¿Podría el apagón en España y Portugal haber sido un ciberataque?

El apagón generalizado interrumpió el transporte, las comunicaciones y la vida cotidiana en toda la península ibérica. Todo comenzó con la desconexión de una línea eléctrica internacional clave, lo que provocó interrupciones en cascada en las redes regionales. El corte de electricidad, que en algunas zonas se prolongó durante varias horas, fue provocado por una avería en la red de transmisión de alta tensión operada por Red Eléctrica de España (REE).

Pero, ¿por qué tantos llegaron de inmediato a la conclusión de que se trataba de un ciberataque? La sospecha de una actividad maliciosa pone de manifiesto hasta qué punto existe una creciente preocupación a nivel global por los ciberataques y los impactos devastadores que podrían tener.

¿Por qué se sospechó inicialmente de un ciberataque?

Las primeras noticias sobre el apagón recordaron el ataque de ransomware a Colonial Pipeline en 2021, en la costa este de Estados Unidos. Sin embargo, tanto Red Eléctrica de España (REE) como Redes Energéticas Nacionales (REN) de Portugal descartaron una intrusión maliciosa tras revisar los registros SCADA, la telemetría y los datos de los cortafuegos. A pesar de ello, en los momentos posteriores al incidente, varios indicios llevaron a las autoridades y a los observadores a considerar la posibilidad de un ciberataque:

• Fallos simultáneos en múltiples puntos: La naturaleza repentina y coordinada de los cortes en subestaciones geográficamente dispersas imitaba características de eventos en la red eléctrica inducidos por ciberataques, como los ocurridos en Ucrania en 2015 y 2016.
• Interrupciones en las comunicaciones: El colapso temporal de los servicios móviles e internet alimentó la especulación pública sobre un posible ataque sistémico, especialmente al fallar los sistemas de respaldo en algunas zonas.
• Contexto geopolítico y momento del incidente: El apagón tuvo lugar en un periodo de alta alerta cibernética en toda Europa, en medio de una creciente inestabilidad geopolítica, lo que incrementó la vigilancia y la sensibilidad ante posibles amenazas.
• Retraso en los análisis forenses digitales: La falta de claridad inmediata por parte de los operadores de red permitió que la especulación llenara el vacío informativo antes de que Red Eléctrica de España (REE) y la ENTSO-E (Red Europea de Gestores de Redes de Transporte de Electricidad) completaran sus diagnósticos iniciales.

A día de hoy, un ciberataque no ha sido completamente descartado por todas las partes, ya que el Instituto Nacional de Ciberseguridad (INCIBE) de España sigue investigando las causas.

¿Por qué querrían los hackers atacar la red eléctrica de un país?

Los actores estatales suelen explorar o atacar redes eléctricas para obtener ventaja en conflictos más amplios. Deshabilitar la generación o transmisión de energía puede minar la moral de la población civil, interrumpir la logística militar y enviar un mensaje coercitivo sin recurrir al enfrentamiento directo. En el contexto ruso-ucraniano, los ataques de 2015–2016 contra la red eléctrica de Ucrania por parte del grupo Sandworm demostraron cómo los apagones precisos —provocados mediante malware como BlackEnergy— pueden utilizarse como herramienta de presión geopolítica.

Por su parte, los ciberdelincuentes motivados por razones económicas ven en las compañías energéticas —que suelen ser grandes, altamente automatizadas y dependientes de controles digitales— objetivos rentables para ataques de ransomware. Cifrar respaldos de sistemas SCADA o estaciones de trabajo de los operadores puede paralizar rápidamente las operaciones, presionando a las víctimas a pagar rescates para restablecer el servicio. Grupos como BlackCat/ALPHV y LockBit 3.0 han intensificado sus ataques contra empresas del sector energético e infraestructuras críticas.

Más allá de las interrupciones inmediatas, los adversarios también pueden utilizar intrusiones en la red para mapear arquitecturas de control, extraer datos de procesos confidenciales y desarrollar malware personalizado. En los últimos años, el grupo chino RedEcho ha sido acusado de infiltrarse en las redes eléctricas de la India.

¿Cuáles son los indicios de un ciberataque a una red eléctrica?

Los operadores de red y los equipos de seguridad buscan una serie de anomalías tanto en los entornos de TI (redes administrativas) como en los de TO (tecnología operativa/SCADA) al evaluar una posible intrusión. Los indicadores de advertencia más comunes incluyen:

1. Reconocimiento de red no explicado

1. • Exploración repentina de puertos o sondeo de protocolos ICS/SCADA (por ejemplo, IEC 60870-5-104, DNP3) desde direcciones IP externas o segmentos internos inusuales.
   • Despliegue temprano de malware en activos no críticos como “prueba” para validar el acceso antes de un ataque completo.
2. Acceso no autorizado y abuso de credenciales
   • Intentos de acceso fallidos o inusuales repetidos a unidades terminales remotas (RTU) o interfaces hombre-máquina (HMI) fuera de las ventanas normales de mantenimiento.
   • Uso de cuentas de servicio o credenciales que nunca habían accedido a los sistemas de control de red.
3. Secuencias de comandos ICS anómalas
   • Envío remoto de comandos de apertura o anulación a interruptores o relés de protección sin una alarma o señal de sensor válida que lo justifique.
   • Activación repetida de interruptores o reconectadores en patrones que no coinciden con las acciones del operador de red.
4. Discrepancias en la integridad de los datos
   • Incongruencias entre las mediciones en tiempo real de sensores y los registros SCADA (por ejemplo, valores constantes nominales de frecuencia o voltaje pese a fluctuaciones físicas evidentes).
   • Desajustes en GPS o marcas de tiempo que sugieren manipulación de registros o “desfase temporal” de eventos.
5. Artefactos de malware y cambios en el sistema de archivos
   • Detección de frameworks de malware específicos para ICS (como Industroyer/CrashOverride) o puertas traseras relacionadas en equipos del sistema de control.
   • Aparición de nuevos ejecutables, imágenes de firmware alteradas o servicios inesperados ejecutándose en PLCs/RTUs.
6. Interrupción de la supervisión y alertas
   • Pérdida o corrupción de registros de eventos en entornos tanto de TI como de TO (por ejemplo, archivos de logs ausentes o rastros de auditoría sobrescritos).
   • Fallo de canales de comunicación redundantes (como enlaces satelitales o fuera de banda) que coincide de forma sospechosa con la caída del enlace principal.
7. Anomalías coordinadas y de múltiples vectores
   • Interrupciones simultáneas en el suministro eléctrico y en las TIC (redes de telecomunicaciones, servidores NMS) que superan lo que podría explicar una sola falla física.
   • Evidencia de una “cadena de ataque” que avanza desde una intrusión en TI (por ejemplo, phishing, infección de estaciones de trabajo) hacia el dominio de TO.

¿Podrían las contraseñas débiles desempeñar un papel en los ataques a redes eléctricas?

Las contraseñas débiles o por defecto son uno de los puntos de entrada más simples y comunes que un atacante puede aprovechar para infiltrarse tanto en los entornos de TI como en los de TO (SCADA/ICS) de un operador de red eléctrica. A continuación, se explica cómo podrían influir en una posible vulneración de la red:

1. Brecha inicial mediante acceso remoto
   • Muchas empresas del sector eléctrico exponen VPNs, portales RDP o paneles de gestión web para labores de monitoreo y mantenimiento remoto. Si estos están protegidos con credenciales débiles, predecibles o por defecto (sin cambios), un atacante puede acceder fácilmente mediante fuerza bruta o reutilización de credenciales filtradas. El riesgo se multiplica si no se aplica una autenticación multifactor (MFA) efectiva
     .
2. Movimiento lateral

• Una vez dentro de la red corporativa (LAN), los atacantes buscan cuentas de “puente” que les permitan avanzar hacia la zona operativa. Si las cuentas de servicio o los accesos administrativos a HMI/PLC siguen protegidos por contraseñas débiles, el compromiso puede propagarse rápidamente dentro del entorno OT.3. Reutilización de credenciales

• Incluso si la red eléctrica está bien segmentada, los usuarios suelen reutilizar contraseñas entre los entornos de oficina y los sistemas de control. Ataques de phishing o registros de teclas en el buzón corporativo de un ingeniero pueden permitir a los atacantes obtener credenciales válidas que también funcionen en las puertas de enlace OT. En el apagón de Ucrania en 2015, los atacantes primero recolectaron credenciales legítimas antes de emitir comandos destructivos a los interruptores.

¿Ciberataque o advertencia preventiva?

En última instancia, el apagón en la península ibérica sirvió como un recordatorio contundente de los riesgos potenciales que enfrentan las infraestructuras críticas ante posibles ciberataques. En medio de un colapso repentino de la red, fue demasiado fácil saltar a la hipótesis del ataque cibernético, alimentada por titulares recientes y la creciente ansiedad geopolítica. Incluso si la causa real resulta ser un fenómeno natural —como sugieren las evidencias actuales—, la amenaza tangible de una intrusión dirigida exige máxima vigilancia.

Los operadores deben tratar cada incidente como una oportunidad para reforzar sus defensas: desde la implementación estricta de políticas de contraseñas seguras y autenticación multifactor, hasta una segmentación de red rigurosa y una monitorización continua de anomalías las 24 horas del día. Si algo ha dejado claro este episodio, es que la mejor respuesta frente a fallos técnicos o ataques maliciosos no es el pánico, sino la preparación.

¿Qué acciones podrías tomar ahora mismo? Empieza por depurar tu Active Directory y eliminar contraseñas débiles o comprometidas.

Audita tu Active Directory en busca de vulnerabilidades de contraseñas

Descubre cuántas de las contraseñas de tus usuarios finales están comprometidas o son idénticas mediante un escaneo de solo lectura de tu Active Directory con Specops Password Auditor. Obtendrás un informe gratuito y personalizable sobre vulnerabilidades relacionadas con contraseñas, que incluye políticas débiles, contraseñas filtradas y cuentas obsoletas o inactivas. Descarga aquí tu herramienta de auditoría gratuita.

.