¡Hola! Ya tienes en tu buzón otra entrega de La conquista del feed. Si te gusta lo que lees, recuerda reenviar este correo para que más gente se suscriba con este enlace.

También puedes enviar ese enlace a tus amistades o compartirlo en redes. Me ayuda mucho, así que, ¡muchísimas gracias!

Recuerda que si tienes alguna pista puedes escribirme. Estoy en Mastodon, en Bluesky o incluso en LinkedIn.

En el número de hoy...

• Apagón y ciberataque: ni se descarta ni puede ser la única razón

• Picoteo de noticias breves

Apagón y ciberataque: ni se descarta ni puede ser la única razón

¿Es fácil apagar un país mediante un sabotaje informático? No. Aunque “los ciberataques pueden causar un apagón a nivel nacional de muchas maneras distintas”.

Lo aclara Enn Kukk, ingeniero e investigador en el Centro de Excelencia de Ciberdefensa Cooperativa (CCDCOE, por sus siglas en inglés) de la OTAN. Este organismo se ubica en la capital de Estonia, en Tallin, y no es una unidad operativa, por lo que no monitorea ni investiga ciberataques concretos. Su plantel de expertos, sin embargo, sí documenta y analiza todo tipo de ofensivas en el mundo digital.

¿Fue el apagón del lunes pasado fruto de un ciberataque? Mis vecinos lo tuvieron claro desde el minuto uno, con una ufanía contagiosa. “Ha sido un ataque de Putin”. Red Eléctrica descartó haber sufrido un ciberataque 24 horas después del cero eléctrico (pero no puede descartar que un ataque afectara a cualquier otro agente que opera en la red). Casi al mismo tiempo, la Audiencia Nacional iniciaba de oficio una investigación, sin descartar “el ciberterrorismo” como causa. El miércoles se decretaba el secreto de sumario.

Kukk desgrana a La conquista del feed algunas vías por las que un ciberataque podría penetrar en una red eléctrica estatal. Pero también advierte que una red “debería ser capaz de soportar muchas afecciones diferentes” y por lo tanto “es difícil creer que un ciberataque sea la única causa de un apagón nacional”. “Normalmente se necesita la coincidencia de varios factores para que ocurra un accidente de gran magnitud”, zanja.

Con todo, una semana después no se conocen las razones exactas del cero eléctrico. Las elucubraciones vuelan desde entonces, aunque toda prudencia es poca en circunstancias como esta. Lo único que parece objetivable es que mucha gente ya sabe del potencial destructivo que puede haber tras un incidente de ciberseguridad.

Ahora al meollo: cómo se ataca una red eléctrica estatal desde las sombras.

Qué se sabe hasta ahora del apagón

Red Eléctrica Española (REE) es el operador del sistema eléctrico español. Goza de un régimen de monopolio y es filial de la privada Redeia, cuyo mayor accionista es el propio Estado a través de la Sociedad Española de Participaciones Industriales (SEPI), que tiene un 20% del capital. Por el momento, lo que REE ha compartido sobre el incidente es que dos centrales de generación eléctrica del suroeste peninsular se desconectaron de la red en el lapso de un segundo y medio, lo que desencadenó la catástrofe.

Toda red eléctrica debe cumplir ciertos requisitos para operar con seguridad. Tres de ellos son el equilibrio entre oferta y demanda, una potencia suficiente y estable y una frecuencia constante. En el momento en el que dos plantas de generación se desconectan de la red, la frecuencia en la red decae, lo que lleva a que Francia active automáticamente sus cortafuegos desconectándonos de la interconexión con Europa y precipitando el apagón.

Lo que iremos viendo estos días es un baile de reproches y acusaciones entre fotovoltaicas, oportunistas nucleares, eléctricas en general, oportunistas políticos y Gobierno. Bueno, ese baile ya ha comenzado, como explica aquí Javi en La vida que vendrá. Pero todavía no se sabe por qué esas dos plantas que ha señalado Red Eléctrica se desconectaron y qué pudo fallar en la gestión del sistema como para no contener la incidencia. Claro, ni siquiera se sabe si era contenible.

Mundos solapados

Aunque eran dos mundos distintos, desde hace lustros el plano digital y el físico se vienen solapando. Ya están solapados. No solo llevamos en el bolsillo potentes ordenadores con los que generamos una indeleble huella digital sobre nuestra vida: tu casa se está llenando de dispositivos conectados. Desde la Alexa de turno hasta la Thermomix: ya se han testeado ataques a cafeteras inteligentes que hacen que el electrodoméstico no pare de escupir agua hirviendo hasta que pagues un rescate (o lo desenchufes, claro).

Multiplica esto por cien en el ámbito industrial. Infraestructuras críticas y entornos industriales despliegan en sus instalaciones PLC y todo tipo de dispositivos conectados. A todo esto hay que meterle mano. En noviembre del año pasado entró en vigor el Reglamento de Ciberresiliencia de la Unión Europea, que exige nuevos estándares en ciberseguridad a los fabricantes de todo tipo de aparatos. Los expertos, no obstante, asumen que los efectos de la nueva norma no se harán notar en muchas factorías hasta dentro de unos años.

¿Y en las infraestructuras críticas, qué? En la jerga de la ciberseguridad los colectivos de cibermercenarios patrocinados por estados reciben una codificación y son conocidos como amenazas persistentes avanzadas (APT, por sus siglas en inglés). Estos APT tienen en su diana a las redes eléctricas, pero no solo: también a las infraestructuras de telecomunicaciones o redes de agua. También se han visto intentos de sabotaje a plantas de tratamientos de agua. Imagina intoxicarte porque unos ciberdelincuentes alteraron los químicos en la planta que trata el líquido que sale de tu grifo.

Apagar la luz desde las sombras

El Foro Económico Mundial lanzó hace siete años una iniciativa en torno a la seguridad informática de las infraestructuras eléctricas. En 2023, un informe del mismo Foro incidía en que “a medida que los sistemas eléctricos experimentan una rápida transformación digital, el vínculo entre la ciberseguridad e infraestructura se hace cada vez más evidente”.

Las regulaciones son importantes, pero la complejidad de las redes requiere que “ninguna entidad”, sea esta la operadora de la red o un proveedor, “trabaje de forma aislada”. Estamos lejos de ese ideal, en tanto que el propio Gobierno ha tenido problemas para acceder a datos cruciales de la red por los reparos de las eléctricas.

Los ciberataques a las infraestructuras críticas no son algo nuevo, después de todo. En junio se cumplirán 15 años desde que se descubriera Stuxnet, un gusano que fue capaz de alterar el comportamiento de las turbinas en las que se enriquece uranio de una planta nuclear iraní. El objetivo del malware es que aquellas turbinas se autodestruyeran. Se pudo evitar un incidente mayor, pero Stuxnet es considerado el primer malware que superó la barrera del mundo digital llegando al mundo físico.

También este 2025 se cumplirán diez años de un ciberataque que dejó a 80.000 personas sin luz durante horas en Ucrania. El incidente se atribuyó a un APT ruso. Eran las tres y media de la tarde de un 23 de diciembre de 2015 cuando un operario en un centro de control de Prykarpattyaoblenergo, la responsable de la red en varias regiones ucranianas, lo empezara a flipar al ver que el ratón de su ordenador se estaba moviendo solo. 

Ya en 2016 la periodista Mercè Molist se preguntaba si algo así podría pasar en España. Un experto le contestaba: “Aunque estuviésemos bien protegidos, algo que no se puede afirmar rotundamente, algo así podría pasar en cualquier momento”.

Difícil de creer, pero no imposible

Con todo, Enn Kukk, del CCDCOE de la OTAN, apunta que si bien los ciberataques “pueden provocar apagones estatales de distintas maneras”, no es tan sencillo que toda la red se venga abajo como sucedió en la península hace una semana.

“Atacar directamente los sistemas de control de la red eléctrica es una opción, pero también es posible generar inestabilidad en la red alterando el consumo y/o la producción. Por ejemplo, los paneles solares: atacar un solo panel solar no significa nada para la red, pero si los ciberdelincuentes logran apagar miles de ellos al mismo tiempo, podría ser peligroso”.

Esto es especulación, pero después de que Red Eléctrica Española señalara que dos plantas generadoras del suroeste peninsular se desconectaron de la red, la patronal fotovoltaica, UNEF, lanzó un comunicado a los medios en el que advertían: “Las plantas fotovoltaicas no se desconectaron voluntariamente, fueron desconectadas de la red”.

Por otro lado, los medios no han explicado bien que Red Eléctrica solo ha descartado un incidente de ciberseguridad en sus instalaciones.

Kukk continúa: “Aun así, la red eléctrica debería ser capaz de soportar muchas condiciones diferentes y es difícil creer que un ciberataque sea la única causa de un apagón nacional”. “Normalmente, se necesita la coincidencia de varios factores para que ocurra un accidente de gran magnitud”. En otras palabras: una serie de catastróficas cagadas.

IT, OT, IoT y la leche de los contadores

La ciberseguridad se ha construido estos años en torno a lo IT, siglas en inglés de tecnologías de la información. Todo lo que tiene que ver con el manejo de datos, redes y sistemas informáticos es IT. En la otra mano están las tecnologías de operación, u OT: todo aquello que controla y automatiza procesos físicos en fábricas, plantas de energía, transportes, etc.

En la última edición de RootedCON, el mayor congreso de ciberseguridad de España, Jairo Alonso, técnico y especialista en seguridad OT, impartió una interesantísima charla sobre los desafíos industriales en torno a la ciberseguridad. Cada vez hay más IT en lo OT, y cada vez convergen más ambas ramas. El preocupante resumen que hacía el experto es que el mundo OT puede tener una madurez en el ámbito de la ciberseguridad similar a la que tenía lo IT… hace veinte años.

El Reglamento de Ciberresiliencia europeo puede ser un buen acicate para subsanar esa situación, pero claro: en el ámbito IT, una empresa puede cambiar los portátiles de su plantilla cada pocos años, actualizar sus servidores, estar a la última… Mientras que los períodos de amortización de los controladores en fábricas pueden ser de décadas. Los efectos de la nueva norma comunitaria tardarán en notarse.

Hay otro elemento que actúa como puente entre lo IT y lo OT. Es el internet de las cosas, el IoT. Que puede ser tu nevera con recetas, tu horno que solo acepta panes autorizados, el sistema de cámaras de videovigilancia IP… o los sensores de presión en una planta de gas, robots en cadenas de montaje, etc.

A medida que hay más cosas conectadas, mayor es la superficie de ataque. Hace años, una empresa de ciberseguridad, Tarlogic, destapó una seria vulnerabilidad en los contadores inteligentes de la luz que las eléctricas despliegan desde hace años. Una vulnerabilidad que permitía a posibles atacantes cortar la luz, modificar la potencia, alterar los consumos, modificar el contrato de los residentes… e incluso provocar apagones por barrios. Las eléctricas que desplegaban esos contadores jamás admitieron esos problemas públicamente.

Entonces, ¿fue un ciberataque?

Lo ideal es seguir invocando la cautela.

Si detrás de parte del incidente pudo haber un actor malicioso sin patrocinio de un adversario estatal, lo esperable es que el ‘ataque’ hubiese sido ya reivindicado. No ha sucedido. Al menos no públicamente.

Si el eventual atacante contaba con patrocinio de un país extranjero, entonces es algo que o se sabrá dentro de meses… o no se sabrá nunca.

La magnitud de este apagón no la pudo provocar un ciberataque.

El próximo… ya veremos.

En breve…