El 27 de junio de 2017, apenas seis semanas después de WannaCry, un nuevo ciberataque emergió desde Ucrania y se propagó por todo el planeta con consecuencias aún más devastadoras. NotPetya resultó ser algo mucho más siniestro: no era un ransomware diseñado para obtener dinero, sino una ciberarma de destrucción masiva disfrazada de extorsión digital. Con daños estimados en más de 10.000 millones de dólares, NotPetya se convirtió en el ciberataque más costoso de la historia, superando ampliamente a WannaCry y estableciendo un nuevo paradigma sobre los riesgos de la guerra cibernética en un mundo hiperconectado.
El Vector de Ataque: MeDoc y la Cadena de Suministro
Los atacantes comprometieron MeDoc, un software de contabilidad fiscal utilizado por aproximadamente el 80% de las empresas ucranianas para sus declaraciones de impuestos. Al inyectar código malicioso en una actualización legítima del software, miles de empresas instalaron el malware voluntariamente, creyendo que se trataba de una actualización rutinaria. Este fue uno de los primeros ataques a gran escala mediante la cadena de suministro de software, un vector que posteriormente se repetiría en incidentes como SolarWinds.
La actualización envenenada del 27 de junio contenía un componente que destruía irreversiblemente la Master Boot Record (MBR) del sistema infectado. La solicitud de rescate de 300 dólares en Bitcoin era una fachada diseñada para simular un ransomware convencional. Sin embargo, incluso si la víctima pagaba, sus datos estaban permanentemente perdidos porque el malware no contenía mecanismo alguno de descifrado real. El identificador único que supuestamente vinculaba cada infección con una clave de descifrado era simplemente datos aleatorios sin ninguna función criptográfica.
Propagación Lateral: Múltiples Vectores Simultáneos
Una vez dentro de la red, NotPetya empleaba una combinación letal de herramientas de propagación. Utilizaba EternalBlue (el mismo exploit de la NSA que WannaCry) para explotar vulnerabilidades SMBv1, además de Mimikatz, una herramienta de post-explotación que extraía credenciales de texto plano directamente de la memoria de Windows. Con credenciales robadas, NotPetya se autenticaba en otros equipos de la red usando protocolos administrativos legítimos como WMI (Windows Management Instrumentation) y PsExec.
Esta combinación hacía a NotPetya devastadoramente eficiente: incluso sistemas completamente parcheados contra EternalBlue podían ser infectados si un equipo con credenciales privilegiadas en la misma red era comprometido. Un solo equipo comprometido con privilegios de administrador de dominio podía infectar una red empresarial completa en menos de siete minutos. Administradores de sistemas reportaron ver cientos de equipos apagarse simultáneamente en sus monitores de red. En algunas empresas, la paralización total de toda la infraestructura IT ocurrió en menos de 45 segundos.
Las Víctimas: Multinacionales Devastadas
Maersk, el gigante naviero danés responsable del 17% del comercio marítimo global, fue quizás la víctima más emblemática. La compañía tuvo que reinstalar completamente 45.000 PCs, 4.000 servidores y 2.500 aplicaciones en un esfuerzo titánico que duró diez días. El coste total para Maersk se estimó en 300 millones de dólares. La historia de supervivencia de Maersk incluye un detalle extraordinario: la única copia funcional de su servidor Active Directory (el directorio central que controla toda la red corporativa) sobrevivió en una oficina remota en Accra, Ghana, gracias a un corte de electricidad que dejó el servidor apagado durante el ataque.
La farmacéutica estadounidense Merck perdió 870 millones de dólares, incluyendo la destrucción de lotes de producción de vacunas que tuvieron que ser desechados. FedEx/TNT Express reportó pérdidas de 400 millones de dólares y tardó meses en restaurar completamente sus operaciones logísticas. Saint-Gobain, el fabricante francés de materiales de construcción, estimó sus pérdidas en 384 millones de dólares. Mondelēz International (propietaria de marcas como Oreo y Cadbury) declaró 188 millones de dólares en daños. Reckitt Benckiser perdió 129 millones de dólares en ventas por la interrupción de su cadena de producción y distribución.
Atribución: El GRU Ruso y la Unidad Sandworm
La investigación forense y de inteligencia condujo al GRU, la agencia de inteligencia militar rusa. La Unidad 74455, conocida como Sandworm, fue identificada como autora del ataque. Esta unidad, basada en Moscú, había sido previamente vinculada a ataques contra la red eléctrica ucraniana en diciembre de 2015 y 2016, cuando lograron dejar sin electricidad a cientos de miles de personas durante pleno invierno.
El ataque fue lanzado estratégicamente el 27 de junio, víspera del Día de la Constitución de Ucrania, una festividad nacional que celebra la independencia del país. Este timing deliberado reforzó la interpretación de NotPetya como un acto de guerra cibernética dirigido contra Ucrania. En octubre de 2020, el Departamento de Justicia de Estados Unidos presentó cargos formales contra seis oficiales del GRU pertenecientes a la Unidad 74455 por su participación en NotPetya y otros ciberataques destructivos. Los gobiernos de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda atribuyeron formalmente el ataque a Rusia.
NotPetya vs. Petya: El Engaño Deliberado
A diferencia del ransomware Petya original (creado por un actor criminal convencional), NotPetya destruía permanentemente la tabla de archivos del sistema. Mientras Petya cifraba la MBR de forma reversible y proporcionaba claves de descifrado funcionales a cambio del pago, NotPetya generaba identificadores aleatorios sin ninguna correlación con claves de cifrado reales. El investigador de Kaspersky Anton Ivanov fue uno de los primeros en determinar que NotPetya era en realidad un wiper (destructor de datos), no un ransomware. La dirección de correo electrónico proporcionada para contactar con los atacantes fue rápidamente desactivada por el proveedor alemán Posteo, eliminando cualquier posibilidad teórica de comunicación con los supuestos extorsionadores.
Impacto en la Industria del Ciberseguro
NotPetya generó una de las batallas legales más significativas de la era digital. Mondelēz International demandó a Zurich Insurance por 100 millones de dólares en cobertura, pero la aseguradora invocó la exclusión por actos de guerra contenida en la póliza, argumentando que NotPetya era un ataque patrocinado por un estado soberano. Un tribunal de Nueva Jersey falló a favor de Mondelēz en enero de 2022, estableciendo que la exclusión de guerra tradicional se aplicaba únicamente a conflictos armados convencionales entre naciones.
Este fallo obligó a toda la industria aseguradora a reformular sus cláusulas de exclusión. Lloyd’s of London emitió directrices específicas en 2023 requiriendo que las pólizas de ciberseguro definan explícitamente los escenarios de ciberguerra cubiertos y excluidos. El caso Mondelēz vs. Zurich sentó un precedente jurídico fundamental que sigue influyendo en la redacción de pólizas de ciberseguro a nivel mundial.
El Contexto Geopolítico: Ucrania como Campo de Batalla Digital
NotPetya no ocurrió en el vacío. Ucrania ha sido el laboratorio de ciberguerra de Rusia desde la anexión de Crimea en 2014. Los ataques BlackEnergy contra la red eléctrica ucraniana en diciembre de 2015 dejaron sin luz a 225.000 hogares durante horas. En 2016, el malware Industroyer/CrashOverride automatizó un segundo apagón eléctrico. NotPetya representó una escalada dramática: un ataque económico masivo disfrazado de cibercrimen común.
El conflicto cibernético entre Rusia y Ucrania demostró que las operaciones cibernéticas ofensivas se habían convertido en un instrumento permanente de la política exterior rusa. Los ataques precedieron y acompañaron la invasión militar de 2022, cuando Microsoft detectó un nuevo wiper (WhisperGate) contra sistemas ucranianos el 13 de enero, semanas antes de la invasión terrestre.
Lecciones para la Ciberseguridad Corporativa
NotPetya demostró que los ataques a la cadena de suministro de software son una amenaza existencial para organizaciones de cualquier tamaño. Si un proveedor de software legítimo es comprometido, todas las medidas de seguridad del cliente resultan inútiles frente a una actualización envenenada. Este paradigma impulsó el desarrollo de SBOM (Software Bill of Materials), un inventario detallado de todos los componentes de software utilizados, permitiendo identificar rápidamente dependencias comprometidas.
La segmentación de redes y el principio de privilegio mínimo fueron subrayados como controles fundamentales. Las organizaciones que mantenían sus redes ucranianas completamente aisladas del resto de su infraestructura global sufrieron daños significativamente menores. La historia de Maersk, que sobrevivió gracias a una copia accidental en Ghana, demostró que la planificación de continuidad de negocio y los backups geográficamente distribuidos no son lujos sino necesidades de supervivencia corporativa.
NotPetya cambió fundamentalmente la forma en que el mundo entiende las ciberarmas. En la era de la guerra cibernética, las fronteras digitales no existen y un ataque dirigido contra un país puede devastar economías enteras al otro lado del planeta. La prevención perfecta es imposible; la resiliencia y la capacidad de recuperación determinan la supervivencia.
NotPetya en la Memoria Colectiva de la Ciberseguridad
En los años posteriores al ataque, NotPetya se convirtió en el caso de estudio obligatorio en cursos de ciberseguridad, gestión de riesgos y continuidad de negocio en universidades y certificaciones profesionales de todo el mundo. El libro Sandworm de Andy Greenberg, publicado en 2019, documentó exhaustivamente la investigación que condujo a la Unidad 74455 del GRU y se convirtió en un bestseller internacional que acercó la realidad de la ciberguerra al público general.
Las aseguradoras revisaron completamente sus modelos de riesgo cibernético tras NotPetya. El concepto de riesgo sistémico cibernético (la posibilidad de que un solo evento afecte simultáneamente a miles de organizaciones interconectadas) se incorporó a los marcos regulatorios financieros. Los reguladores bancarios exigieron pruebas de estrés cibernético similares a las pruebas de estrés financiero implementadas tras la crisis de 2008.
Sobre el Autor
Carlos Mendoza Rivera – Experto en análisis de amenazas con más de 12 años de experiencia en ciberseguridad corporativa
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
