La versión oficial apunta a una pérdida súbita de generación solar en el suroeste de la Península, lo que habría desestabilizado toda la red. Sin embargo, el presidente del Gobierno, Pedro Sánchez, ha sido más cauto y afirmó que todas las hipótesis siguen en evaluación. No obstante, más allá del origen del fallo, el incidente ha reavivado una pregunta clave en plena era digital: ¿puede un ciberataque dejar sin electricidad a un país entero?

MIRA: La radio fue más: en medio del apagón de España esta tecnología se impuso sobre otras modernas

En un mundo interconectado, la mayoría de industrias —incluyendo el suministro eléctrico— depende de sistemas automatizados y plataformas digitales. La digitalización mejora la gestión de recursos, pero también expone a las industrias a nuevas amenazas cibernéticas. A diferencia del pasado, cuando los riesgos eran físicos o internos, hoy los atacantes pueden operar de forma remota, infiltrarse en las redes y provocar daños a gran escala.

Según un informe de la compañía de seguridad Palo Alto, el 86% de los principales incidentes cibernéticos de 2024 provocaron paradas operativas, daños a la reputación o pérdidas financieras.

Existe una nueva tendencia, los atacantes motivados financieramente han cambiado su enfoque a la interrupción operativa deliberada, priorizando el sabotaje (destruyendo sistemas, bloqueando clientes y causando tiempo de inactividad prolongado) para maximizar el impacto y presionar a las organizaciones para que paguen demandas de extorsión.

De acuerdo con el documento, la velocidad, la sofisticación y la escala de los ataques han alcanzado niveles sin precedentes con amenazas asistidas por IA e intrusiones múltiples, lo que subraya que las organizaciones se enfrentan a un panorama de amenazas cada vez más volátil.

Vulnerabilidades críticas

Por otro lado, David Gonzáles, investigador de seguridad en Eset, señala a El Comercio que “este tipo de redes son vulnerables debido a que cierta cantidad de los sistemas que se usan en este tipo de industrias son obsoletos. Hay estadísticas que dan cuenta de que un gran porcentaje de las empresas en estos sectores continúan operando con sistemas operativos o redes que están en desuso o cerca de su retiro”.

El especialista explica que ya anteriormente ha habido casos de este tipo, en donde los atacantes han tenido como objetivos a infraestructura crítica.

Las infraestructuras críticas hacen referencia a cualquier sistema, ya sea digital como físico, que brinda algún servicio esencial para el funcionamiento de la sociedad. En caso de verse afectado podría tener un impacto grave en algún área crítica como seguridad, economía, salud, energía, comunicaciones, entre otros.

En 2015, en pleno conflicto armado entre Rusia y Ucrania, se produjo un ataque bajo la amenaza de ’Black Energy’, un malware del tipo backdoor que se utilizó para instalar un componente ‘KillDisk’ en los equipos de destino y que ocasionó que no arranquen. La consecuencia fue de magnitud colosal: alrededor de la mitad de los hogares en la región ucraniana de Ivano-Frankivsk quedó sin electricidad durante horas. Aproximadamente 750.000 habitantes quedaron sin suministro eléctrico. Un año después, una familia de malware similar afectó Kiev, la capital de Ucrania.

También se han identificado intentos de ciberataques como el ocurrido en Estados Unidos hace algunos años, donde se buscó envenenar una planta potabilizadora, llegando a casi afectar los servicios de agua y saneamiento. En 2021, un atacante tuvo acceso a los sistemas informáticos de una planta de tratamiento de agua en Oldsmar, Florida, e intentó envenenar el suministro de agua de la ciudad al manipular los niveles químicos de hidróxido de sodio, conocido comúnmente como lejía.

Y aunque el programa usado para ingresar al sistema no fue especificado, los atacantes ingresaron a través de TeamViewer, un software ampliamente utilizado para brindar soporte y acceso remoto.

En el caso de una central eléctrica, los sistemas más críticos son “aquellos que entren a la categoría ‘EOL’ (End-Of-Life), es decir, que ya no contarán con parches, actualizaciones y soporte por parte del fabricante”, señala Gonzáles. “También los que no cuenten con sistemas de autenticación y que no cuenten con algún tipo de visibilidad y monitorización”, acota.

Medidas de seguridad

El experto explica que las centrales eléctricas deben cumplir con algunos marcos elementales de ciberseguridad como la guía IEEE 402, que describe los procedimientos de seguridad para el suministro eléctrico; el ES-C2M2, marco de referencia exhaustivo que tiene como objetivo medir las capacidades en ciberseguridad dentro del sector eléctrico; NERC CIP, dedicado hacia la protección de la infraestructura crítica; el ‘ENISA Smart Grid Threat Landscape and Good Practice Guide’, una guía de buenas prácticas para abordar ciberataques tanto externos como internos; y el ‘ENISA Appropriate Security Measures for Smart Grids’, documento técnico el cual define diez dominios que contemplan medidas de seguridad para tres tipos de niveles dentro de una red eléctrica inteligente.

Para Gonzáles, no basta con apegarse a un marco de ciberseguridad: también se necesita una actitud activa frente a las amenazas.

“Hay que salir a buscar los riesgos, incluso los que aún no han sido descubiertos”, afirma.

El experto recomienda aplicar el modelo ‘Zero Trust’, donde ningún usuario o dispositivo es automáticamente confiable, y combinarlo con una “seguridad en capas” para evitar que una sola falla comprometa todo el sistema.

También sugiere contar con planes de respuesta ante incidentes, así como capacitar de forma constante al personal en temas de ciberseguridad.

Y, finalmente, elaborar planes de capacitación dirigidos al equipo de colaboradores en materia de seguridad de la información.

“Hay que ver a la ciberseguridad como una inversión y no como un gasto, además, fomentar la concientización tanto de los colaboradores como de los usuarios a todos los niveles”, apunta Gonzáles.