¿Apagón en España fue un ciberataque? Cómo es posible que un hacker deje a un país sin luz

En su momento el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), afirmó haber detectado indicios de que el apagón podría deberse a un ciberataque. La información fue recogida inicialmente por la agencia Servimedia, generando un creciente clima de alarma en todo el país.

Aunque las investigaciones están en curso, la sospecha de un ataque informático como origen del apagón se mantiene en el aire, debido a antecedentes internacionales de sabotajes similares.

Por su parte, epresidente de la Junta de Andalucía, Juanma Moreno, fue el primer dirigente político en señalar públicamente la posibilidad de que el apagón derive de un ciberataque. 

Sin embargo, el presidente del Consejo Europeo, el portugués António Costa, afirmó este lunes que "hasta el momento" no hay indicios de que el apagón generalizado sea resultado de un ciberataque.

En un mensaje en la red X, Costa señaló que operadores de energía en España y Portugal "están trabajando para encontrar la causa [del apagón] y restaurar el suministro de electricidad. Hasta el momento, no hay indicios de ningún ataque cibernético".

Le puede interesar: Caos en España por apagón masivo: vuelos retrasados y trenes detenidos

Red eléctrica española podría tardar hasta 10 horas en restablecerse

De acuerdo con Eduardo Prieto, director de Servicios de Operación, se estima que recuperar completamente el suministro eléctrico podría tomar entre seis y diez horas, si no surgen complicaciones adicionales. El colapso, detalló Prieto, se produjo tras una fuerte oscilación que terminó desconectando al sistema peninsular de la red europea alrededor de las 12:32 horas.

La restauración del servicio está en marcha, pero la incertidumbre persiste entre millones de ciudadanos, quienes se enfrentan a horas de afectación en sus actividades diarias.

¿Qué implica un ciberataque a infraestructuras críticas?

Martina López, especialista en seguridad informática de ESET Latinoamérica, explicó a La FM de RCN Radio que los ataques a infraestructuras críticas, como los sistemas eléctricos, pueden tener consecuencias devastadoras en sectores clave como la seguridad, la economía, la salud, la energía y las comunicaciones.

Estos sistemas incluyen cualquier infraestructura esencial para el funcionamiento de una sociedad moderna. Un ataque exitoso podría desencadenar interrupciones prolongadas y costosas en servicios fundamentales, afectando millones de vidas.

López recordó que este tipo de amenazas puede provenir de diversas fuentes: motivaciones políticas, financieras, activismo digital o acciones militares. Además, pueden utilizar técnicas como gusanos, botnets, troyanos, phishing, exploits de vulnerabilidades zero-day y, especialmente, operaciones de grupos APT altamente sofisticados.

Precedentes de ciberataques a redes eléctricas 

Los ciberataques a sistemas eléctricos no son un fenómeno nuevo. En diciembre de 2016, Kiev, la capital de Ucrania, sufrió un apagón masivo provocado por Industroyer, el primer malware diseñado específicamente para sabotear redes eléctricas.

Más noticias: Alerta por la estafas del “número equivocado”: así se meten en su cuenta bancaria

Investigadores de ESET revelaron que Industroyer no solo desconectó el suministro eléctrico, sino que además bloqueó el proceso de recuperación, extendiendo el tiempo de afectación. El malware también incluía un "wiper", un componente que borraba datos críticos de las computadoras de control, dificultando los esfuerzos de restauración.

¿Cómo funciona un ciberataque contra sistemas eléctricos?

Martina López, detalló en diálogo con La FM de RCN Radio que los ciberataques a infraestructuras críticas, como las redes eléctricas, siguen una estructura similar a la de los ataques a compañías públicas o privadas. En primer lugar, los atacantes buscan un punto de entrada. 

Este puede ser técnico, como la explotación de una vulnerabilidad en un sistema desactualizado, o mediante ingeniería social, engañando a un empleado o colaborador de la planta o instalación afectada.

Posteriormente, se ejecuta el ataque, que puede ser de carácter destructivo o secuestrador (al estilo del ransomware), diseñada para causar el mayor daño posible. Entre el acceso inicial y la ejecución final pueden transcurrir horas, días o incluso meses, dependiendo del objetivo de los ciberatacantes. 

Durante ese tiempo, los intrusos recolectan información, estudian las operaciones internas y buscan maximizar el impacto de su ataque.

Le puede interesar: Destapan nueva estafa que saquea cuentas bancarias de los usuarios de Gmail: así opera el engaño

Según López, la dinámica del ataque dependerá del tipo de amenaza: puede ser destructiva, enfocada en el secuestro de sistemas, o incluso en el robo de información de manera silenciosa. Generalmente, este tipo de operaciones son realizadas por grupos APT (Amenazas Persistentes Avanzadas), cuyos motivos pueden ser económicos, sociales o activistas.

Proceso de ciberataque a una red eléctrica 

• Infiltración: A través de vulnerabilidades de red o técnicas de ingeniería social como el phishing.
• Identificación: El malware localiza dispositivos críticos como disyuntores o interruptores automáticos.
• Sabotaje: Se programan acciones coordinadas para abrir simultáneamente múltiples disyuntores, causando un corte generalizado.
• Obstrucción: El malware evita manualmente cualquier intento de restaurar el sistema.
• Destrucción: Componentes destructivos eliminan datos esenciales para dificultar la recuperación.

Este tipo de ataques requieren un conocimiento profundo de ingeniería eléctrica y sistemas de control industrial, lo que sugiere la participación de actores estatales o grupos altamente especializados.

¿Es posible rastrear al atacante?

Cristian Torres, director de marketing para Latinoamérica de Lumu Technologies, le indicó a La FM de RCN Radio, que los grupos de cibercrimen están globalmente distribuidos y eso dificulta las tareas de individualización. 

Por ello, indicó que el enfoque de los equipos de defensa debería ser en cómo darse cuenta a tiempo que un atacante ha infiltrado una organización y en consecuencia desarrollar capacidades de respuesta automatizada en caso de que se presente un incidente, sobre todo en infraestructura crítica.

A su turno, Cristián Berrios, Regional Director Cybersecurity Services en Sonda, la vulneración de sistemas industriales, aunque difícil de predecir en detalle, podría concretarse mediante la combinación de varios factores: un sólido conocimiento de ciberseguridad y procesos industriales, el aprovechamiento de claves comprometidas de usuarios, la explotación de vulnerabilidades tanto externas como internas, y una segmentación de red inadecuada. 

Ante este escenario, la realización de assessments de seguridad y ciberseguridad se vuelve fundamental para la reducción de riesgos. A pesar de la escasez de ataques confirmados, la tendencia de intentos contra estos entornos es claramente ascendente.

Colombia podría sufrir un ciberataque de este tipo

Torres precisó que cualquier infraestructura crítica es susceptible de ser atacada desde cualquier parte del mundo. Por ello, es vital que se tomen medidas preventivas en caso de que las ciberdefensas puedan ser vulneradas. 

En ese sentido, Berrios, señaló que en este momento no existe una fórmula para evitar un ciberataque y por ello es crucial reducir riesgos, disminuir brechas de seguridad y modelar planes de ciberdefensa.