La vicepresidenta y ministra de Transición Ecológica, Sara Aagessen, abrió el sábado una segunda vía de investigación sobre el apagón que colapsó el sistema energético español el pasado lunes. Este nuevo grupo de trabajo, que está dirigido por personal del Ministerio de Transformación Digital cuenta también con el apoyo del Centro Nacional de Inteligencia (CNI), que ha abierto una investigación para determinar si el apagón fue causado por un ciberataque. Aunque todavía no hay confirmación oficial sobre el origen del fallo, el Gobierno no quiere cerrar ninguna puerta y para ello está recogiendo información de los distintos operadores y empresas del sector energético.
Los analistas del CNI, en coordinación con el Centro Criptológico Nacional (CCN-CERT), rastrean la seguridad de los 36 centros adscritos al centro de control de Red Eléctrica y estudiarán, tal y como está previsto en el Plan de emergencia que tiene previsto el Ejecutivo, si hay presencia de familias de código malicioso.
Según el Informe sobre la Cibercriminalidad en España 2022, elaborado por el Ministerio del Interior, el sector energético fue el más afectado por ciberincidentes sobre infraestructuras críticas (denominadas oficialmente sectores PIC, por su carácter de Proveedores de Infraestructuras Críticas), concentrando el 37,2% del total de los ataques registrados. Los principales incidentes se agrupan en cuatro categorías: sistemas vulnerables (60,81% de las incidencias), robo de información (20,88%), fraude (6,59%) y malware (4,76%).
Entre los principales malwares sospechosos se cita a Emotet, una amenaza persistente conocida por facilitar la descarga de otros programas dañinos, monitorizar el tráfico de red y robar información almacenada en navegadores, incluidas credenciales y datos bancarios.
Otra amenaza bajo análisis sería Mekotio, un troyano bancario que afecta a múltiples versiones del sistema operativo Windows. Se comporta también como downloader, facilitando la ejecución de otros códigos maliciosos y capturando datos confidenciales introducidos en el navegador. Ambas amenazas han estado ligadas a campañas de espionaje y robo de información sensible.
En el ámbito de los dispositivos móviles, preocupa la posible presencia de Flubot, un malware diseñado para Android que se ha difundido mediante campañas de SMS fraudulentos, suplantando a empresas logísticas como FedEx, DHL o Correos. Una vez instalada la aplicación falsa, el código malicioso espía otras apps activas e intercepta credenciales mediante páginas superpuestas. Una técnica similar es empleada por Anatsa, también conocido como TeaBot o Toddler, que roba datos bancarios haciéndose pasar por aplicaciones legítimas en móviles Android.
La investigación también incluye el posible uso de Hive, un ransomware extremadamente destructivo que cifra la información de los equipos infectados, bloqueando el acceso a los datos y exigiendo un rescate a cambio de la clave de descifrado. Este tipo de ataques ha provocado interrupciones críticas en entidades sanitarias, empresas tecnológicas y servicios públicos.
El CNI y el CCN están analizando los registros de tráfico de red y accesos a los sistemas durante las horas previas al apagón, en colaboración con operadores eléctricos y tecnológicos, para identificar patrones de comportamiento anómalos o accesos no autorizados.