El Gobierno está dispuesto a llegar hasta el fondo en la investigación del apagón del 28 de abril. El presidente del Gobierno, Pedro Sánchez, ha decidido mantener dos líneas paralelas de investigación -la eléctrica y la digital- para tratar de descartar que el corte de luz no fuese provocado por un ciberataque.
El Ejecutivo insiste en mantener las dos vías abiertas por las advertencias recibidas a lo largo de los últimos meses de los diversos servicios de seguridad europeos, aunque los responsables de Red Eléctrica descartaron esta posibilidad desde las primeras horas.
Según ha podido saber este diario, el grupo de trabajo que se ha constituido para llevar a cabo el análisis cuenta con representantes del Centro Nacional de Inteligencia (CNI), del Instituto Nacional de Ciberseguridad (INCIBE) y del Centro Criptológico Nacional. Todos ellos están llevando a cabo inspecciones presenciales en instalaciones de Red Eléctrica, Endesa, Iberdrola y centros de control como el de Ignis y otros para verificar si se detectaron indicios de amenazas o vulneraciones de seguridad.
Fuentes del Ejecutivo señalan que "la precaución es obligada" en un contexto de creciente inestabilidad internacional y de sofisticación de las amenazas. De hecho, esta misma semana España ha avanzado en su compromiso ante la OTAN de alcanzar el 2% del PIB en gasto en defensa, y una parte significativa del último plan presentado por el presidente Sánchez (unos 3.000 millones de euros) se destinará a reforzar la ciberseguridad.
Mientras en España se reactiva a marchas forzadas su política de ciberseguridad, otros países llevan meses advirtiendo de una escalada en los ataques híbridos.
La OTAN, Alemania, los Países Bajos y la Comisión Europea han señalado un repunte en las operaciones rusas que combinan sabotaje, desinformación y ciberataques.
En Alemania, el jefe del Servicio Federal de Inteligencia alemán (BND, por sus siglas en alemán), Bruno Kahl, alertó públicamente de que el uso intensivo de sabotajes y ciberoperaciones podría acabar invocando el Artículo 5 de la OTAN. En los Países Bajos, el Servicio de Inteligencia y Seguridad Militar (MIVD, por sus siglas en neerlandés) alertó en su informe anual de 2025 sobre el primer intento documentado de sabotaje cibernético a una instalación pública. En el Reino Unido, el jefe del MI6, Richard Moore, calificó la campaña rusa como "asombrosamente imprudente" en un discurso oficial en París.
En España, por el momento, el Departamento de Seguridad Nacional sigue sin publicar su Informe anual correspondiente al año 2024 en el que se hace balance de las principales amenazas que afronta el país.
La OTAN, con la que Sánchez mantuvo un contacto directo el día del apagón, anunció en enero de 2025 la operación Baltic Sentry, diseñada para proteger infraestructuras submarinas tras los daños sufridos por dos cables de telecomunicaciones en el mar Báltico en octubre de 2024. Aquel incidente afectó al C-Lion1 y al BCS East-West Interlink, lo que generó sospechas de sabotaje interestatal. Finlandia, Alemania y Suecia abrieron investigaciones conjuntas.
En enero, el informe Global Cybersecurity Outlook 2025 del Foro Económico Mundial de Davos señaló que "la tecnología moderna depende en gran medida de un consumo energético elevado, lo que convierte a las redes eléctricas en objetivos altamente atractivos para los ciberdelincuentes".
El informe también advierte que la transición global hacia sistemas de energía renovable está generando nuevas vulnerabilidades, una preocupación que ha sido ampliamente compartida por autoridades nacionales en todo el mundo.
En todo caso, los informes anuales del Centro Criptológico Nacional y de INCIBE coinciden en que el sector energético es uno de los principales objetivos de los ciberataques en España. El aumento de interconexiones digitales, la proliferación de dispositivos IoT y la exposición de sistemas SCADA hacen que el sistema eléctrico sea un blanco de alto valor.
De hecho, en EEUU, el FBI advirtió en un informe de 2024 que la "implementación de energías renovables y los incentivos para el desarrollo de energía limpia han creado nuevos objetivos y oportunidades que los actores de amenazas cibernéticas pueden explotar para su propio beneficio".
A pesar de ello, tanto expertos como fuentes internas coinciden en que existe una brecha entre la velocidad a la que evolucionan las amenazas y la capacidad de respuesta del sistema institucional.
Estrategia caducada
Con la Estrategia nacional de ciberseguridad caducada desde hace meses y una creciente presión internacional sobre la defensa de infraestructuras críticas, el Ejecutivo se ha visto obligado a activar con urgencia la renovación de la misma.
A pesar de la creciente amenaza de ataques digitales y del aumento de episodios clasificados como amenazas híbridas en Europa, España opera aún bajo una planificación sin renovar. El DSN ha comenzado ya los trabajos para elaborar una nueva estrategia, en una reunión clave celebrada en abril, justo semanas antes del apagón.
Tal como adelantó elEconomista.es, a la situación del a Estrategia de Ciberseguridad se suma también el retraso en la Estrategia energética nacional, que se encuentra también desfasada, lo que acentúa la sensación de vulnerabilidad ante amenazas que combinan lo digital con lo físico.
El actual ministro de Transformación Digital, Óscar López, y anteriormente jefe de gabinete del presidente del Gobierno, Pedro Sánchez fue el máximo responsable político de Seguridad Nacional. Ahora su departamento lidera el grupo de trabajo que tratará de determinar si hubo una acción deliberada tras el apagón del 28 de abril.
Aunque por ahora no se han hallado pruebas de un ciberataque, la activación de todos los recursos de inteligencia y ciberseguridad por parte del Gobierno indica el alto grado de preocupación generado por el incidente.
"No se puede descartar nada", señalan fuentes conocedoras del trabajo del grupo de investigación. "Lo que sí es evidente es que la respuesta institucional se ha visto obligada a reaccionar con rapidez ante una situación imprevista".
El Gobierno ha asegurado que la nueva Estrategia de ciberseguridad estará lista antes de que acabe el año y se adaptará a la directiva europea. Incluirá nuevos protocolos para infraestructuras críticas, exigencias de cumplimiento para operadores y una mayor coordinación entre organismos públicos y privados.
La Unión Europea, por su parte, ha implementado normas de ciberseguridad para las redes eléctricas y otros sistemas de infraestructura energética como parte de su Estrategia de Unión para la Preparación.
El Consejo de Ministros aprobó en marzo de 2022 el Plan Nacional de Ciberseguridad, dando cumplimiento al mandato emitido por el Consejo de Seguridad Nacional en desarrollo de la Estrategia Nacional de Ciberseguridad 2019.
El Plan, coordinado por el DSN de la Presidencia del Gobierno, aprobó cerca de 150 iniciativas, con 1.000 millones de euros de presupuesto. Entre las principales actuaciones previstas destacaban la creación de la Plataforma Nacional de Notificación y Seguimiento de ciberincidentes y de amenazas que permita intercambiar información, en tiempo real, entre organismos públicos y privados; impulsar la puesta en marcha del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos; el desarrollo de un sistema integrado de indicadores de ciberseguridad a nivel nacional; incrementar la creación de infraestructuras de ciberseguridad en las comunidades y ciudades autónomas y las entidades locales; impulsar la ciberseguridad de pymes, micropymes y autónomos y, por último, promover un mayor nivel de cultura de ciberseguridad.
Nord Stream: un punto de inflexión en las infraestructuras críticas
El sabotaje a los gasoductos Nord Stream 1 y 2 en septiembre de 2022, en aguas del mar Báltico, marcó un antes y un después en la percepción europea sobre las amenazas híbridas. Las explosiones, cuya autoría aún no ha sido esclarecida de forma oficial, pusieron de manifiesto la vulnerabilidad de las infraestructuras energéticas submarinas y activaron todos los protocolos de defensa de la OTAN.
Desde entonces, la Alianza Atlántica ha desplegado misiones de vigilancia naval y ha reforzado la cooperación con empresas privadas responsables del mantenimiento de cables submarinos y gasoductos. En particular, se ha incrementado la presencia militar en zonas sensibles como el Báltico y el mar Mediterráneo oriental.
En el caso del sur de Europa, se ha intensificado la coordinación entre países ribereños y se han lanzado ejercicios conjuntos para simular ataques híbridos. Las infraestructuras energéticas -incluidos gasoductos y enlaces eléctricos transfronterizos- son ahora objeto de protección reforzada, especialmente en escenarios de tensión internacional como los derivados de la guerra en Ucrania.
La investigación del apagón sigue abierta, y aunque no se han confirmado ataques, el episodio ha sido suficiente para que el Gobierno pise el acelerador en materia de ciberseguridad. Las estrategias caducadas han quedado expuestas, y la urgencia por adaptarse al nuevo escenario es ya una cuestión de Estado.
En un contexto de guerra híbrida, inestabilidad geopolítica y dependencia digital, blindar las infraestructuras críticas no es solo una prioridad técnica: es una garantía democrática. La transformación digital del Estado y la seguridad nacional ya no pueden ir por caminos separados y prueba de ella es que el Gobierno lo incluye en el presupuesto para la defensa.
