Un experto de Unie ve como hipótesis más probable del apagón un ciberataque coordinado a sistemas Scada

Javier Cuervo, docente de Unie Universidad, considera que, en ausencia de una causa física identificable y ante numerosos indicios circunstanciales, un ciberataque dirigido contra los sistemas de control Scada -combinación de software y hardware para supervisar infraestructuras críticas tanto de manera local como remota- emerge como la explicación más probable y coherente del mayor apagón en la historia de España.

Según Cuervo, esta tesis desmonta las hipótesis oficiales basadas en casualidades, «demostrando que un evento de tal magnitud difícilmente ocurre sin una mano inteligente detrás».

Así, indica que los datos contrastados de casos previos y las señales detectadas en la red refuerzan la necesidad de investigar a fondo la vertiente cíber de este incidente para confirmar la intrusión y atribuir responsabilidades.

«En definitiva, la idea de un fallo espontáneo se reduce al absurdo frente a la evidencia de que la interrupción fue inducida deliberadamente, siguiendo un patrón similar al de ataques conocidos contra infraestructuras críticas», argumenta Cuervo.

Tras descartar las hipótesis del accidente físico o fenómeno natural extremo, el fallo técnico fortuito en el sistema eléctrico, el error humano o de software interno y el sabotaje físico o terrorismo convencional porque todas ellas requieren «coincidencias improbables o causas invisibles», Cuervo argumenta que, en cambio, un ciberataque sofisticado contra los sistemas de control encaja con los hechos conocidos y con patrones observados en precedentes internacionales.

Entre ellos figura las desconexiones simultáneas intencionadas. Así, explica que la pérdida instantánea de 15 gigavatios (GW) en 5 segundos sugiere que múltiples generadores y subestaciones fueron desconectados al unísono, algo alcanzable mediante intrusión en los controles Scada.

En este sentido, indica que un malware o intruso con acceso a sistemas de control podría abrir disyuntores o apagar centrales casi simultáneamente, imitando las capacidades de amenazas conocidas como Industroyer (malware que causó apagones en Ucrania en 2015-16). Este ataque coordinado explicaría el carácter súbito y sincronizado del colapso mucho mejor que un fallo aleatorio.

Otra característica es la huella geográfica amplia pero coherente. De este modo, esgrime que la afectación cruzara fronteras (Península Ibérica y parte de Francia, incluso ecos en Alemania y Marruecos) apunta a un evento deliberado y ampliamente coordinado, según Cuervo.

ATAQUE COORDINADO

Los sistemas eléctricos europeos están interconectados; un atacante podría explotar esas interconexiones para maximizar el impacto. De hecho, el ministro portugués de Cohesión Territorial admitió que «la escala del evento sugiere un ataque coordinado» y que el origen parecía externo a Portugal. «Esto coincide con la naturaleza transnacional de un ciberataque bien planificado, a diferencia de una avería local», señala el profesor.

La siguiente característica común es la detección de actividad anómala, como los indicios detectados por organismos de ciberseguridad. De este modo, desde las primeras horas, el Inicibe y el Centro Criptológico investigaban una posible intrusión informática en la red. Incluso, el CNI reportó actividad digital inusual procedente del norte de África coincidiendo con el incidente, «lo que sugiere un vector de ataque externo», según el experto.

«Estos datos de inteligencia refuerzan la tesis del ciberataque y no tienen cabida en las hipótesis puramente técnicas», subraya.

El experto señala que hay precedentes «contrastados», e incide en que los ataques informáticos a redes eléctricas no son teoría, son realidad. Así, en Ucrania (2015), un grupo APT estatal logró penetrar los Scada de varias compañías y dejó a cientos de miles de usuarios a oscuras.

Al año siguiente repitieron un ataque más avanzado que apagó Kiev durante horas. Ese malware (conocido como Industroyer ) fue capaz de enviar órdenes válidas a equipos de la red eléctrica.

Más recientemente, en Dinamarca (2023), un ataque masivo comprometió a 22 operadores energéticos en tres oleadas coordinadas, afectando más de dos docenas de centrales. Aunque aquel incidente danés no llegó a causar apagón gracias a reacciones de emergencia, el informe técnico advirtió que podría haber resultado en cortes generalizados de no haberse contenido a tiempo.

Para Cuervo, este incremento de ataques a infraestructura crítica es reconocido por expertos, y suelen involucrar a actores estado-nación muy capacitados (como el grupo Sandworm ruso, activo contra redes ucranianas).

Por último, está el respaldo de la comunidad experta, ya que «voces del sector eléctrico y de ciberseguridad consideran el ciberataque la hipótesis más sólida. Fuentes de la eléctrica Iberdrola han indicado internamente que un ataque coordinado es plausible dada la escala inédita del incidente. Analistas señalan que los apagones inducidos se camuflan inicialmente como fallos y requieren investigación profunda para confirmarse. La propia UE llevaba años alertando sobre este riesgo y trabajando en protocolos de respuesta, conscientes de que una agresión cibernética podría desencadenar crisis similares», argumenta Cuervo.