El gran apagón fue gestionado por el Gobierno, desde los primeros instantes, sobre la hipótesis principal de que un “problema técnico, una avería” fundió a negro toda la península ibérica, según reconocen fuentes presentes en la gestión de la crisis.
No hubo “ni un solo indicio” de ciberataque, pese a que esta posibilidad no está desechada del todo hasta que no lo determinen los análisis forenses del sistema eléctrico.
Pero, qué escenario se hubiese activado si hubiesen existido sospechas de que detrás del apagón del siglo se encontraba lo conocido como una amenaza persistente avanzada (APT).
Los expertos en defensa y ciberseguridad dibujan un panorama mucho más caótico y prolongado, pues la contención y liberación del ataque por parte de un actor extranjero hubiese dilatado los tiempos para recuperar la luz, además de suponer una vuelta de tuerca –más– en el convulso panorama geopolítico.
La entrada a la estación de Sants de Barcelona la mañana del día 28 en pleno apagón en toda España
Sara Aagesen: “¿Nucleares? No se cerrarán si no hay garantía de suministro”
El nuevo día histórico vivido el 28 de abril se hubiese reescrito de manera bien distinta si una potencia extranjera hubiese reivindicado un sabotaje digital. Una APT que pueda provocar un apagón sin precedentes como el de esta semana no es un virus informático cualquiera. Y está al alcance de muy pocos. Se trata de ciberataques sofisticados a largo plazo con la finalidad, entre otras, de interrumpir operaciones de infraestructuras críticas durante periodos prolongados. Suelen ser llevados a cabo por adversarios con abundantes recursos, como naciones. Fuentes de los servicios de Inteligencia e Información verbalizan nombres propios como Rusia, China, Estados Unidos e Israel como países con capacidad para ello. Detrás de las amenazas persistentes avanzadas no está solo el código malicioso, sino una brutal labor de recopilación de información sobre el objetivo —vulnerabilidades y defensas—, de introducción en la red —de manera virtual o física con un agente infiltrado—, de escalar privilegios para acceder a los datos más críticos y de ocultar huellas para no ser detectados.
Ante un sabotaje digital que provocase un apagón masivo, la presencia militar en las calles sería indiscutible
Un estudio de FireEye Mandiant reveló que el tiempo medio de una APT sin ser descubierta en la red es de 146 días aproximadamente.
Josép Albors, director de investigación y concienciación de ESET España, asegura en conversación telefónica con La Vanguardia que “es posible” que una APT pueda provocar un apagón de tales magnitudes, aunque lo ve “altamente improbable” en el reciente caso. Aún así, insiste en que esta hipótesis no está descartada por completo, pudiendo confirmarse este extremo “pasados varios meses”.
El investigador de ESET recuerda que el malware Industroyer, tanto en su versión original como en la mejorada, fue desarrollado específicamente para atacar una red eléctrica, provocando apagones generalizados. Este virus ha sido utilizado contra Ucrania, antes y después de estallar la guerra.
Lee también
Antes, en 2010, el gusano Stuxnet penetró en el sistema informático de la planta nuclear de Natanz (Irán) a través de una memoria USB infectada. Una vez ahí, buscó el software que controlaba las centrifugadoras que separaban los distintos tipos de uranio. El virus reprogramó el millar de centrifugadoras tras tomar el control para hacerlas girar a una velocidad altamente inusual durante varios meses, provocando que se desintegraran. The New York Times publicó que Stuxnet, considerada la primera ciberarma, fue una creación conjunta de Estados Unidos e Israel.
Si la Oficina de Coordinación Cibernética, en la que trabaja medio centenar de agentes de la Policía Nacional y la Guardia Civil, o el Centro Nacional de Protección de Infraestructuras Críticas (Cnpic) hubiesen hallado un mínimo indicio de que el apagón respondiese a una amenaza persistente se habrían activado los protocolos de ciberataques que, a grandes rasgos, tienen tres fases: contención del ataque, liberación del sistema informático —que generalmente es secuestrado— y recuperación de la actividad perjudicada.
En la cúpula militar no dudan de que un ciberataque podría servir para activar el artículo 5 de la OTAN
En cambio, el pasado lunes se pasó directamente al llamado arranque en negro; el reinicio del suministro de todo el país. Reponerse de una APT, explican las mismas fuentes, no es cuestión de unas doce horas como las que se tardaron en recuperar el 100% de la demanda eléctrica. Y es aquí la diferencia principal entre lo que fue y lo que pudo haber sido: un apagón más prolongado en el tiempo, que plantearía otro escenario distinto al que tuvo el Consejo de Seguridad Nacional a principios de semana sobre la mesa, con una más que probable presencia militar más allá de la Unidad Militar de Emergencia (UME).
De hecho, una de las mayores preocupaciones de las comunidades autónomas que habían solicitado que el Gobierno asumiese la coordinación fue el temor a que el apagón se prolongase a la madrugada, pudiendo generar situaciones de caos absoluto. En ese distópico escenario, las miradas de los servicios de Inteligencia e Información hubiesen estado puestas en la búsqueda de posibles actores que reivindicasen el ataque, pues determinar la autoría al 100% de un ciberataque sofisticado a través de una investigación posterior es prácticamente imposible. Es decir, no sólo en la búsqueda, sino también en la verificación.
Debido a esa falta de total de certeza sobre la autoría en este tipo de ataques, podría darse lo que se conoce como una operación de bandera falsa; diseñada para aparentar que ha sido llevada a cabo por otra nación distinta. De tratarse de un ataque de este tipo, en la cúpula militar no dudan de que se hubiese planteado invocar el artículo cinco del tratado de la Alianza Atlántica, en el que se recoge el principio de defensa colectiva.
La llamada que mantuvieron el presidente del Gobierno, Pedro Sánchez, y el secretario general de la OTAN, Mark Rutte, el día del apagón hubiese sido, desde luego, en otros términos.
No obstante, los expertos dudan de que una APT que provocase el apagón de todo un país pudiese ser utilizada como un simple aviso de lo que ese adversario puede ser capaz de llevar a cabo. “Nadie quema un cartucho tan grande para avisar simplemente de lo que puedes hacer, sino como ventaja estratégica para un fin concreto”, explica Albors, quien recuerda cómo Rusia antes de la invasión de Ucrania lanzó ciberataques de alta intensidad contra infraestructuras críticas.
Rusia, China, Estados Unidos e Israel son de los pocos países con capacidad para un sabotaje así
El malware Industroyer provocó que miles de hogares se quedaran sin luz en Kyiv a finales de 2016 tras atacar una subestación eléctrica local. Precisamente este precedente es el que cita el juez de la Audiencia Nacional José Luis Calama en el auto por el que acordó abrir diligencias de investigación del suceso.
Este jueves, fuentes del Ministerio de Transición Ecológica, que lidera el comité creado para analizar el apagón, recordaban que, aunque Red Eléctrica haya descartado de forma preliminar haber sufrido un ciberataque en sus instalaciones, hay miles de ubicaciones del sistema eléctrico que se encuentran interconectadas entre sí y que no son titularidad de esa compañía. De confirmarse este –improbable extremo–, en el Gobierno no albergan dudas de que se hubiesen traspasado “muchas líneas rojas”.
