Como pudimos comprobar hace unas semanas, un apagón repentino puede sumir a un país en el caos, especialmente si este se prolonga más allá de unas pocas horas. Y aunque en la mayoría de los casos estos incidentes tienen su origen en un fallo técnico del sistema, la mera posibilidad de que un blackout masivo tenga su origen en un ciberataque no solo genera una lógica inquietud, sino que es una realidad instaurada en el imaginario colectivo.
¿Pero es realmente factible que unos hackers logren apagar no ya ciudades, sino un país entero? Sin ser alarmistas, en UDIT, Universidad de Diseño, Innovación y Tecnología, hemos querido analizar cuáles son los ataques que más preocupan a los expertos y cuáles son sus posibilidades de éxito. Para ello, examinamos cinco vectores relevantes para la red eléctrica, de modo que podamos reflexionar sobre la fragilidad digital de nuestra infraestructura más básica.
Malware especializado en sistemas industriales (SCADA/ICS)
Cuando pensamos en hackers apagando la luz, la primera imagen suele ser la de un virus informático tomando el control de sistemas de control industrial (ICS) o SCADA. Ucrania, en plena tensión geopolítica, sufrió en 2015 el primer ciberataque reconocido que derribó parte de su red eléctrica, dejando a más de 225.000 personas sin suministro. Aquella operación combinó malware con intrusiones sofisticadas en los sistemas SCADA que controlaban la distribución eléctrica, marcando un antes y un después en la seguridad de las infraestructuras.
Un año después, en 2016, ocurrió algo similar: el grupo de atacantes conocido como Sandworm desplegó un malware llamado Industroyer, específicamente diseñado para sabotear subestaciones eléctricas, causando otro apagón que afectó a miles de personas en Kiev en pleno invierno. Más recientemente, en 2022, se detectó una variante, Industroyer2, dirigida de nuevo contra infraestructuras eléctricas.
A diferencia de los virus convencionales, este tipo de software malicioso conoce los protocolos y equipos usados en la red eléctrica, siendo capaz de comunicarse con relés e interruptores en una subestación (dispositivos que regulan el flujo de electricidad), abrirlos a voluntad o bloquear los intentos de los operadores de recuperar el control. Afortunadamente, realizar un ataque así no está al alcance de cualquiera. Se requiere un conocimiento profundo de los sistemas industriales, acceso previo a la red interna de la compañía eléctrica (que suele estar aislada de Internet) y capacidad para permanecer oculto el tiempo suficiente. Por lo general, solo actores muy sofisticados (a menudo apoyados por Estados) han logrado este nivel de intrusión. Sin embargo, no es imposible.
Ahora bien, penetrar en una red es una cosa, y causar efectivamente un fallo eléctrico masivo es otra muy diferente: los sistemas eléctricos tienen protecciones y redundancias, y muchas cosas tendrían que fallar simultáneamente para provocar un apagón nacional.
Ransomware contra la gestión eléctrica
En 2017, el mundo descubrió con WannaCry lo disruptivo que puede ser un ransomware global: aquel malware secuestró cientos de miles de computadoras en 150 países, cifrando sus datos y exigiendo un rescate.
Desde entonces, los ataques de ransomware se han disparado en frecuencia y ambición, alcanzando también al sector energético. A diferencia del malware ICS, el ransomware busca normalmente lucrarse paralizando sistemas informáticos. Sin embargo, si los servidores que supervisan la distribución o las bases de datos que equilibran la oferta y demanda quedasen encriptados de repente, los operadores perderían visibilidad y control sobre la red, al menos temporalmente.
En un caso así, por precaución, es posible que la empresa opte por detener partes de la operación hasta asegurarse de que el malware no afecta la estabilidad del sistema. Algo similar sucedió en mayo de 2021, cuando un ataque de ransomware golpeó a Colonial Pipeline, el mayor operador de oleoductos de EE. UU. La empresa tuvo que cerrar por completo su red de distribución de combustible (que abastece casi la mitad de la costa este estadounidense) para contener el incidente. Si trasladamos ese escenario a la red eléctrica, un ransomware exitoso podría forzar apagones controlados o cortes preventivos mientras se lidia con la infección, generando un fuerte impacto económico y social.
La probabilidad de que un ransomware cause un apagón extenso se considera moderada. Por un lado, es muy factible que cualquier eléctrica sea atacada con ransomware pero, por otro lado, provocar daños prolongados en el suministro eléctrico no suele ser su objetivo. En la mayoría de los casos, las consecuencias técnicas se limitan a dejar inutilizados sistemas informáticos de apoyo.
Ataques DDoS sobre servidores críticos
Otro vector de ataque a considerar son los DDoS (Denegación de Servicio Distribuida), consistentes en saturar de tráfico malicioso un servidor o red hasta volverlos inaccesibles.
Este es uno de los tipos de ciberdelito más antiguos y sencillos: con una red de dispositivos infectados controlados de forma remota (una botnet), un atacante puede generar un flujo masivo de datos contra un objetivo. Aunque este tipo de ataque no puede tumbar una red eléctrica directamente, sí puede golpear áreas clave de la infraestructura digital que la sustenta. Las compañías eléctricas dependen de comunicaciones en red para supervisar subestaciones, coordinar centrales o gestionar la distribución en tiempo real. Muchas de estas comunicaciones viajan por canales privados o redes especiales, pero otras (especialmente las relacionadas con centros de datos corporativos, servicios web o incluso IoT de contadores inteligentes) pueden usar infraestructura IP susceptible a un DDoS.
Un posible escenario sería un ataque DDoS contra los sistemas de control remoto o los servidores de comunicaciones de una eléctrica. Si los operadores pierden conectividad con subestaciones o centros de transformación porque la red está saturada, podrían quedar «ciegos» ante lo que ocurre en el terreno, por ejemplo, una sobrecarga en la red, lo que dificultaría una respuesta coordinada. En el peor de los casos, un ataque de este tipo podría interferir con el equilibrio de la red, forzando desconexiones automáticas por seguridad. Aunque no dañan físicamente la infraestructura, los DDoS pueden formar parte de un ataque más amplio y coordinado.
Ataques a la cadena de suministro de software
En el caso de las amenazas a la cadena de suministro, el atacante compromete un software o proveedor utilizado por la víctima. El ejemplo paradigmático es el ataque a SolarWinds en 2020: esta popular plataforma de monitorización fue adulterada en origen, de modo que una actualización oficial incluía un backdoor oculto. El resultado fue que unas 18.000 organizaciones en todo el mundo instalaron sin saberlo una puerta trasera para los hackers.
Trasladando esta táctica a la industria eléctrica, las posibilidades son preocupantes. Las redes de transmisión y distribución dependen de multitud de sistemas de fabricantes: desde el software de telecontrol de subestaciones hasta firmware de relés y equipos de protección, pasando por herramientas de gestión empresarial.
Si un atacante logra insertar código malicioso en alguna actualización de estos productos, podría infiltrarse en cientos de compañías eléctricas a la vez. Una vez distribuida la actualización comprometida, las eléctricas clientes estarían abriendo las puertas de su red OT al enemigo, sin sospechar nada. Los atacantes obtendrían acceso remoto y privilegiado, evadiendo la mayoría de los controles de seguridad al tratarse de software legítimo con firma digital.
Estos ataques son altamente sofisticados. Requieren mucha planificación, habilidad para permanecer ocultos y, a menudo, recursos prolongados. No provocan por sí mismos un apagón (son más bien un medio de espionaje o preparación), pero allanan el camino para todas las demás amenazas.
Amenazas Persistentes Avanzadas (APT) en la red eléctrica
Detrás de gran parte de los ataques más sofisticados están las siglas APT (Advanced Persistent Threat), un término que define a grupos de ciberatacantes sigilosos, constantes y con amplios recursos, generalmente asociados a Estados o al cibercrimen más organizado.
Estos grupos combinan múltiples técnicas (malware, ransomware, ataques a proveedores, DDoS, phishing, exploits de día cero) en campañas sostenidas. Su objetivo puede ser el espionaje o el sabotaje. Una vez dentro de la red, se mueven lateralmente, obtienen credenciales, crean accesos ocultos y estudian el entorno para causar el mayor impacto posible cuando lo deseen.
En 2018, autoridades estadounidenses revelaron que hackers presuntamente patrocinados por Rusia se habían infiltrado en cientos de compañías eléctricas mediante contratistas, llegando incluso a redes de control aisladas. Aunque no se produjo un apagón, técnicamente pudieron haberlo causado. Un ataque coordinado de este tipo podría desconectar simultáneamente varios nodos críticos, algo que equivaldría a un acto de guerra.
No estamos indefensos
Si alguien lograra apagar un país entero mediante un ciberataque, con alta probabilidad sería mediante una operación APT compleja, prolongada y coordinada contra múltiples nodos críticos de la red eléctrica. Aunque estos escenarios son poco frecuentes, existen y han sido documentados.
La buena noticia es que no estamos indefensos. Así como los atacantes perfeccionan sus herramientas, los operadores eléctricos, los Estados y los organismos supranacionales refuerzan día a día sus escudos digitales. En este esfuerzo destacan medidas técnicas como la segmentación de redes IT/OT, los sistemas de detección de intrusos industriales, los centros de ciberseguridad OT y los simulacros de cibercrisis coordinados por organismos como el CNPIC o la ENISA.
A ello se suma un marco legal cada vez más robusto: la nueva Directiva NIS2 amplía la cobertura de la ciberseguridad en infraestructuras críticas, mientras que en España, el Esquema Nacional de Seguridad (ENS) y la ley 8/2011 obligan a implementar medidas concretas de prevención, detección y respuesta.
La clave está en no subestimar el problema: invertir en ciberseguridad para la red eléctrica ya no es opcional, es tan esencial como el mantenimiento físico de las líneas. El reciente corte eléctrico en España nos recordó que incluso una breve interrupción puede poner a prueba la continuidad de servicios esenciales en una sociedad digitalizada.
David Alonso Urbano, Director del Departamento de Videojuegos, Animación y Tecnología de UDIT
