MADRID 29 Abr. (CIBERPRO) –
Javier Cuervo, profesor en Unie Universidad, sostiene que, en ausencia de una causa física claramente identificable y ante múltiples indicios circunstanciales, un ciberataque dirigido contra los sistemas de control Scada -una combinación de software y hardware para supervisar infraestructuras críticas, ya sea de forma local o remota- se presenta como la explicación más plausible y coherente del mayor apagón en la historia de España.
Según Cuervo, esta perspectiva refuta las hipótesis oficiales que se basan en casualidades, «demostrando que un evento de tal magnitud es poco probable que ocurra sin la intervención de una mano inteligente».
Así, señala que los datos verificados de incidentes anteriores y las señales observadas en la red subrayan la necesidad de investigar exhaustivamente la dimensión cibernética de este suceso para confirmar la intrusión y asignar responsabilidades.
«En resumen, la noción de un fallo espontáneo se vuelve absurda frente a la evidencia de que la interrupción fue provocada deliberadamente, siguiendo un patrón similar al de ataques conocidos contra infraestructuras críticas», argumenta Cuervo.
Tras descartar las teorías de un accidente físico o un fenómeno natural extremo, así como de un fallo técnico accidental en el sistema eléctrico, errores humanos o de software interno, y el sabotaje físico o terrorismo convencional por requerir «coincidencias improbables o causas invisibles», Cuervo sugiere que, en contraste, un sofisticado ciberataque contra los sistemas de control coincide con los hechos conocidos y con patrones observados en incidentes internacionales previos.
Entre estos se incluyen las desconexiones intencionadas simultáneas. Por ello, señala que la pérdida repentina de 15 gigavatios (GW) en solo 5 segundos sugiere que múltiples generadores y subestaciones fueron desconectados de manera simultánea, algo que podría lograrse mediante una intrusión en los controles Scada.
En este contexto, explica que un malware o un intruso con acceso a sistemas de control podría abrir disyuntores o apagar centrales casi al mismo tiempo, replicando las capacidades de amenazas conocidas como ‘Industroyer’ (malware responsable de apagones en Ucrania en 2015-16). Este ataque coordinado podría explicar de forma más convincente el carácter repentino y sincronizado del colapso que un fallo aleatorio.
Otra característica notable es la amplia pero coherente huella geográfica. Así, argumenta que la afectación en diferentes países (Península Ibérica y partes de Francia, incluso reacciones en Alemania y Marruecos) sugiere un evento deliberado y ampliamente coordinado, según Cuervo.
ATAQUE COORDINADO
Los sistemas eléctricos europeos están interconectados; un atacante podría aprovechar esas interconexiones para maximizar el impacto. De hecho, el ministro portugués de Cohesión Territorial admitió que «la magnitud del evento sugiere un ataque coordinado» y que el origen parecía externo a Portugal. «Esto se alinea con la naturaleza transnacional de un ciberataque bien planificado, a diferencia de una avería local», señala el profesor.
Otra característica común es la detección de actividad inusual, como los indicios encontrados por organismos de ciberseguridad. Desde las primeras horas, el Inicibe y el Centro Criptológico investigaban una posible intrusión en la red. Incluso, el CNI reportó actividad digital anómala proveniente del norte de África coincidiendo con el incidente, «lo que sugiere un vector de ataque externo», según el experto.
«Estos datos de inteligencia refuerzan la hipótesis del ciberataque y no encajan en explicaciones puramente técnicas», subraya.
El experto menciona que hay precedentes «comprobados», y enfatiza que los ataques informáticos a redes eléctricas no son meras teorías, sino realidades. Así, en Ucrania (2015), un grupo APT estatal logró infiltrarse en los Scada de varias compañías, dejando a cientos de miles de usuarios sin electricidad.
Al año siguiente, repitieron un ataque más sofisticado que dejó a Kiev en la oscuridad durante horas. Ese malware (denominado ‘Industroyer’) era capaz de enviar órdenes válidas a los equipos de la red eléctrica.
Más recientemente, en Dinamarca (2023), un ataque masivo comprometió a 22 operadores energéticos en tres oleadas coordinadas, afectando a más de dos docenas de centrales. Aunque este incidente danés no provocó un apagón gracias a reacciones de emergencia, el informe técnico advirtió que podría haber llevado a cortes generalizados si no se hubiera contenido a tiempo.
Para Cuervo, este aumento de ataques a infraestructuras críticas es reconocido por expertos, y generalmente involucra a actores estatales altamente capacitados (como el grupo ‘Sandworm’ ruso, activo contra redes ucranianas).
Por último, está el respaldo de la comunidad experta, ya que «voces del sector eléctrico y de ciberseguridad consideran el ciberataque la hipótesis más sólida. Fuentes de la eléctrica Iberdrola han indicado internamente que un ataque coordinado es plausible dada la magnitud sin precedentes del incidente. Analistas apuntan que los apagones inducidos a menudo se disfrazan inicialmente como fallos y requieren investigaciones exhaustivas para confirmarse. La propia UE llevaba años advirtiendo sobre este riesgo y trabajando en protocolos de respuesta, conscientes de que una agresión cibernética podría desencadenar crisis similares», concluye Cuervo.
