MADRID, 28 May. (CIBERPRO) –
Los ciberataques a infraestructuras críticas en España experimentaron un incremento del 43 por ciento en 2024, afectando especialmente al sector energético, que representa un 9 por ciento de dichos ataques. Esta tendencia persiste en lo que va del año, impulsada por un aumento en las amenazas de espionaje, sabotaje y filtración de datos sensibles.
Así lo indican los recientes análisis de la x63 Unit, parte de la división de ciberseguridad del Grupo Prosegur, que destacan que, durante los primeros meses de 2025, se han detectado diversas campañas de ‘ransomware’ dirigidas a empresas energéticas españolas, así como filtraciones de datos y venta de información en foros clandestinos.
Específicamente, los expertos en ciberseguridad han señalado que tras el aumento de ciberataques en 2024, centrados principalmente en el sector energético, los actores maliciosos han continuado esta tendencia durante los primeros meses de este año.
Este fenómeno se debe, en parte, a las tensiones geopolíticas actuales, que han intensificado las campañas contra infraestructuras críticas. En este contexto, los especialistas de la x63 Unit de Cipher han compartido algunas de las principales amenazas que han impactado estas infraestructuras esenciales, tanto en 2024 como en 2025.
ACTORES MALICIOSOS DESTACADOS
Entre los principales actores en estos ataques, se encuentran grupos como Babuk2, que emplea técnicas de infiltración convencionales, así como el grupo AgencyInt, que se especializa en la filtración masiva de datos personales.
Además, se ha identificado la actividad del actor de amenazas ‘crocs’, vinculado a la comercialización de información sensible de estas organizaciones o infraestructuras. Sin embargo, desde x63 Unit han aclarado que no hay pruebas de ataques directos por parte de este actor malicioso.
Asimismo, han señalado que muchas amenazas provienen de actores estatales, siendo Rusia el «principal agresor» con grupos como Sandworm o APT28, que amplían sus ataques hacia Europa. También se ha observado un incremento en la actividad de países como China, Irán y Corea del Norte, destacando grupos como Volt Typhoon, APT34 y CyberAvengers.
«Más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético generan riesgos significativos para la seguridad física«, ha afirmado el director global de Tecnología de Cipher, Santiago Anaya, quien ha enfatizado que un incidente que afecte los sistemas de control industrial, como los de seguridad en instalaciones nucleares, «podría tener consecuencias graves, incluyendo explosiones o liberaciones inseguras.»
CIBERESPIONAJE Y SABOTAJE
En este contexto, una de las amenazas identificadas está relacionada con el ciberespionaje, que en el sector energético se manifiesta a través de ataques que buscan obtener información sensible relevante, como planos de instalaciones, tecnologías propietarias o contratos estratégicos.
Los expertos han señalado que estos ataques de ciberespionaje son a menudo impulsados por actores estatales o grupos de Amenazas Persistentes Avanzadas (APT), que buscan obtener ventaja geopolítica o económica, incluso «preparar futuros sabotajes».
Así, durante 2024 y 2025, el equipo de x63 Unit ha registrado un aumento «significativo» en estas campañas, especialmente en entornos de tecnología operativa (TO) y de supervisión, control y adquisición de datos (SCADA). Entre los actores maliciosos identificados están el grupo chino Volt Typhoon, el grupo ruso Berserk Bear -también conocido como Dragonfly- y el Lazarus Group de Corea del Norte.
Además, se han detectado técnicas de sabotaje cibernético, que buscan interrumpir o perjudicar el funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales. A diferencia del espionaje, estos métodos son destructivos, lo que requiere un alto grado de sofisticación.
En este año, este tipo de amenazas se han intensificado, como se evidenció en los apagones en Ucrania, perpetrados por el grupo de ‘hackers’ rusos Sandworm. Los expertos también han documentado el uso del ‘malware’ FrostyGoop para interrumpir el servicio de calefacción urbana y el ataque con el ‘malware’ Triton a una planta petroquímica, así como la suite PIPEDREAM, diseñada para comprometer infraestructuras energéticas.
VULNERABILIDADES CRÍTICAS Y ‘MALWARE’ DESTRUCTIVO
El equipo de expertos de Cipher también ha identificado numerosas vulnerabilidades críticas en componentes esenciales de los sistemas de control industrial (ICS) durante 2024 y 2025. Estos fallos, hallados tanto en ‘software’ como en ‘hardware’, pueden ser explotados por ciberdelincuentes para acceder a redes OT, interrumpiendo procesos o comprometiendo sistemas críticos.
En este sentido, la x63 Unit ha resaltado 46 vulnerabilidades encontradas en inversores solares, así como un fallo conocido como CVE-2024-6407 en dispositivos de Schneider Electric y varias fallas notificadas por Siemens en su plataforma SCADA.
Asimismo, la compañía ha destacado el uso de ‘malware’ destructivo como una herramienta recurrente en conflictos geopolíticos, dado que puede borrar datos relevantes, inutilizar sistemas y sabotear operaciones críticas.
Ejemplos de esto incluyen el uso de los ‘malwares’ KillDisk e Industroyer en ataques a la red eléctrica ucraniana, así como el ‘software’ malicioso Fuxnet destinado a dañar dispositivos industriales.
‘HACKTIVISMO’ Y CAMPAÑAS DE DESINFORMACIÓN
Aparte de esto, el ‘hacktivismo’ es otro de los fenómenos que sigue en crecimiento este año, impulsado por motivaciones políticas, sociales e ideológicas, según ha indicado la compañía.
En este contexto, se ha mencionado a grupos como Anonymous o a colectivos prorrusos como NoName057, que han llevado a cabo campañas de denegación de servicio (DDoS) contra infraestructuras críticas occidentales.
Al ‘hacktivismo’ se suman las campañas de desinformación, diseñadas para socavar la confianza pública. Según los análisis de x63 Unit, durante 2025, estas campañas dirigidas al sector energético se han intensificado, por ejemplo, con «rumores infundados» sobre apagones masivos, generando alarma social en países como España.
En estas situaciones, los actores maliciosos atacan la reputación de proveedores de energía mediante técnicas como la difusión de documentos falsos que afectan la credibilidad del sector.
En resumen, para garantizar la continuidad de servicios esenciales como el sector energético, la x63 Unit ha subrayado la necesidad de que las organizaciones implementen una estrategia que combine detección temprana, «higiene de seguridad», segmentación entre entornos IT y OT, y una «cooperación constante» con las autoridades competentes.
