Cuando el enemigo no se ve: ciberataques y la urgencia de estar preparados

La semana pasada fuimos testigos de un hecho insólito que sorprendió a millones de ciudadanos: un apagón de grandes dimensiones afectó a buena parte del territorio nacional, Portugal y sur de Francia. En un primer momento, muchos pensamos que se trataba de una avería puntual, hasta que al mirar por la ventana comprendimos que algo mucho mayor estaba ocurriendo, ya que lo que se había quedado a oscuras no era solo nuestra casa, sino el país entero.

Como era de esperar, rápidamente surgió la hipótesis de un ciberataque, una posibilidad que se ha instalado en la mente colectiva como una amenaza real y plausible en estos tiempos marcados por una gran tensión geopolítica, la digitalización acelerada y una creciente dependencia tecnológica.

Medios de comunicación, representantes políticos y miles de usuarios en redes sociales comenzaron a plantearse si detrás del apagón podía esconderse una ofensiva digital dirigida a nuestras infraestructuras críticas, aunque esta opción fue descartada rápidamente por las autoridades.

Y aquí surge la gran pregunta: ¿España está realmente preparada para afrontar un ciberataque de esta magnitud? Técnicamente sí. Nuestro país se encuentra entre los más avanzados en materia de ciberseguridad en Europa, creciendo en madurez año tras año, adaptándose a la nueva regulación europea con protocolos sólidos, centros de respuesta bien entrenados y una colaboración público-privada que funciona. Sin embargo, todavía quedan desafíos como la inversión continua que requiere mantener los sistemas actualizados, que la ciberseguridad llegue a pequeñas y medianas empresas, y seguir incidiendo en la concienciación ciudadana. No basta solo con disponer de herramientas técnicas; es fundamental que la sociedad esté informada y preparada para entender y responder a estas amenazas sin caer en el alarmismo ni la desinformación.

Un ataque tecnológico capaz de provocar un apagón eléctrico masivo es técnicamente posible, pero en la práctica requiere de capacidades avanzadas y no resulta fácil de ejecutar. La experiencia internacional nos recuerda, entre otras, las siguientes referencias reales: Estonia, en 2007, con una oleada de ataques de denegación de servicio; Irán, en 2010, con el famoso Stuxnet que saboteó sus centrifugadoras nucleares; y Ucrania, entre 2015 y 2017, con apagones causados por malware dirigido a sistemas industriales. En todos los casos, el ciberataque formaba parte de un conflicto geopolítico más amplio. Durante la agresión de Rusia a Ucrania estamos viendo ejemplos similares.

La hipótesis de un ciberataque en España podría parecer verosímil, pero requeriría de un análisis más profundo para determinar si podría formar parte de un conflicto híbrido o de un escenario de tensión geopolítica, que actualmente parecería estar descartado. Un ataque de este calibre requiere meses de planificación: infiltración, análisis de la red con movimientos laterales, escalada de privilegios, persistencia, monitorización y, dependiendo de su objetivo, cometer las acciones pertinentes: robo de información, daños en infraestructuras y sistemas, extorsión, o varias de ellas.

¿Podrían estas empresas ocultar el ciberataque para no dañar su reputación? No. Un incidente de tal importancia y gravedad es obligatoriamente reportado a las autoridades competentes para coordinar una respuesta adecuada a nivel nacional, o incluso internacional llegado el caso.

La respuesta ante una amenaza real requiere la actuación inmediata y coordinada tanto de empresas como de los organismos y autoridades competentes para contener el ataque, evitar que se expanda y mitigar sus efectos, evitando todo lo posible la afectación de la sociedad. Para ello, tienen un papel crucial los profesionales de ciberseguridad, junto con los centros de respuesta nacional a incidentes de seguridad informática (INCIBE para el sector privado, y el Centro Criptológico Nacional para el sector público), y las consecuentes acciones por el resto de autoridades en función del ataque.

Pero también tiene un papel fundamental el conjunto de la ciudadanía y el tejido empresarial, puesto que ellos forman el primer escudo contra los ciberataques, por ejemplo, al identificar y bloquear un intento de phishing, o al no abrir un enlace o documento malicioso. También es importante saber cómo actuar ante un fallo masivo, dónde acudir, qué fuentes oficiales consultar y entender por qué no debemos compartir bulos sin verificar. Sensibilizar, formar y capacitar es tan estratégico como disponer de sistemas de detección y respuesta avanzados.

El gran desafío no es solo evitar el ciberataque, sino estar preparados para gestionarlo con eficacia si llega, ya sea a nivel nacional o en nuestra propia empresa. Eso implica práctica a través de simulacros, formación, infraestructuras resilientes, inversión constante y, por supuesto, una ciudadanía sensibilizada y partícipe porque, al fin y al cabo, todos estamos interconectados.

*** María Riesco es directora del Máster en Ciberseguridad en IMMUNE Technology Institute