El apagón que sufrieron España y Portugal el pasado 28 de abril hizo saltar todas las alarmas en las cancillerías europeas, ante la posibilidad de que se tratara de un ciberataque. Esta hipótesis parece haberse descartado pero ha vuelto a poner sobre la mesa la conciencia de la debilidad de las infraestructuras críticas –el suministro eléctrico, de agua, de telefonía y del sistema sanitario, principalmente- y la urgencia de tomar medidas para protegerlas.
Las infraestructuras europeas sufren un bombardeo constante de ciberataques, que se ha intensificado tras el inicio de la guerra de Ucrania: según la empresa de ciberseguridad Thales los ciberataques dirigidos a países de la Unión Europea (UE) han pasado a ser el 46,5% de los que se producen en todo el mundo, frente al 9,8% que suponían antes de la guerra de Ucrania. A nivel global, Thales estima que el 61% de los ciberataques han tenido su origen en grupos vinculados a Rusia.
Así, según fuentes del sector el 90% de las empresas eléctricas europeas sufrieron ataques informáticos en 2023, y los hackers tuvieron éxito y lograron infiltrarse en 22 de ellas. En el sector de la telefonía e Internet “los ciberataques forman parte ya de la rutina diaria: en el último mes hemos tenido 90.000 ataques”, señala Xavier Granollers, director de Tecnologías de Información de Parlem, que destacó el éxito que supone para la operadora catalana que los sistemas de la compañía no hayan sido infiltrados.
Un jubilado escucha la radio a la luz de las velas, afectado por el apagón eléctrico
“La mayoría de ciberataques se realizan para conseguir un beneficio económico. Pero algunos ataques tienen como objetivo el robo de datos para espionaje o provocar disrupciones en servicios críticos. Esos ataques son más complejos y a menudo los realizan grupos vinculados a estados”, señalan un experto en ciberseguridad de una de las grandes consultoras internacionales. Una práctica que algunos ya califican de “ciberterrorismo”.
Sanjay Beri, presidente de la empresa de ciberseguridad Netskope Threat Labs, aseguró en la presentación de su informe anual que “no hay duda de que estamos viendo una escalada global de ciberataques llevados a cabo por agentes de algunos estados como una forma de ‘guerra silenciosa’ contra estados con los que están oficialmente en paz”.
La UE y España llevan tiempo preparándose
La nueva Estrategia de Preparación de la Unión, que presentó la presidenta de la Comisión Europea, Ursula von der Leyen, recomendaba a los hogares que tengan en su casa agua, comida, medicinas, linternas y radios con pilas suficientes para al menos tres días.
Pero lógicamente los esfuerzos de la UE para garantizar que funcionen los suministros van mucho más allá de esto: en 2020 aprobó una Estrategia de Ciberseguridad para reforzar la resiliencia de Europa que incluye movilizar inversiones de 4.500 millones de euros hasta 2027.
La UE ha aprobado también la nueva directiva sobre Seguridad de las Redes y Sistemas de Información (NIS2), pendiente aún de trasponer en España, que amplía a más sectores y empresas, incluso medianas, la obligación de garantizar la seguridad informática y establece sanciones para quienes no tomen medidas. Una obligación que en la anterior directiva NIS de 2016 ya afectaba a operadores de servicios esenciales (energía, transporte, sanidad, finanzas) y a proveedores de servicios digitales (telecomunicaciones e Internet).
Pasajeros del metro de Barcelona evacuados por las vías el día del apagón
En España las instalaciones eléctricas tienen planes especiales de protección que coordina el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), un organismo dependiente del ministerio del Interior que inicialmente se creó para prevenir ataques terroristas a activos claves, como centrales eléctricas, plantas de tratamiento de agua, industrias químicas e infraestructuras de transporte como aeropuertos ha ampliado sus objetivos para incluir también la ciberseguridad.
La electricidad, el objetivo número uno
Eurelectric, la organización que agrupa al sector eléctrico europeo, con 3.500 empresas afiliadas, recuerda que el sector eléctrico es un objetivo del ciberterrorismo porque “es la columna vertebral de la economía” moderna, por lo que los ciberataques se usan “como armas en una guerra híbrida”. Si tienen éxito, pueden provocar “apagones, pérdidas financieras e incluso amenazar la seguridad nacional”. Además como los sistemas eléctricos de diferentes países están conectados el impacto podría ser internacional, como sucedió el pasado lunes, en que la caída del sistema eléctrico español arrastró al de Portugal y al de Andorra.
Tendidos eléctricos en Fuerteventura
El sistema eléctrico es especialmente vulnerable porque está muy descentralizado: ya no solo depende de grandes centrales como las de gas o nucleares, sino que hay mucha generación distribuida, como paneles solares en tejados o parques eólicos, y todos estos flujos de energía se conectan y coordinan digitalmente. Esto “aumenta el número de posibles puntos de acceso para actores hostiles” reconoce Eurelectric.
Pero incluso las grandes centrales generadoras son vulnerables, como muchas plantas industriales. “A menudo utilizan equipos o programas que ahora se consideran obsoletos, y que no fueron diseñados teniendo en cuenta la ciberseguridad”, reconocen los profesionales del sector.
Ataques a las telecos
El corte de dos cables submarinos de fibra óptica en el Báltico el año pasado fue calificado por el secretario general de la OTAN, Mark Rutte, como una “guerra híbrida” de Rusia destinada a extender el conflicto de Ucrania a Europa Occidental. La UE también atribuyó a Rusia un ataque a la red de satélites KA-Sat, operada por la empresa Viasat, que utiliza el ejército y el gobierno ucranianos pero también miles de usuarios de toda Europa Central. “Por primera vez, atribuimos este ataque a un actor estatal, a la Federación Rusa”, señaló el entonces alto representante de la UE para Asuntos Exteriores, Josep Borrell. “En el pasado decíamos que habrá ataques que venían de Rusia, pero una cosa es que vengan desde el territorio ruso y otra cosa que se atribuyan al gobierno de la Federación Rusa”, recalcó.
El petrolero Eagle S fue interceptado por Finlandia y acusado de pertenecer a la “flota fantasma” rusa y de haber dañado cinco cables submarinos de electricidad e Internet
Xavier Granollers señala que los ciberataques por motivos geopolíticos se añaden a las amenazas diarias que provienen de los hackers que buscan ganar dinero: encriptando los sistemas informáticos de la empresa para pedir un rescate o robando los datos de los clientes, para venderlos en el mercado negro.
“En España no estamos aún en el ojo del huracán: los hackers rusos se han centrado más en ataques a Estados Unidos y a países con más protagonismo en la guerra de Ucrania. Pero si el conflicto se amplía esto puede cambiar”, reconoce. “Cortar las telecomunicaciones es una de las acciones que puede tener más impacto en la gestión de una emergencia de seguridad nacional y en la ciudadanía”, recuerda.
El agua, una posible arma de destrucción masiva
Un ciberataque atribuido a Rusia paralizó en diciembre una planta de agua de una pequeña localidad de Dinamarca: 50 casas quedaron varias horas sin agua. Es solo uno de los cientos de ciberataques que sufren las empresas de agua en toda Europa y que han llevado a la UE a considerar el suministro de agua potable como de “muy alto riesgo” de sufrir ciberataques.
Una subestación eléctrica en Galicia
Hasta ahora los hackers han logrado acceder a los datos de los clientes e incluso paralizar plantas, pero el mayor riesgo es que consigan alterar el agua, manipulando sus niveles químicos o contaminándola. No se conocen casos en Europa en que lo hayan conseguido, pero si lo hicieron en Estados Unidos, donde los hackers consiguieron entrar en una pequeña planta potabilizadora de la Bahía de San Francisco y borrar los programas que la planta utilizaba para tratar el agua potable. La manipulación no se detectó hasta el día siguiente, y afortunadamente no se reportaron casos de personas que hubieran enfermado por el consumo de agua.
Lee también
Otro caso que hubiera podido ser letal sí que se descubrió a tiempo: en Oldsmar, Florida, un hacker accedió al sistema informático y subió el nivel de lejía a niveles venenosos. Afortunadamente un trabajador vio el cursor moviéndose solo en un monitor y advirtió la manipulación y evitó los cambios.
