran escala contra software civil.

Análisis técnico: un wiper disfrazado

La farsa del ransomware

NotPetya se presentaba como ransomware, pero análisis posteriores demostraron que era un wiper (malware diseñado para destruir datos de forma irreversible):

  1. El ID de instalación era falso. La pantalla de rescate mostraba un "Personal Installation Key" que la víctima debía enviar por email para recibir la clave de descifrado. Pero ese ID era datos aleatorios sin relación con las claves de cifrado. No existía forma de generar una clave de recuperación a partir de él.

  2. Sin infraestructura de pago funcional. La dirección de email para contactar ([email protected]) fue cerrada por Posteo horas después del ataque. Incluso si alguien hubiera pagado, no habría recibido respuesta.

  3. El cifrado era irreversible por diseño. NotPetya sobrescribía el Master Boot Record (MBR) del disco duro con su propio bootloader y cifraba la Master File Table (MFT) del sistema de archivos NTFS. Sin la MFT, el sistema operativo no puede localizar ningún archivo en el disco, independientemente de si los archivos individuales están cifrados o no.

Mecanismos de propagación (múltiples vectores)

NotPetya era extraordinariamente agresivo en su propagación, utilizando múltiples técnicas simultáneas:

1. EternalBlue y EternalRomance (exploits de la NSA). Como WannaCry, NotPetya utilizaba EternalBlue contra SMBv1. Pero también incorporaba EternalRomance, otro exploit de la NSA filtrado por Shadow Brokers, que apuntaba a una vulnerabilidad diferente en SMB.

2. Mimikatz (robo de credenciales). NotPetya incluía una versión modificada de Mimikatz, una herramienta que extrae contraseñas y credenciales de la memoria de Windows. Con las credenciales robadas, podía acceder a otros sistemas de la red usando herramientas legítimas de administración.

3. PsExec y WMIC (herramientas legítimas de Windows). Utilizando las credenciales robadas por Mimikatz, NotPetya se propagaba usando PsExec (ejecución remota de procesos) y WMIC (Windows Management Instrumentation Command-line), herramientas incluidas en Windows y utilizadas por administradores de red.

Esta combinación era devastadora: incluso en redes completamente parcheadas contra EternalBlue, NotPetya podía propagarse si conseguía las credenciales de un solo administrador con privilegios en la red.

Secuencia de ataque

  1. Entrada: Actualización comprometida de M.E.Doc (supply chain)
  2. Escalada de privilegios: Mimikatz para robar credenciales
  3. Propagación lateral: EternalBlue + EternalRomance + PsExec + WMIC
  4. Destrucción: Sobrescritura del MBR + cifrado de la MFT + cifrado de archivos
  5. Reinicio forzado: El sistema se reiniciaba automáticamente tras 10-60 minutos
  6. Pantalla falsa de chkdsk: Mostraba una simulación de verificación de disco mientras cifraba
  7. Nota de rescate: Aparecía el mensaje pidiendo Bitcoin (irrecuperable)

El impacto: destrucción a escala industrial

Ucrania: ground zero

El ataque devastó la infraestructura ucraniana:

  • 10% de todos los ordenadores del país quedaron inutilizados según estimaciones de Microsoft
  • Bancos, ministerios, aeropuertos, metro de Kiev, compañías energéticas
  • El sistema de monitorización de radiación de Chernóbyl quedó offline
  • Los cajeros automáticos dejaron de funcionar
  • Las gasolineras no podían procesar pagos electrónicos

Daños colaterales globales

Pero NotPetya no se quedó en Ucrania. Cualquier empresa multinacional con operaciones en el país (y M.E.Doc instalado en sus oficinas ucranianas) se convirtió en víctima. El malware saltó de las redes ucranianas a las redes corporativas globales:

Maersk (naviera danesa): 300 millones USD. La mayor naviera del mundo perdió todos sus sistemas. 45.000 PCs, 4.000 servidores y 2.500 aplicaciones destruidos. Los 76 terminales portuarias de APM Terminals (filial de Maersk) quedaron inoperativos. La única copia superviviente del controlador de dominio de Active Directory estaba en un servidor en Ghana que había sobrevivido por casualidad (un apagón eléctrico lo había desconectado de la red durante el ataque). Maersk tuvo que reinstalar toda su infraestructura IT en 10 días.

Merck (farmacéutica estadounidense): 870 millones USD. La producción de vacunas se detuvo. Merck tuvo que pedir prestado 240 millones de dólares en vacunas del CDC para cumplir con la demanda mientras restauraba sus sistemas.

FedEx/TNT Express: 400 millones USD. TNT Express (subsidiaria europea de FedEx) sufrió interrupciones en el servicio durante meses. FedEx admitió que algunos datos de clientes se perdieron permanentemente.

Mondelez (alimentación, dueña de Oreo y Cadbury): 188 millones USD. Caso notable porque su aseguradora, Zurich, rechazó pagar la reclamación de 100 millones de dólares argumentando que NotPetya era un "acto de guerra" y por tanto excluido de la póliza. El caso sentó precedente legal sobre la cobertura de seguros frente a ciberataques atribuidos a estados.

Saint-Gobain (construcción francesa): 384 millones EUR. Sistemas de logística y producción afectados durante semanas.

Reckitt Benckiser (consumo, dueña de Durex y Nurofen): 129 millones USD. Reducción de la producción y pérdida de pedidos.

La cifra total

La Casa Blanca estimó el coste total de NotPetya en más de 10.000 millones de dólares, convirtiéndolo en el ciberataque más destructivo y costoso de la historia. Una cifra que, en 2026, aún no ha sido superada.

La atribución: Sandworm y el GRU

Unidad 74455

La atribución de NotPetya fue convergente desde múltiples agencias de inteligencia. En febrero de 2018, los gobiernos de EEUU, Reino Unido, Australia, Canadá y Nueva Zelanda (los Five Eyes) atribuyeron conjuntamente NotPetya al gobierno ruso.

El grupo responsable fue identificado como la Unidad 74455 del GRU (Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas rusas), conocido en la comunidad de ciberseguridad como Sandworm.

Imputaciones del DOJ

En octubre de 2020, el Departamento de Justicia de EEUU imputó a seis oficiales del GRU por NotPetya y otros ciberataques:

  • Yuriy Sergeyevich Andrienko
  • Sergey Vladimirovich Detistov
  • Pavel Valeryevich Frolov
  • Anatoliy Sergeyevich Kovalev
  • Artem Valeryevich Ochichenko
  • Petr Nikolayevich Pliskin

Las acusaciones también incluían los ataques a la red eléctrica ucraniana, la interferencia en las elecciones francesas de 2017, los ataques contra los Juegos Olímpicos de Pyeongchang 2018 (Olympic Destroyer) y los ataques contra investigadores del caso Novichok.

Ninguno de los imputados ha sido arrestado.

Lecciones aprendidas

1. El supply chain es el eslabón más débil

NotPetya demostró que comprometer un solo proveedor de software puede ser más efectivo que atacar a miles de organizaciones individualmente. La confianza implícita en las actualizaciones de software se convirtió en un vector de ataque de primer orden.

2. Un wiper puede disfrazarse de ransomware

La pantalla de rescate de NotPetya fue un señuelo deliberado. Al disfrazar un acto de ciberguerra como un ataque criminal genérico, los atacantes buscaban crear confusión sobre su motivación real y retrasar la atribución.

3. Las credenciales privilegiadas multiplican el daño

Incluso sin exploits de día cero, el robo de credenciales de administrador permitió a NotPetya propagarse por redes completamente parcheadas. La gestión de acceso privilegiado (PAM) pasó a ser una prioridad.

4. Los seguros ciber necesitan redefinirse

El caso Mondelez vs. Zurich expuso la ambigüedad de las exclusiones de "acto de guerra" en pólizas de ciberseguros. Si un ataque atribuido a un estado no está cubierto, la utilidad del seguro ciber se reduce drásticamente.

5. Los backups offline son la diferencia entre supervivencia y catástrofe

Maersk sobrevivió porque un servidor en Ghana estaba desconectado durante el ataque. Sin esa copia, la reconstrucción habría sido exponencialmente más larga y costosa. La regla 3-2-1 de backups (3 copias, 2 medios diferentes, 1 offsite) se validó de la forma más dramática posible.

6. Los daños colaterales no se planifican

NotPetya fue dirigido contra Ucrania, pero sus mayores víctimas financieras fueron empresas occidentales con operaciones en el país. Cuando se lanza un ciberarma a una red interconectada, el daño colateral es impredecible e incontrolable.

Estado actual (2026)

Sandworm sigue activo

La Unidad 74455 del GRU no se detuvo tras NotPetya. Su historial posterior incluye:

  • 2018: Olympic Destroyer contra los Juegos Olímpicos de Invierno de Pyeongchang
  • 2022-2024: Múltiples ataques contra infraestructura ucraniana durante la invasión rusa, incluyendo wipers como HermeticWiper, IsaacWiper, CaddyWiper y AcidPour
  • 2023-2025: Operaciones continuas documentadas por CERT-UA y agencias occidentales

El caso Mondelez vs. Zurich se resolvió extrajudicialmente en 2022, pero provocó que toda la industria aseguradora redefiniera las exclusiones de guerra en pólizas ciber. Las cláusulas ahora distinguen entre ciberataques atribuidos a estados (que pueden estar cubiertos) y operaciones militares cibernéticas durante conflictos armados declarados (que suelen excluirse).

Legado en defensa de supply chain

NotPetya impulsó iniciativas como:

  • SLSA (Supply-chain Levels for Software Artifacts): Framework de Google para la integridad del supply chain de software
  • SBOM (Software Bill of Materials): Ahora requerido por la orden ejecutiva 14028 de EEUU
  • Sigstore: Firma criptográfica de artefactos de software

Recursos y referencias

  • Wired (Andy Greenberg): "The Untold Story of NotPetya, the Most Devastating Cyberattack in History" (2018)
  • Greenberg, Andy: "Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers" (Doubleday, 2019)
  • White House Press Statement: "Statement from the Press Secretary" (15 febrero 2018, atribución NotPetya)
  • DOJ Indictment (2020): "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware"
  • ESET Research: "Industroyer2 and Sandworm APT targeting Ukraine" (análisis técnico)
  • Microsoft Threat Intelligence: "New Petya ransomware attack is not what it seems"
  • Maersk Annual Report 2017: Sección sobre el impacto de NotPetya en operaciones
  • MITRE ATT&CK: Group G0034 (Sandworm Team)

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.