{"id":635,"date":"2026-04-22T12:14:55","date_gmt":"2026-04-22T12:14:55","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/el-malware-lotus-wiper-apunta-a-los-sistemas-energeticos-venezolanos-en-un-ataque-destructivo-cyberdefensa-mx\/"},"modified":"2026-04-22T12:14:55","modified_gmt":"2026-04-22T12:14:55","slug":"el-malware-lotus-wiper-apunta-a-los-sistemas-energeticos-venezolanos-en-un-ataque-destructivo-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/el-malware-lotus-wiper-apunta-a-los-sistemas-energeticos-venezolanos-en-un-ataque-destructivo-cyberdefensa-mx\/","title":{"rendered":"El malware Lotus Wiper apunta a los sistemas energ\u00e9ticos venezolanos en un ataque destructivo \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han descubierto un limpiador de datos previamente indocumentado que se utiliz\u00f3 en ataques dirigidos a Venezuela a finales del a\u00f1o pasado y principios de 2026.<\/p>\n<p>Apodado <strong>Limpiador de loto<\/strong>el novedoso limpiador de archivos se ha utilizado en una campa\u00f1a destructiva dirigida al sector energ\u00e9tico y de servicios p\u00fablicos en Venezuela, seg\u00fan los hallazgos de Kaspersky.<\/p>\n<p>\u00abDos secuencias de comandos por lotes son responsables de iniciar la fase destructiva del ataque y preparar el entorno para ejecutar la carga \u00fatil final\u00bb, dijo el proveedor ruso de ciberseguridad. <a href=\"https:\/\/securelist.com\/tr\/lotus-wiper\/119472\/\">dicho<\/a>. \u00abEstos scripts coordinan el inicio de la operaci\u00f3n en toda la red, debilitan las defensas del sistema e interrumpen las operaciones normales antes de recuperar, desofuscar y ejecutar un limpiador previamente desconocido\u00bb.<\/p>\n<p>Una vez implementado, el limpiador borra los mecanismos de recuperaci\u00f3n, sobrescribe el contenido de las unidades f\u00edsicas y elimina sistem\u00e1ticamente archivos en los vol\u00famenes afectados, dejando efectivamente el sistema en un estado inoperable.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>No hay instrucciones de extorsi\u00f3n o pago incorporadas en el artefacto, lo que indica que la actividad agresiva del limpiador no est\u00e1 motivada por una ganancia financiera. Vale la pena se\u00f1alar que el limpiador se subi\u00f3 a una plataforma disponible p\u00fablicamente a mediados de diciembre de 2025 desde una m\u00e1quina en Venezuela, semanas antes de la <a href=\"https:\/\/en.wikipedia.org\/wiki\/2026_United_States_intervention_in_Venezuela\">Acci\u00f3n militar estadounidense en el pa\u00eds.<\/a> a principios de enero de 2026. La muestra se compil\u00f3 a finales de septiembre de 2025.<\/p>\n<p>Actualmente no se sabe si estos dos eventos est\u00e1n relacionados, pero Kaspersky se\u00f1al\u00f3 que la muestra fue cargada \u00abdurante un per\u00edodo de aumento de informes p\u00fablicos de actividad de malware dirigido al mismo sector y regi\u00f3n\u00bb, lo que sugiere que el ataque de limpieza es de naturaleza extremadamente espec\u00edfica.<\/p>\n<p>La cadena de ataque comienza con un script por lotes que desencadena una secuencia de varias etapas responsable de eliminar la carga \u00fatil del limpiador. Espec\u00edficamente, intenta detener el servicio de detecci\u00f3n de servicios interactivos de Windows (UI0Detect), que se utiliza para alertar a los usuarios cuando un servicio en segundo plano que se ejecuta en la sesi\u00f3n 0 intenta mostrar una interfaz gr\u00e1fica o un cuadro de di\u00e1logo interactivo.<\/p>\n<p>UI0Detect se ha eliminado de las versiones modernas de Windows. La presencia de dicha configuraci\u00f3n indica que el script por lotes est\u00e1 dise\u00f1ado para funcionar en m\u00e1quinas que ejecutan versiones anteriores a Windows 10 versi\u00f3n 1803, que elimin\u00f3 la funci\u00f3n. <\/p>\n<p>Luego, el script busca un recurso compartido NETLOGON y accede a un archivo XML remoto, despu\u00e9s de lo cual verifica la presencia de un archivo correspondiente con el mismo nombre en un directorio local definido previamente (\u00abC:\\lotus\u00bb o \u00ab%SystemDrive%\\lotus\u00bb). Independientemente de si dicho archivo local existe, procede a ejecutar un segundo script por lotes.<\/p>\n<p>\u00abLo m\u00e1s probable es que la verificaci\u00f3n local intente determinar si la m\u00e1quina es parte de un dominio de Active Directory\u00bb, dijo Kaspersky. \u00abSi no se encuentra el archivo remoto, el script se cierra. En los casos en los que inicialmente no se puede acceder al recurso compartido NETLOGON, el script introduce un retraso aleatorio de hasta 20 minutos antes de volver a intentar la verificaci\u00f3n remota\u00bb.<\/p>\n<p>El segundo script por lotes, si a\u00fan no se ha ejecutado, enumera las cuentas de usuarios locales, desactiva los inicios de sesi\u00f3n en cach\u00e9, cierra sesiones activas, desactiva las interfaces de red y ejecuta el comando \u00abdiskpart clean all\u00bb para borrar todas las unidades l\u00f3gicas identificadas en el sistema.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Tambi\u00e9n refleja carpetas de forma recursiva para sobrescribir contenidos existentes o eliminarlos usando la utilidad de l\u00ednea de comandos robocopy, calcula el espacio libre disponible y utiliza fsutil para crear un archivo que llena todo el disco para agotar la capacidad de almacenamiento y perjudicar la recuperaci\u00f3n.<\/p>\n<p>Una vez que el entorno comprometido est\u00e1 preparado para la actividad destructiva, se inicia Lotus Wiper para eliminar puntos de restauraci\u00f3n, sobrescribir sectores f\u00edsicos escribiendo todo ceros, borrar los n\u00fameros de secuencia de actualizaci\u00f3n (USN) de los diarios de los vol\u00famenes y borrar todos los archivos del sistema para cada volumen montado.<\/p>\n<p>Se recomienda a las organizaciones y organizaciones gubernamentales que supervisen los cambios en el recurso compartido de NETLOGON, el posible volcado de credenciales o la actividad de escalada de privilegios, y el uso de utilidades nativas de Windows como fsutil, robocopy y diskpart para realizar acciones destructivas.<\/p>\n<p>\u00abDado que los archivos inclu\u00edan ciertas funcionalidades dirigidas a versiones anteriores del sistema operativo Windows, los atacantes probablemente ten\u00edan conocimiento del entorno y comprometieron el dominio mucho antes de que ocurriera el ataque\u00bb, dijo Kaspersky.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto un limpiador de datos previamente indocumentado que se utiliz\u00f3 en ataques dirigidos a Venezuela a finales del a\u00f1o pasado y principios de 2026. Apodado Limpiador de lotoel novedoso limpiador de archivos se ha utilizado en una campa\u00f1a destructiva dirigida al sector energ\u00e9tico y de servicios p\u00fablicos en Venezuela, seg\u00fan los [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[27,181,24,2012,2010,52,2009,60,1154,2011,1163],"class_list":["post-635","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apunta","tag-ataque","tag-cyberdefensa-mx","tag-destructivo","tag-energeticos","tag-los","tag-lotus","tag-malware","tag-sistemas","tag-venezolanos","tag-wiper"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=635"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/635\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}