Los datos aún no permiten descartar la participación de un «agente externo» mientras el Gobierno interroga a los pequeños generadores de electricidad para averiguar si pudieron ser víctimas de una infiltración
Aagesen avanza que las desconexiones de generación antes del apagón empezaron en Granada, Badajoz y Sevilla
El apagón del 28 de abril dejó a España sumida en la duda sobre el origen de un fallo sin precedentes. Dos semanas después, técnicos y autoridades siguen reconstruyendo minuciosamente la secuencia de acontecimientos que provocó el colapso del sistema eléctrico. Una investigación que puede tardar meses en ofrecer una respuesta definitiva, pero en la que cada nueva pieza del rompecabezas arroja nueva luz sobre lo sucedido. La del ciberataque es una de las hipótesis que aún permanecen abiertas.
“También trabajamos en esa parte”, recalcaba la ministra de Transición Ecológica Sara Aagesen en entrevista con elDiario.es. “Para investigar y saber, con la colaboración de todos los operadores, si ha habido algún problema, algún malware, mal funcionamiento de los sistemas digitales”, haciendo referencia a la posible participación de un software malicioso en el apagón: “Tenemos que seguir analizando absolutamente todas las posibles causas”.
Red Eléctrica descartó la posibilidad de “un incidente de ciberseguridad” en una rueda de prensa el martes 29 de abril. Se basaba en un “análisis preliminar” en el que habían colaborado especialistas del CNI y del Instituto de Ciberseguridad Nacional (Incibe). No obstante, fuentes del operador recuerdan que aquella aseveración se refería a su centro de control del sistema eléctrico, no a todo lo que engloba este. “No tenemos visibilidad de lo que pase aguas abajo”, explican.
Ya con todos los datos sobre la mesa, el equipo especializado en ciberseguridad y sistemas digitales que analiza el incidente ha dado la razón al operador. No hay pruebas de una infiltración en el cerebro del sistema. Las pesquisas se centran ahora en sus extremidades, como las pequeñas plantas de generación que vuelcan energía a la red. El diario británico Financial Times reveló este martes que el Incibe les ha enviado un cuestionario a estos productores para supervisar sus prácticas de ciberseguridad.
“¿Es posible controlar la central eléctrica a distancia?”, “¿Se detectaron anomalías antes del incidente del 28 de abril?” y “¿Ha instalado algún parche o actualización de seguridad reciente?” son algunas de las preguntas que ha formulado el organismo, según recoge el medio británico.
El Ministerio de Transformación Digital, que coordina el grupo de trabajo de ciberseguridad y sistemas digitales del Comité de análisis del apagón, ha preferido no dar detalles sobre la investigación a los pequeños generadores. “Es una línea más de las muchas que hay abiertas. Todas las hipótesis están sobre la mesa y cuando haya conclusiones, se comunicarán”, exponen a elDiario.es fuentes oficiales del departamento que dirige Óscar López.
Hay algunas hipótesis que, no obstante, sí se van descartando. Aagesen ha avanzado que los datos muestran que no fue un problema de cobertura (la energía llegaba adecuadamente a todo el sistema), ni de reserva (había suficiente para cubrir la demanda), ni del tamaño de las redes (la infraestructura era lo suficientemente robusta como para manejar la carga).
La ministra también ha puesto sobre la mesa más detalles sobre el origen del apagón que confirman que el origen de la incidencia se dio en el sur de la península. Fueron un total de “tres pérdidas” de generación, la primera “en una subestación en Granada”; 19 segundos después, otra “en la provincia de Badajoz”; y 20,3 segundos más tarde, una tercera en Sevilla. “La suma de estos tres eventos” acumularon una pérdida de algo más de 2,2 gigavatios “en 20 segundos”, ha documentado Aagesen.
Vista de una central eléctrica, durante la noche del apagón
La constatación de tres fallos casi simultáneos arroja luz sobre el origen del apagón. También mantiene viva la posibilidad de que pudo haber sido un ciberataque el motivo de esa desconexión casi simultánea de varias instalaciones lo que terminó tumbando todo el sistema. Sin embargo, indirectamente, también la empuja un poco más al terreno de lo improbable.
El motivo es uno de los principios más importantes en la investigación forense digital: la navaja de Ockham. Esta sugiere que, entre varias explicaciones posibles, la más sencilla suele ser la correcta. “A día de hoy no tenemos ningún dato que nos permita descartarlo. Pero un ciberataque, perfectamente coordinado y sincronizado contra varias entidades diferentes, es una explicación mucho más compleja e improbable que otras opciones que se están barajando”, afirma Miguel López, de la firma de ciberseguridad Barracuda Networks.
Un ataque largo y complejo sin motivación aparente
España recibió unos 100.000 ciberataques el año pasado, según datos del CNI. Sin embargo, la inmensa mayoría de ellos perseguían una finalidad económica. Esta se puede conseguir, principalmente, de dos maneras diferentes: mediante la extorsión, obligando a la víctima a pagar si no quiere que los ciberdelincuentes mantengan secuestrado su sistema informático o saquen a la luz los datos que le hayan robado; o bien mediante la venta de esa información.
Este tipo de ofensivas suelen dejar un rastro claro, el del malware que secuestra los archivos informáticos y paraliza al objetivo. “Son los ataques técnicamente más sencillos de realizar y provocan que en ocasiones la entidad atacada tarde días o semanas en ser capaz de recuperarse”, recuerda López. Una característica que tampoco coincide con la recuperación informática relativamente rápida y sin secuelas que tuvo el sistema eléctrico español, o con el hecho de que no se ha informado de robo alguno.
Por tanto, quedan los ciberataques menos comunes, que son los que solo persiguen un daño reputacional o hacktivista. La hipótesis conduce a un ciberataque muy complejo, del que no se obtiene ningún rédito económico, pero que tampoco ha sido reivindicado por ningún grupo abiertamente, como suelen hacer los grupos prorrusos.
“Esto no es descargarse un malware y ya está, se tarda mucho más tiempo”, enfatiza el especialista. “Realizar un ataque a una de esas entidades ya es complicado, porque todo el mundo tiene su sistema de defensa, ya sea mejor o peor. Pero en este caso estamos hablando de que la intrusión tendría que haberse realizado en tres entidades diferentes. Todo ello con un gran nivel de coordinación para hacer que todas las plantas caigan en cuestión de segundos para evitar las redundancias del sistema y poder desestabilizarlo por completo”.
Advertencia
López señala, no obstante, que aunque la investigación descarte finalmente la posibilidad de un ciberataque, el apagón ha mostrado “lo tremendamente vulnerable” que es la sociedad actual a una ofensiva así. Con él coincide otra profesora de ciberseguridad consultada por este medio, que pide no ser identificada por la gran sensibilidad del tema. Experta en ciberseguridad ofensiva, opina que “lo que sí resulta indiscutible es que, si este apagón ha tenido relación con un ciberataque, Europa no estaba preparada”.
“No podemos permitirnos que una acción maliciosa desestabilice de forma tan crítica la red eléctrica de varios países”, recalca: “Y, en caso de que algo así ocurra, deberíamos contar con sistemas de respuesta y recuperación mucho más ágiles. Todo ello, evidentemente, considerando también las limitaciones técnicas y físicas propias de las infraestructuras eléctricas, donde la seguridad operativa y la integridad de los sistemas condicionan los tiempos de restablecimiento”.
Pasajeros atrapados en el aeropuerto Humberto Delgado, en Lisboa, el día del apagón.
En un comentario enviado por escrito a elDiario.es, la experta recuerda que se trata de una problemática extremadamente compleja. “Desde mi experiencia profesional en ciberseguridad e ingeniería, comprendo que la perfección técnica no es alcanzable de forma permanente. Aquello que hoy consideramos seguro o robusto, mañana puede revelarse vulnerable debido a múltiples factores: errores humanos, fallos físicos, desgaste de componentes, nuevas amenazas descubiertas o incluso ataques internos. Este principio aplica tanto a infraestructuras digitales, como físicas”.
“En incidentes complejos como este, puede pasar un tiempo considerable antes de disponer de una conclusión fiable sobre las causas. Y en ocasiones, esa certeza nunca se alcanza del todo, quedando el incidente en el terreno de las hipótesis técnicas”, recuerda. Por ello, pide prudencia, paciencia, y dejar a un lado la crítica no constructiva. “En lugar de señalar culpables de forma prematura, el enfoque debería centrarse en comprender qué ha ocurrido, por qué ha sucedido y cómo podemos mejorar los mecanismos de prevención y recuperación para que, ante eventos de esta magnitud, la respuesta sea más eficiente y resiliente”, concluye.
