En un panorama de crecientes tensiones geopolíticas, el sector energético se enfrenta a una amenaza cibernética cada vez más sofisticada y persistente. Según el análisis de la unidad x63 de Cipher, división de ciberseguridad del Grupo Prosegur, los ciberataques contra operadores esenciales en España han experimentado un alarmante incremento del 43% durante 2024, con una tendencia al alza que se mantiene en lo que va de 2025.
El foco principal de estos ataques se encuentra en las infraestructuras críticas del sector energético, que representan el 9% del total. Los expertos de Cipher advierten que estas campañas están orientadas al espionaje, sabotaje y filtración de datos sensibles, reflejando la creciente sofisticación y determinación de los atacantes.
Radiografía de las Principales Amenazas
El análisis de la x63 Unit ha identificado los principales tipos de ciberataques que afectan al sector energético:
Ciberespionaje
El ciberespionaje busca obtener de forma encubierta información crítica, como planos de instalaciones, tecnologías propietarias o contratos estratégicos. Estos ataques, generalmente impulsados por actores estatales o grupos APT, tienen como fin adquirir ventaja geopolítica o económica, o preparar futuros sabotajes. Destacan grupos como Volt Typhoon (China), Berserk Bear/Dragonfly (Rusia), GRAPHITE (Europa del Este), Lazarus Group (Corea del Norte) y APT33/Elfin (Irán).
Sabotaje Cibernético
El sabotaje cibernético busca interrumpir o dañar el funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales como SCADA, ICS o PLC. Estos ataques, propios de actores estatales, tienen efectos destructivos, como los apagones en Ucrania (Sandworm), el intento de desplegar Industroyer2, el malware FrostyGoop contra calefacción urbana, el ataque con Triton a una planta petroquímica, y la detección de la peligrosa suite PIPEDREAM.
Vulnerabilidades Críticas en Sistemas OT
Durante 2024 y 2025 se han descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de control industrial (ICS), como las 46 vulnerabilidades «SolarWonder» en inversores solares, el CVE-2024-6407 en dispositivos Wiser Home de Schneider Electric, y varias fallas notificadas por Siemens en su plataforma SCADA. Estos fallos, presentes tanto en software como en hardware, pueden ser aprovechados para acceder a redes OT, interrumpir procesos o comprometer la integridad de sistemas críticos.
Malware Destructivo
El uso de malware puramente destructivo se ha convertido en una herramienta recurrente en conflictos geopolíticos, afectando de forma grave al sector energético. Casos emblemáticos incluyen Shamoon, NotPetya, AcidRain, KillDisk e Industroyer, que han causado graves daños a compañías y redes eléctricas.
Hacktivismo
El hacktivismo en el sector energético continúa en aumento, impulsado por motivaciones políticas, sociales e ideológicas. Grupos como Anonymous, NoName057(16), «Mr. Hamza» y GhostSec han realizado operaciones de alto impacto, como ataques de denegación de servicio (DDoS) y filtraciones de información sensible.
Desinformación y Ataques a la Confianza Pública
Las campañas de desinformación dirigidas al sector energético se intensifican, buscando erosionar la confianza pública en gobiernos y empresas. Destacan las operaciones rusas en Europa del Este, orientadas a desacreditar los esfuerzos de diversificación energética, y la circulación de rumores infundados sobre apagones masivos.
Recomendaciones de la x63 Unit
Ante este complejo panorama, la x63 Unit de Cipher recomienda adoptar una estrategia integral que combine detección temprana, higiene de seguridad, segmentación entre entornos IT y OT, y una cooperación constante con las autoridades competentes. La resiliencia digital debe consolidarse como un pilar tan crítico como la infraestructura física, garantizando así la continuidad de un servicio esencial que no puede permitirse interrupciones.
