Un corte masivo de energía ha sacudido este lunes 28 de abril de 2025 a España, dejando sin suministro eléctrico a numerosas capitales de provincia desde las 12:00 horas. Los apagones no solo afectaron hogares, sino también semáforos, servicios públicos y la red eléctrica general, provocando un caos inédito a nivel nacional.
La situación ha generado gran preocupación, especialmente después de que diversas fuentes oficiales comenzaran a señalar la posibilidad de que un ciberataque haya sido el detonante de la desconexión del sistema peninsular del resto del sistema europeo.
Lea además: . Un ataque exitoso podría desencadenar interrupciones prolongadas y costosas en servicios fundamentales, afectando millones de vidas.
López recordó que este tipo de amenazas puede provenir de diversas fuentes: motivaciones políticas, financieras, activismo digital o acciones militares. Además, pueden utilizar técnicas como gusanos, botnets, troyanos, phishing, exploits de vulnerabilidades zero-day y, especialmente, operaciones de grupos APT altamente sofisticados.
Precedentes de ciberataques a redes eléctricas
Los ciberataques a sistemas eléctricos no son un fenómeno nuevo. En diciembre de 2016, Kiev, la capital de Ucrania, sufrió un apagón masivo provocado por Industroyer, el primer malware diseñado específicamente para sabotear redes eléctricas.
Más noticias: Alerta por la estafas del “número equivocado”: así se meten en su cuenta bancaria
Investigadores de ESET revelaron que Industroyer no solo desconectó el suministro eléctrico, sino que además bloqueó el proceso de recuperación, extendiendo el tiempo de afectación. El malware también incluía un “wiper”, un componente que borraba datos críticos de las computadoras de control, dificultando los esfuerzos de restauración.
¿Cómo funciona un ciberataque contra sistemas eléctricos?
Martina López, detalló en diálogo con La FM de RCN Radio que los ciberataques a infraestructuras críticas, como las redes eléctricas, siguen una estructura similar a la de los ataques a compañías públicas o privadas. En primer lugar, los atacantes buscan un punto de entrada.
Este puede ser técnico, como la explotación de una vulnerabilidad en un sistema desactualizado, o mediante ingeniería social, engañando a un empleado o colaborador de la planta o instalación afectada.
Posteriormente, se ejecuta el ataque, que puede ser de carácter destructivo o secuestrador (al estilo del ransomware), diseñada para causar el mayor daño posible. Entre el acceso inicial y la ejecución final pueden transcurrir horas, días o incluso meses, dependiendo del objetivo de los ciberatacantes.
Durante ese tiempo, los intrusos recolectan información, estudian las operaciones internas y buscan maximizar el impacto de su ataque.
Le puede interesar: Destapan nueva estafa que saquea cuentas bancarias de los usuarios de Gmail: así opera el engaño
Según López, la dinámica del ataque dependerá del tipo de amenaza: puede ser destructiva, enfocada en el secuestro de sistemas, o incluso en el robo de información de manera silenciosa. Generalmente, este tipo de operaciones son realizadas por grupos APT (Amenazas Persistentes Avanzadas), cuyos motivos pueden ser económicos, sociales o activistas.
Proceso de ciberataque a una red eléctrica
- Infiltración: A través de vulnerabilidades de red o técnicas de ingeniería social como el phishing.
- Identificación: El malware localiza dispositivos críticos como disyuntores o interruptores automáticos.
- Sabotaje: Se programan acciones coordinadas para abrir simultáneamente múltiples disyuntores, causando un corte generalizado.
- Obstrucción: El malware evita manualmente cualquier intento de restaurar el sistema.
- Destrucción: Componentes destructivos eliminan datos esenciales para dificultar la recuperación.
Este tipo de ataques requieren un conocimiento profundo de ingeniería eléctrica y sistemas de control industrial, lo que sugiere la participación de actores estatales o grupos altamente especializados.
¿Es posible rastrear al atacante?
Cristian Torres, director de marketing para Latinoamérica de Lumu Technologies, le indicó a La FM de RCN Radio, que los grupos de cibercrimen están globalmente distribuidos y eso dificulta las tareas de individualización.
Por ello, indicó que el enfoque de los equipos de defensa debería ser en cómo darse cuenta a tiempo que un atacante ha infiltrado una organización y en consecuencia desarrollar capacidades de respuesta automatizada ante cualquier incidente, sobre todo en infraestructura crítica.
Colombia podría sufrir un ciberataque de este tipo
Torres precisó que cualquier infraestructura crítica es susceptible de ser atacada desde cualquier parte del mundo. Por ello es vital que se tomen medidas preventivas en caso de que las ciberdefensas puedan ser vulneradas.
La diferencia en el impacto de los ciberataques radica en la preparación tanto para responder como para restablecer las operaciones
