España vivió un gran apagón que dejó sin electricidad a millones de ciudadanos. Un escenario que ha generado caos en el sistema de transporte, cortes en las telecomunicaciones, que aún viven la resaca del evento, y el colapso de los servicios básicos que poco a poco vuelven a la normalidad. Las informaciones en esta jornada apuntan a las causas del corte de luz. Las primeras teorías sugieren una posible "oscilación fuerte del flujo de potencia". Sin embargo, no se descarta que se pueda tratar de un ciberataque, Aquí aparece la figura del sistema SCADA como actor protagonista en la protección de infraestructuras críticas como la red eléctrica.
Sobre un posible ataque, Teresa Ribera, vicepresidenta de la Comisión Europea, aseguró que por ahora no hay indicios claros de que el apagón haya sido intencionado. Aunque desde la Moncloa y el Centro Nacional de Inteligencia (CNI) no descartan un ciberataque. Por esta razón, los focos apuntan a los sistemas de protección de la red eléctrica española.
Según información del Centro de Formación Técnica Industrial, los sistemas Supervisory Control and Data Acquisition (SCADA) son la columna vertebral tecnológica que gestiona el flujo eléctrico a lo largo de toda la red nacional. Estos sistemas permiten controlar a distancia subestaciones, monitorizar la distribución energética y actuar de forma automatizada para corregir fallos. En otras palabras, su rol es crucial para mantener el equilibrio entre la generación y el consumo eléctrico.
Pese a esta centralización también los convierte en un blanco estratégico para los cibercriminales. Según datos recogidos por El Confidencial, la red eléctrica española recibe cerca de 1.000 intentos de ciberataque cada día. Hasta ahora, las defensas han logrado contener estas amenazas, pero el reciente apagón ha encendido las alarmas sobre la posibilidad de que uno de esos ataques haya logrado su objetivo.
El apagón comenzó a las 12:30 h, y en solo cinco segundos, según declaraciones del presidente Pedro Sánchez en la noche del lunes, desaparecieron del sistema 15 gigavatios, el 60% del consumo nacional. Este desplome activó los mecanismos de seguridad que, al desconectarse en cascada, generaron un "cero energético". Por ello, las autoridades han iniciado una investigación liderada por el Centro Nacional de Inteligencia (CNI) y el Mando de Ciberespacio.
Los expertos destacan que un ataque a los SCADA no se ejecuta de forma aislada y sin preparación. Requiere meses de infiltración, acceso a redes internas y vulneración de múltiples capas de seguridad. Casos como el apagón de Ucrania en 2015 o el uso del malware Stuxnet en Irán, demuestran que estas amenazas son reales y que el daño potencial va más allá de lo eléctrico: afectan a hospitales, redes de transporte y comunicaciones, comprometiendo la seguridad nacional.
España dispone de sistemas SCADA robustos, conectados a sensores, actuadores y redes seguras que permiten la gestión en tiempo real. No obstante, ninguna red es completamente invulnerable. Un atacante que logre controlar el software SCADA puede generar inestabilidad en la frecuencia de red, provocar errores de sincronización o directamente sabotear el funcionamiento de generadores y subestaciones.
La tecnología SCADA combina software y hardware: desde interfaces HMI que permiten a los operadores supervisar la red, hasta PLCs que controlan equipos eléctricos en campo. A través de redes como Ethernet o fibra óptica, todos estos componentes trabajan coordinadamente para garantizar que la electricidad llegue donde debe y en la cantidad adecuada.
La situación vivida en el país ha reabierto el debate sobre la resiliencia del sistema eléctrico ante amenazas externas, y ha hecho más visible la necesidad de invertir en ciberseguridad avanzada para proteger estas infraestructuras críticas.
¿Son seguros los sistemas SCADA?
Según concluye Spartan Cybersec "el uso de protocolos inseguros en sistemas SCADA sigue siendo una preocupación significativa debido a la herencia de sistemas legados, la necesidad de compatibilidad y confiabilidad, y las limitaciones de recursos. Sin embargo, es crucial que las organizaciones industriales reconozcan los riesgos asociados y adopten medidas proactivas para mitigar estas amenazas, asegurando la protección y continuidad operativa de sus infraestructuras críticas".
La hipótesis de un experto en ciberataque
Javier Cuervo, docente de Unie Universidad, considera que, en ausencia de una causa física identificable y ante numerosos indicios circunstanciales, un ciberataque dirigido contra los sistemas de control SCADA-combinación de software y hardware para supervisar infraestructuras críticas tanto de manera local como remota- emerge como la explicación más probable y coherente del mayor apagón en la historia de España.
Según Cuervo, esta tesis desmonta las hipótesis oficiales basadas en casualidades, "demostrando que un evento de tal magnitud difícilmente ocurre sin una mano inteligente detrás".
Así, indica que los datos contrastados de casos previos y las señales detectadas en la red refuerzan la necesidad de investigar a fondo la vertiente cíber de este incidente para confirmar la intrusión y atribuir responsabilidades.
"En definitiva, la idea de un fallo espontáneo se reduce al absurdo frente a la evidencia de que la interrupción fue inducida deliberadamente, siguiendo un patrón similar al de ataques conocidos contra infraestructuras críticas", argumenta Cuervo.
Tras descartar las hipótesis del accidente físico o fenómeno natural extremo, el fallo técnico fortuito en el sistema eléctrico, el error humano o de software interno y el sabotaje físico o terrorismo convencional porque todas ellas requieren "coincidencias improbables o causas invisibles", Cuervo argumenta que, en cambio, un ciberataque sofisticado contra los sistemas de control encaja con los hechos conocidos y con patrones observados en precedentes internacionales.
Entre ellos figura las desconexiones simultáneas intencionadas. Así, explica que la pérdida instantánea de 15 gigavatios (GW) en 5 segundos sugiere que múltiples generadores y subestaciones fueron desconectados al unísono, algo alcanzable mediante intrusión en los controles SCADA.
En este sentido, indica que un malware o intruso con acceso a sistemas de control podría abrir disyuntores o apagar centrales casi simultáneamente, imitando las capacidades de amenazas conocidas como 'Industroyer' (malware que causó apagones en Ucrania en 2015-16). Este ataque coordinado explicaría el carácter súbito y sincronizado del colapso mucho mejor que un fallo aleatorio.
Otra característica es la huella geográfica amplia pero coherente. De este modo, esgrime que la afectación cruzara fronteras (Península Ibérica y parte de Francia, incluso ecos en Alemania y Marruecos) apunta a un evento deliberado y ampliamente coordinado, según concluye Cuervo.