El apagón masivo que afectó a España y Portugal el 28 de abril de 2025 ha reabierto el debate sobre la vulnerabilidad de las infraestructuras críticas frente a ciberataques. Con millones de ciudadanos afectados y servicios esenciales paralizados, este incidente representa uno de los mayores desafíos para la seguridad energética europea en los últimos años. Este informe analiza el apagón español, los tipos de ciberataques dirigidos a infraestructuras eléctricas, casos históricos similares y los principales actores detrás de estas amenazas.
El Apagón de España: Un Incidente Sin Precedentes
El 28 de abril de 2025, a las 12:32 horas, España y Portugal sufrieron un apagón masivo que dejó sin suministro eléctrico a buena parte de la península ibérica. El incidente comenzó con una "oscilación muy fuerte en los flujos de potencia" que provocó la desconexión del sistema eléctrico español del sistema europeo (interconexión con Francia), llevando al colapso de toda la red(5). En cuestión de segundos, desapareció aproximadamente el 60% de la generación eléctrica del sistema.
Los territorios insulares como Canarias, Baleares, Ceuta y Melilla no se vieron afectados debido a su independencia de la red peninsular(9). Red Eléctrica, el operador del sistema, calificó el incidente como "excepcional y totalmente extraordinario", señalando que en más de 40 años nunca se había producido un evento de tales características(52).
Investigación sobre las causas
Aunque inicialmente no se estableció una causa oficial, diversas fuentes apuntan a un posible ciberataque:
- El Centro Criptológico Nacional (CCN), dependiente del CNI, y el Mando Conjunto del Ciberespacio del Ministerio de Defensa iniciaron investigaciones específicas para determinar si se trató de un ciberataque(2).
- La Policía Nacional, a través de la Comisaría General de Información, trabajaba coordinadamente para esclarecer si el apagón fue resultado de un ataque informático(4).
- El CNI reportó haber detectado "una gran actividad inusual procedente del Norte de África" días antes del apagón, coincidente con un riesgo alto de ciberamenaza(18.
- Fuentes del sector eléctrico consideraban que un ciberataque era "la causa más probable" del apagón general, argumentando que un cortocircuito convencional habría sido aislado por los sistemas de protección sin causar un colapso total(19).
El presidente del gobierno español, Pedro Sánchez, compareció públicamente tras un consejo extraordinario afirmando que "no descartamos ninguna hipótesis", aumentando la incertidumbre sobre este cero energético histórico(15).
Tipos de Ciberataques a Infraestructuras Eléctricas Críticas
Las infraestructuras eléctricas modernas son particularmente vulnerables debido a su creciente digitalización e interconexión. Entre los principales tipos de ciberataques que pueden afectarlas se encuentran:
Ataques a sistemas SCADA
Los Sistemas de Control y Adquisición de Datos (SCADA) son el corazón de la operación de redes eléctricas. En el caso español, el patrón observado sugería "un ataque de denegación de servicio dirigido contra los sistemas SCADA" que gestionan en tiempo real la distribución de energía918.
Malware especializado
Existen programas maliciosos específicamente diseñados para atacar infraestructuras eléctricas:
- BlackEnergy: Utilizado en los ataques a Ucrania en 2015, permite a los atacantes acceder a los sistemas de control industrial1016.
- Industroyer/Crashoverride: Primer malware específicamente diseñado para atacar redes eléctricas, utilizado en Ucrania en 201611.
Explotación de vulnerabilidades en protocolos industriales
Los protocolos utilizados en sistemas eléctricos, como el IEC 60870-5-104 mencionado en el caso español, no fueron diseñados originalmente pensando en la ciberseguridad, lo que los convierte en objetivos vulnerables9. Los atacantes pueden inyectar comandos maliciosos que manipulen estos protocolos para desestabilizar la red.
Técnicas de acceso inicial
- Phishing dirigido: Correos electrónicos fraudulentos a empleados con acceso a sistemas críticos813.
- Explotación de vulnerabilidades conocidas: Como el grupo Lazarus aprovechando vulnerabilidades Log4j en empresas energéticas15.
- Ingeniería social: Manipulación de empleados o colaboradores para obtener credenciales o acceso físico8.
Casos Históricos de Ciberataques a Redes Eléctricas
Ucrania 2015: El primer caso confirmado
El 23 de diciembre de 2015, tres compañías eléctricas ucranianas sufrieron el primer ciberataque confirmado contra una red eléctrica. Los atacantes utilizaron el malware BlackEnergy 3 para comprometer los sistemas de control, dejando sin suministro a unos 230,000 consumidores durante 1-6 horas1016. Este ataque sentó un precedente histórico que demostró la vulnerabilidad de las infraestructuras críticas ante amenazas cibernéticas.
Ucrania 2016: La sofisticación aumenta
Un año después, el 17 de diciembre de 2016, un nuevo ataque afectó a la red eléctrica de Kiev utilizando el malware Industroyer/Crashoverride, diseñado específicamente para atacar sistemas de control eléctrico11. Este malware podía manipular directamente los interruptores y disyuntores de las subestaciones eléctricas, mostrando un nivel de sofisticación sin precedentes.
Ucrania 2022: La amenaza persiste
Tras la invasión rusa de Ucrania, el grupo Sandworm volvió a atacar la infraestructura eléctrica utilizando una variante mejorada llamada Industroyer21113. Estos ataques se integraron como parte de la estrategia militar en el conflicto, demostrando cómo el ciberespacio se ha convertido en un nuevo dominio de guerra.
Otros incidentes significativos
- Colonial Pipeline (EE.UU., 2021): Aunque no afectó directamente a una red eléctrica, este ataque a un oleoducto crítico demostró las consecuencias potenciales de los ciberataques a infraestructuras energéticas13.
- City Power (Sudáfrica, 2019): Un ataque que afectó al suministro eléctrico en regiones de Johannesburgo13.
- Ataques a estaciones de agua: En 2025, el grupo Cyber Av3ngers, vinculado a Irán, atacó sistemas de tratamiento de agua en Irlanda y Pennsylvania, demostrando que las técnicas utilizadas contra infraestructuras eléctricas son aplicables a otros servicios esenciales12.
Similitudes entre el Caso Español y Casos Anteriores
El apagón español comparte características significativas con ataques previos a infraestructuras eléctricas:
Patrones técnicos similares
El patrón observado en España sugiere técnicas similares a las utilizadas en Ucrania: ataques de denegación de servicio combinados con inyección de comandos maliciosos sobre protocolos industriales911. Estos ataques requieren un conocimiento profundo tanto de ingeniería eléctrica como de sistemas de control industrial.
Preparación y reconocimiento previo
Al igual que en los ataques ucranianos, que fueron precedidos por extensas fases de reconocimiento, el CNI detectó una "gran actividad inusual procedente del Norte de África" días antes del apagón español18. Esta actividad podría corresponder a la fase de preparación típica de grupos APT, que suelen estudiar detalladamente sus objetivos antes de atacar.
Magnitud y complejidad
Tanto el apagón español como los ucranianos se caracterizaron por:
- Afectar a una gran extensión territorial516
- Requerir tiempos prolongados de recuperación19
- Provocar la desconexión entre sistemas eléctricos nacionales e internacionales5
Dificultad de atribución
Como ocurrió en los ataques ucranianos, donde la atribución definitiva a Rusia llevó tiempo, en el caso español las autoridades fueron cautelosas al señalar responsables, a pesar de los indicios que apuntaban al Norte de África318.
Principales Actores Detrás de los Ciberataques a Infraestructuras Críticas
Grupos APT con patrocinio estatal
Los ciberataques a infraestructuras críticas suelen ser obra de grupos con capacidades avanzadas y respaldo estatal:
Sandworm (Rusia)
También conocido como ELECTRUM, Black Energy o VOODOO BEAR, es un grupo APT vinculado al GRU (inteligencia militar rusa). Responsable de múltiples ataques a infraestructuras críticas, incluyendo los apagones en Ucrania en 2015, 2016 y 2022111314. Su experiencia en ataques a redes eléctricas los convierte en uno de los actores más peligrosos en este ámbito.
Lazarus Group (Corea del Norte)
También identificado como APT38 o Hidden Cobra, este grupo norcoreano ha dirigido campañas contra empresas energéticas en EE.UU., Japón y Canadá. En 2025, se reportó que estaban explotando vulnerabilidades Log4j en instalaciones de VMware Horizon para comprometer infraestructuras energéticas15.
APT-Mor y Sand Cobra (Marruecos)
Mencionados en relación con el apagón español, estos grupos tienen experiencia en operaciones de sabotaje y espionaje industrial, con antecedentes de ataques a redes energéticas, instalaciones militares y sectores estratégicos en Europa Occidental9.
Dragonfly (Rusia)
Atribuido al FSB ruso, cuenta con un historial de ataques al sector energético en Europa y Norteamérica, utilizando técnicas sofisticadas para el compromiso a largo plazo de infraestructuras críticas13.
Motivaciones y objetivos
- Desestabilización político-económica: Atacar una infraestructura eléctrica puede causar un impacto más importante que agredir directamente a un Estado3.
- Presión geopolítica: Estos ataques sirven como herramienta de influencia sin llegar a un conflicto militar directo314.
- Demostración de capacidades: Algunos ataques buscan mostrar el poder cibernético de un país para disuadir a posibles adversarios13.
- Preparación para conflictos: Los ataques pueden ser parte de una estrategia más amplia de preparación para escaladas militares convencionales14.
Vulnerabilidades Específicas de las Redes Eléctricas Modernas
Digitalización sin suficiente seguridad
Las redes eléctricas son ahora "inteligentes", capaces de procesar grandes volúmenes de datos y controlar flujos de electricidad en tiempo real. Sin embargo, esta modernización ha abierto nuevas puertas de acceso al sistema de gestión energética3. La integración de tecnologías de información con sistemas de control industrial tradicionales crea nuevas superficies de ataque.
Protocolos industriales vulnerables
Los protocolos de comunicación industrial utilizados en redes eléctricas, como el IEC 60870-5-104 mencionado en el caso español, no fueron diseñados originalmente con la ciberseguridad como prioridad9. Estos protocolos carecen de mecanismos robustos de autenticación y cifrado, lo que facilita la manipulación por parte de atacantes.
Interconexión internacional
La interconexión de redes eléctricas entre países, como la conexión España-Francia mencionada en el apagón5, aumenta la eficiencia pero también crea dependencias que pueden magnificar el impacto de un ataque. Un fallo en un punto puede propagarse rápidamente a sistemas conectados.
Impacto en cascada
Los sistemas eléctricos están diseñados para desconectarse automáticamente ante determinadas anomalías como mecanismo de protección. Sin embargo, los atacantes pueden explotar esta característica para provocar un "efecto dominó" donde múltiples desconexiones provocan un colapso general del sistema519.
Conclusiones y Perspectivas Futuras
El apagón masivo en España representa un punto de inflexión en la seguridad de infraestructuras críticas europeas, independientemente de su causa final. La creciente sofisticación de los ciberataques dirigidos contra sistemas eléctricos, junto con la digitalización acelerada de estas infraestructuras, crea un escenario de vulnerabilidad que requiere respuestas urgentes.
Los casos históricos, particularmente los ataques a Ucrania, demuestran que los apagones provocados por ciberataques ya no son una amenaza teórica sino una realidad tangible con graves consecuencias económicas y sociales. Las similitudes técnicas entre estos incidentes sugieren la transferencia de conocimientos y capacidades entre diferentes actores hostiles.
La atribución de estos ataques sigue siendo un desafío significativo, lo que los convierte en herramientas atractivas para estados que buscan ejercer presión geopolítica sin enfrentar las consecuencias de un ataque convencional. Esta "zona gris" cibernética representa un nuevo campo de conflicto internacional donde las líneas entre paz y guerra se difuminan.
De cara al futuro, resulta imprescindible reforzar la seguridad de las infraestructuras críticas mediante enfoques que combinen medidas técnicas, organizativas y de cooperación internacional. La experiencia española, una vez esclarecidas completamente las causas, probablemente servirá como catalizador para revisar los protocolos de seguridad en las infraestructuras energéticas europeas y acelerar la implementación de sistemas más resilientes frente a estas amenazas crecientes.