Centro de control eléctrico, CECOEL.
Las dudas de los expertos sobre la teoría del ciberataque: "Es posible, pero muy improbable y extremadamente complicado"
Mientras el gobierno, la Audiencia Nacional y la Comisión Europea investigan la hipótesis, algunos especialistas plantean dudas sobre la viabilidad de un ataque así.
Más información: Así es el nuevo hackeo que sufre el CSIC: cientos de equipos afectados sin internet durante más de una semana
Apenas unos minutos después del apagón que paralizó ayer España, una de las principales hipótesis que planteaban tanto especialistas en la materia como ciudadanos de a pie, era la posibilidad de un ciberataque. A pesar de ese primer diagnóstico apresurado -y de un sospechoso habitual, la Rusia de Putin, como centro de todas las miradas-, la propia Red Eléctrica Española ha descartado que se trate de un incidente de ciberseguridad. "Hemos podido concluir que efectivamente no ha habido ningún tipo de intrusión en el sistema de control de Red Eléctrica", ha dicho en rueda de prensa Eduardo Prieto, director de Servicios a la operación de la compañía. Sin embargo, el gobierno de Pedro Sánchez sigue sin descartar esta teoría, mientras descarga en los "operadores privados" la responsabilidad del apagón.
"¿Es posible un ciberataque que cause un apagón total? Sí. ¿Es probable? Muy improbable", explica a EL ESPAÑOL-Omicrono Sancho Lerena, CEO de Pandora FMS, empresa especializada en software de monitorización y controles de seguridad informática. Aún es pronto para saber a ciencia cierta a qué se debió el 'cero absoluto', pero un ataque capaz de dejar KO una infraestructura crítica de varios países, insiste Lerena, "puede ocurrir, pero es extremadamente complicado". Un ataque de estas características sólo está al alcance de organizaciones apoyadas por gobiernos, porque la red eléctrica utiliza una tecnología que no es muy habitual y es mucho más segura que la que está al alcance de los grupos de ciberdelincuentes más habituales".
De hecho, ante informaciones que atribuían el posible ciberataque a grupos como Dark Storm, los hackers propalestinos que hace un mes aseguraban haber tumbado X, la red social de Elon Musk, compañías de ciberseguridad como Check Point Software se han apresurado a confirmar que "no existen pruebas concretas de que se haya tratado de un ciberataque ni de que DarkStorm esté relacionado de alguna manera con el corte de energía". De momento, las certezas parecen escasas. Para dirimir de verdad el alcance de la crisis, un juez de la Audiencia Nacional ha abierto de oficio una causa para investigar si el apagón se debió a un ciberataque terrorista, mientras la Comisión Europea prepara un informe independiente para investigar las causas del apagón y estudiar recomendaciones.
¿Apagón hacker?
El único precedente real de un ciberataque capaz de tumbar buena parte de la red eléctrica de un país sucedió en Ucrania el 23 de diciembre de 2015. El troyano BlackEnergy dejó a 250.000 ucranianos sin luz durante varias horas, en lo que luego se supo que fue un ataque coordinado contra varias operadoras energéticas por parte de grupos supuestamente relacionados con el Kremlin.
"Creo que es importante no descartar todavía la hipótesis del ciberataque, pero es algo que se tiene que preparar con mucho tiempo", señala Víctor Deutsch, especialista en ciberseguridad y director del programa de Ingeniería de Desarrollo de Software en IMMUNE Technology Institute, a EL ESPAÑOL-Omicrono. "En el incidente de Ucrania de 2015, el software atacante estuvo dormido más o menos un año hasta que se activó en el momento deseado. Así, puede haber ‘bombas de tiempo’ de software que no conocemos, introducidas ya en los sistemas y que se pueden activar en el momento en que el atacante decida. También se han producido otros intentos de ataque contra redes eléctricas de otros países”, sostiene Deutsch.
Evacuación de pasajeros en la Estación de Chamartín - Clara Campoamor
De hecho, según un informe de Pandora FMS en el que recogía datos del Instituto Nacional de Ciberseguridad (INCIBE), los ciberataques a operadores esenciales en España habían crecido un 43% en 2024. A pesar de ese aumento, Sancho Lerena lo relaciona "no tanto con las tensiones geopolíticas como con el uso cada vez más extendido de la tecnología y la interconexión de todos los sistemas a través de Internet".
Es algo en lo que coincide con Josep Albors, responsable de investigación y concienciación en ESET España. “Conforme las infraestructuras críticas se han ido conectando a diversas redes para mejorar su operabilidad han aumentado también los riesgos a los que se enfrentan. Si bien hay mecanismos establecidos y soluciones para mitigar prácticamente todo tipo de ciberataque, debemos tener muy en cuenta esa posibilidad como algo real, más aún en el entorno geopolítico en el que nos encontramos actualmente".
Eso sí, mientras la hipótesis del ciberataque pierde fuerza, "también debemos contemplar la existencia de averías e incidentes que no están relacionados con ciberataques y que, probablemente, sean los motivos más plausibles cuando se produzca un incidente que involucre a una infraestructura crítica”.
En cuanto a la seguridad del sistema energético, Lerena afirma que "los protocolos de las redes OT (redes de hardware y software que se utilizan para monitorizar, controlar y automatizar procesos) que gestionan las redes eléctricas son muy específicas y, por lo general, muy seguras".
El Hospital de La Paz redujo a lo esencial el gasto de energía Omicrono
Estos sistemas industriales a gran escala utilizan un estándar llamado SCADA (Supervisory Control And Data Acquisition en inglés), "'lenguajes' que usan las máquinas para comunicarse en plantas eléctricas, redes de agua, gas o transporte. Estas máquinas, como sensores, válvulas o interruptores, están conectadas a sistemas que las supervisan y controlan a distancia".
La mayoría de estas redes SCADA no están conectadas a Internet, por lo que son más seguras, prácticamente inmunes en muchos casos a este tipo de intrusiones. También "usan protocolos simples y estables, con menos fallos que los sistemas comunes. Y son sistemas de muy difícil acceso, muy especializados, de los que hay menos información en Internet que de otros sistemas, por lo que es más difícil aprender sobre su uso y vulnerabilidades", señala Lerena. Aún así, su grado de protección depende de la implementación de medidas de seguridad adecuadas, como la autenticación multifactor, el cifrado de datos o la segmentación de la red, que ayudaría a limitar el alcance de un ciberataque.
En cualquier caso, "el mayor factor y vector de vulnerabilidad es el error humano, ya sea del programador cuando deja un agujero en el código, un operador que utiliza una contraseña muy común, o alguien que desvela una información confidencial sin darse cuenta de que eso puede ser explotado por un tercero para acceder con privilegios a un sistema y modificar su configuración", indica Víctor Deutsch. "Los errores humanos son más frecuentes y pueden tener un impacto mayor que los propios ciberataques”.
Este tipo de intrusiones se denomina 'ataque dirigido', y está centrado habitualmente en técnicos de nivel medio, jefes de proyecto o incluso directivos. Cualquiera que tenga acceso a los sistemas, en otras palabras. "A esta persona le mandan emails suplantando a otra gente o una empresa, y consiguen que pique en uno de ellos, con lo que se infiltran en su ordenador. Así, durante un tiempo están accediendo a todo lo que hace esta persona e intentando reconocer a su alrededor a qué más sistemas puede tener acceso. A través de esa intrusión, que puede llevar semanas, meses o incluso años incubándose, se logra un acceso que puede ser muy peligroso”.
David Morenas es director de operaciones y socio fundador de RCC Advisory, una consultora que ofrece soluciones de ciberseguridad integrada por exmilitares. Durante 20 años fue técnico de TIC en el Ministerio de Defensa. En relación a los hechos acaecidos el 28 de abril y como empresa con personal altamente cualificado en sistemas de ciberseguridad industrial, Morenas sostiene a EL ESPAÑOL que por el momento solo se puede teorizar al respecto. "Pero sí resultaría posible que haya sido un ciberataque, en base a la cronología y la inmediatez de los hechos, aunque necesitaríamos revisar los registros para poder certificarlo".
Según los especialistas de RCC Advisory, un ataque de estas características requeriría una gran planificación. "Se infectarían las redes IT con un ataque de Spearphishing, para después dar el salto a redes OT mal segmentadas, buscando puntos críticos con vulnerabilidades no parcheadas. El objetivo final es provocar un colapso masivo de los PLC de control de las subestaciones eléctricas".
En cuanto a los presuntos autores de un golpe de esta magnitud, a su juicio solo podría tratarse de un grupo cibercriminal con relaciones con un Estado. "Como por ejemplo tienen Corea del Norte, Irán o Rusia con el Grupo Lazarus, Fanzy Bear, etc. Indico estos grupos por ser los más conocidos, pero obviamente, cualquier estado que contara con un grupo de estas características podría haberlo realizado".
Cómo mejorar la protección
Para blindarnos frente a un ataque de estas características, además de aprender de otros ciberataques similares y reforzar los sistemas de seguridad, los expertos coinciden en un mismo diagnóstico y remedio. “El punto central pasa por la formación", afirma Deutsch. "Todo lo que se pueda invertir en capacitar tanto a los desarrolladores de software como a los administradores de sistemas y a los propios usuarios finales, que son los que tienen acceso a información privilegiada, es poco. Gracias a esa inversión en concienciación y en herramientas para hacerlos más sensibles a los aspectos de seguridad, supone menos riesgo, menos incidentes y gente mucho más prudente desde el punto de vista de la seguridad”.
A eso se pueden añadir otras medidas, como reforzar el control de identidad a través de sistemas biométricos o añadir un segundo y tercer factor de autenticación, pero sin la concienciación general sobre el riesgo que supone abrir un email, un SMS o un WhatsApp sospechoso, no hay nada que hacer. “Muchas veces creemos que con comprar soluciones complejas de seguridad se solucionan las cosas, pero no puedes blindar a las personas. Además, al estar introduciendo más complejidad en el sistema, puedes provocar justo lo que quieres evitar. En el caso de Crowdstrike, un fallo informático que bloqueó a cientos de empresas a nivel mundial y que en España provocó fallos en AENA, EMT y aeropuertos, "ellos mismos metieron una pieza que no encajaba y eso provocó que todo se rompiera”.
Así, según Lerena, “la solución para prevenir ataques no es comprar más piezas, sobre todo programas del extranjero que no entendemos lo que hacen ni para qué sirven". El CEO de Pandora FMS apuesta por "implementar políticas de seguridad de cercanía, o sea, con empresas locales que tú controlas de principio a fin y que no tengan el soporte en EEUU o en otro país. Luego, si pasa algo y estás totalmente atado”.
El otro paso fundamental es simular y probar diferentes escenarios de ciberataques de forma periódica para poner a prueba el sistema y mejorar, en este caso, la resiliencia de la red eléctrica. Es la versión de ciberseguridad de los simulacros de evacuación en caso de incendio, algo fundamental "para que la gente sepa qué hacer en todo momento en caso de que se produzca una incidencia real", concluye Deutsch.
