Ciberataques contra infraestructuras eléctricas: una posibilidad remota, pero factible

El 28 de abril de 2025, un apagón masivo dejó sin suministro eléctrico a España, Portugal, Andorra y partes del sur de Francia, desatando especulaciones sobre un posible ciberataque contra infraestructuras consideradas críticas. Aunque esta hipótesis fue descartada, el incidente puso en evidencia la vulnerabilidad de estas ante las amenazas cibernéticas. Es por ello por lo que en este focus analizamos la factibilidad técnica de un ciberataque contra la red eléctrica de un país como España, explorando los vectores de ataque, las debilidades de los sistemas industriales (SCADA, ICS, redes OT) y casos reales como los ataques a Ucrania en 2015 y 2016. No hay que olvidar que las redes eléctricas (como tantas otras infraestructuras), esenciales para la economía moderna, dependen de sistemas interconectados que, aunque robustos, presentan vulnerabilidades como equipos obsoletos, protocolos no cifrados y una creciente exposición a Internet. Los atacantes aprovechan técnicas como el spearphishing, la explotación de servicios expuestos o el compromiso de proveedores para infiltrarse en redes corporativas y escalar hacia los sistemas de control industrial. Casos como Stuxnet, Industroyer o Triton demuestran que los ciberataques contra infraestructuras pueden interrumpir el suministro eléctrico, causando graves impactos económicos y sociales. También que, a pesar de las defensas implementadas, como la segmentación de redes y la autenticación multifactor, un ataque coordinado a gran escala sigue siendo viable, aunque requiere una enorme sofisticación. Este análisis subraya la necesidad de reforzar la ciberseguridad en el sector energético para prevenir un «Armagedón eléctrico» en un contexto de creciente digitalización y en el que los conflictos híbridos son la norma.

Índice

• Introducción
• Las vulnerabilidades presentes en infraestructuras eléctricas y sistemas de control industrial
• La realidad supera a la ficción: ataques a redes eléctricas
• Viabilidad de un ataque a gran escala: alcance y desafíos técnicos
• Conclusión
• Bibliografía
• Notas

Introducción

El 28 de abril de 2025 a las 12:33 horas, España, Portugal, Andorra y algunas zonas del sur de Francia sufrieron una interrupción generalizada del suministro eléctrico que dejó prácticamente incomunicada a la ciudadanía. Durante horas se especuló el motivo del apagón, señalando entre las sospechas la posibilidad de haber sufrido un ciberataque.

Hoy, esta hipótesis ha sido completamente descartada, pero dado que las infraestructuras eléctricas nacionales son objetivos de alto valor en los enfrentamientos híbridos, en este artículo analizaremos cómo podría llevarse a cabo técnicamente un ciberataque contra la infraestructura eléctrica de un país, exploraremos los principales vectores de ataque y las vulnerabilidades típicas que podemos encontrar en los sistemas industriales (SCADA, ICS, redes OT), así como los métodos que se han utilizado en casos reales como el del ataque a la red eléctrica de Ucrania en 2015 y 2016.

La electricidad es la columna vertebral de la economía moderna. Un apagón nacional paralizaría el transporte (trenes, semáforos, postes de recarga), las telecomunicaciones (antenas móviles y redes fijas requieren energía), la industria y los servicios básicos. Incluso unas pocas horas de corte en grandes ciudades suponen pérdidas millonarias, sin contar los efectos indirectos que acarrearía (pérdida de confianza de inversores, costes de reparación de equipos dañados, necesidad de reforzar seguridad con urgencia, inversiones post-crisis, etc.).

 Además, si el apagón fuese prolongado, la economía podría entrar en shock, con cadenas de suministro detenidas, posible desabastecimiento en supermercados, el colapso de la producción local y daños duraderos que se traduzcan en situaciones de pánico y alteración del orden público.

En el plano político-estratégico, un ciberataque de este calibre representa no solamente una humillación para el Estado afectado que podría minar la legitimidad del gobierno ante sus ciudadanos, sino que también podría considerarse un acto de guerra capaz de activar el Artículo 5 de defensa colectiva del Tratado del Atlántico Norte (NATO, 2019).

Stuxnet demostró la posibilidad de alterar la lógica interna de un PLC para generar un daño físico, Industroyer la capacidad que tiene un malware para interactuar con protocolos de subestaciones eléctricas y Triton la posibilidad de comprometer controladores de seguridad y detener procesos industriales, pero, ¿hasta qué punto es factible la utilización de un ciberataque para apagar un Estado?

Las vulnerabilidades presentes en infraestructuras eléctricas y sistemas de control industrial

Las redes eléctricas modernas dependen de sistemas de control industrial (SCI), Industrial Control Systems por sus siglas en inglés ICS, y de sistemas SCADA (Supervisory Control and Data Acquisition) para la supervisión y operación remota de subestaciones, plantas generadoras y redes de distribución. Tradicionalmente, estos entornos operativos se encontraban aislados, pero en las últimas décadas se han interconectado cada vez más a redes corporativas e incluso a Internet, incrementando sensiblemente la superficie de ataque que tienen las ciberamenazas, dado que muchos de estos sistemas carecen de seguridad por diseño debido a que originariamente estaban pensados para estar desconectados (Paganini, 2021).

Aunque las redes eléctricas sean consideradas infraestructuras críticas por los Estados, lo cierto es que son múltiples los factores que convergen en debilidades comunes de las mismas. Con cada nuevo componente interconectado –desde contadores inteligentes hasta sistemas de gestión de energía– se suman nuevos riesgos cibernéticos que se conforman como “puntos débiles” explotables para atacantes sofisticados.

En general, la mayoría de riesgos provienen de una única causa: las redes OT no estaban pensadas originariamente para la interconexión, fenómeno al que en la actualidad se ven forzadas en virtud del desarrollo tecnológico y la productividad. Los dispositivos de control industrial como los PLC, RTU, IED y HMI se fundamentan en la longevidad y la robustez –estaban pensados para que funcionaran durante mucho tiempo sin necesidad de actualizaciones de firmware constantes, ni registros ni auditorias.

Es frecuente el uso de equipamiento y software antiguos con vulnerabilidades conocidas sin corregir, ya sea por falta de actualizaciones disponibles o por la dificultad de aplicar parches en entornos sensibles que no toleran interrupciones fácilmente.

La existencia de sistemas heredados y sin parches no es la única vulnerabilidad que podemos encontrar en este sistema, existe toda pluralidad: la falta de una segmentación adecuada entre redes corporativas IT y la red OT, que favorece el desplazamiento del atacante de una red a otra; la existencia de credenciales exfitlradas; errores de configuración que facilitan un acceso no autorizado, como servicios innecesarios activos o puertos abiertos sin control; la falta de personal IT; y especialmente, la falta de un protocolo de monitorización y gestión de activos actualizado.

A ello hay que sumar además que la mayoría de protocolos industriales utilizados (IEC 104, Modbus, DNP3 o GOOSE) fueron diseñados sin tener en consideración la posibilidad de ataques. Generalmente funcionan en texto sin cifrar[1] lo cual permite a un actor malicioso que sea capaz de acceder a la red emitir comandos fraudulentos para desincronizar sistemas o modificar parámetros críticos para el buen funcionamiento del mismo.

Ciertamente, los protocolos SCI son vulnerables a que una manipulación del tráfico de red pueda derivar en consecuencias físicas sobre los sistemas, pero, además, un actor malicioso interesado en comprometer una red industrial, como puede ser una red eléctrica nacional, cuenta con múltiples vectores de ataque disponibles y una estrategia medianamente estandarizada, basada en conseguir primero la penetración en la red corporativa o administrativa para desplazarse posteriormente a la red operativa.

Entre los métodos más utilizados para lograr la intrusión inicial destacan principalmente cuatro recursos:

• Las campañas de spear phishing dirigidas a los empleados de las compañías eléctricas: Correos con enlaces maliciosos o archivos con malware incrustado suelen ser la puerta de entrada para que el atacante consiga las credenciales internas o el acceso remoto a un equipo ofimático, tal y como demuestra el estudio de las TTP’s (Tácticas, técnicas y procedimientos) del grupo DragonFly (Hern, 2017).
• Los ataques a los proveedores: Otra vía es comprometer a terceros de confianza cuya seguridad suele ser menor que la de la red eléctrica, facilitando la intrusión sin atacar directamente a la compañía objetivo. En el caso de Dragonfly, el grupo implantó un malware en las actualizaciones de software de proveedores de SCI y comprometió determinados sitios web que eran frecuentados por ingenieros del sector, logrando que el personal de las empresas eléctricas descargase software infectado o visitara páginas previamente preparadas^[2].
• La explotación de servicios expuestos: Aunque la red de control debería estar aislada, en la práctica a veces existen conexiones externas (por ejemplo, para monitorear subestaciones remotamente o interconectar sistemas de mercado eléctrico). Un atacante podría buscar servicios accesibles desde Internet pertenecientes a la empresa eléctrica o sus contratas (servidores VPN, escritorios remotos o equipos de telecontrol mal configurados).
• El acceso físico o interno: En ataques más sofisticados y destructivos, no es descartable contar con personal interno con acceso al sistema que conecte un dispositivo malicioso a la red general o en una subestación.

Una vez el atacante haya logrado el acceso a la red privada de la empresa eléctrica, el siguiente paso es realizar un movimiento lateral, escalando privilegios hacia los entornos SCADA/ICS. Para ello, el actor de ciberamenaza buscará servidores dominio, estaciones de ingeniería, historiales de proyectos de control que le permitan emitir comandos a los controladores lógicos programables (PLC) o a las interfaces HMI que operan los equipos eléctricos. En este proceso, el atacante aprovecharía las herramientas de administración legítimas o malware especializado para crear puertas traseras en sistemas de control y evitar la detección, tal y como hizo DragonFly entre 2015 y 2017.

(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.