El reciente colapso eléctrico en España y Portugal ha puesto de nuevo en el foco la amenaza digital sobre infraestructuras críticas. Mientras las autoridades investigan un fallo técnico, grupos de hacktivistas se atribuyen su autoría con dudosa credibilidad.
La interrupción masiva del suministro eléctrico que este lunes ha dejado sin luz a la Península Ibérica y al sur de Francia ha reabierto el debate sobre la ciberseguridad en infraestructuras críticas. Según el informe preliminar de Red Eléctrica Española, la caída de energía no se debe a ningún ciberataque, sino más bien a dos pérdidas de generación eléctrica que se produjeron con apenas 1,5 segundos de diferencia en la región suroeste de la península.
A pesar de ello, varias grupos de ciberdelincuentes han comenzado a atribuirse la autoría del incidente, elevando la tensión informativa y generando un ambiente propicio para la desinformación.
Entre los grupos que han intentado capitalizar el apagón se encuentran NoName057(16) y Dark Storm Team, ambos con historial de actividad en el espacio digital europeo, aunque con distintos grados de notoriedad. En canales de Telegram y redes sociales como X, estos colectivos han asegurado haber colaborado en una supuesta ofensiva digital contra la red eléctrica ibérica. Sin embargo, hasta el momento no existen pruebas técnicas que respalden sus declaraciones.
El oportunismo como estrategia
Para entender este tipo de atribuciones es clave analizar el contexto actual de la ciberseguridad. Como advierte ESET en su informe ‘Tendencias en ciberseguridad 2025: Uso malicioso de la IA generativa y tecnologías operativas en la mira’, los ataques a infraestructuras críticas volverán a ocupar un lugar central entre las preocupaciones del sector. No obstante, los especialistas subrayan que no todos los incidentes en este ámbito son el resultado de acciones maliciosas.
“Con la información de la que disponemos ahora mismo, esas atribuciones disponen de poca credibilidad, especialmente en el caso de NoName"
Josep Albors, responsable de Investigación y Concienciación de ESET España, explica, en declaraciones a Zonamovilidad.es, que “con la información de la que disponemos ahora mismo, esas atribuciones disponen de poca credibilidad, especialmente en el caso de NoName, ya que está integrado principalmente por hacktivistas pro-rusos con pocos conocimientos técnicos más allá de lanzar ataques de denegación de servicio con un impacto temporal limitado”.
Según Albors, este tipo de colectivos suelen buscar notoriedad en medio de episodios de gran visibilidad pública. “Básicamente quieren darse promoción con fines geopolíticos o propagandísticos, atribuyéndose como suyos supuestos ciberataques. Recordemos que, en el caso de que el apagón de ayer estuviese relacionado con un ciberataque, es más que probable que su complejidad estuviese fuera del alcance de estos grupos y fuesen obra de algún grupo APT patrocinado por una nación-estado”.
Sin evidencias, pero con repercusiones
El apagón, que paralizó temporalmente aeropuertos, sistemas de transporte, redes de telecomunicaciones e incluso eventos deportivos como el Mutua Madrid Open, pone de manifiesto la fragilidad de los sistemas críticos interconectados. Según cifras preliminares, la producción eléctrica cayó de 25 GW a poco más de 10 GW entre las 12:25 y las 13:00, lo que generó una disrupción inmediata y a gran escala.
Desde el sector privado también se mantiene la cautela. Sergey Shykevich, manager del grupo de Inteligencia de Amenazas de la firma de ciberseguridad israelí Check Point, explica que “actualmente no existen pruebas concretas de que se haya tratado de un ciberataque ni de que DarkStorm esté relacionado de alguna manera con el corte de energía”.
“DarkStorm está considerado un actor relativamente débil, conocido por su comportamiento oportunista”
En su análisis, compartido tras el apagón, destaca que “DarkStorm está considerado un actor relativamente débil, conocido por su comportamiento oportunista y por adjudicarse frecuentemente incidentes que en realidad no provocaron”.
Shykevich advierte además del riesgo de amplificar sin fundamento estas afirmaciones: “Eventos como este suelen dar lugar a la desinformación, por lo que es fundamental que el público y los medios de comunicación se basen en fuentes verificadas y canales oficiales en lugar de amplificar narrativas falsas”.
Amenaza latente, prevención urgente
Más allá del caso concreto del apagón, el incidente ha servido como recordatorio de la necesidad de reforzar la resiliencia digital en el ámbito de las infraestructuras críticas. “Conforme las infraestructuras críticas se han ido conectando a diversas redes para mejorar su operabilidad han aumentado también los riesgos a los que se enfrentan”, indica Albors. En este sentido, ESET propone medidas como el uso de soluciones de Threat Intelligence y Threat Hunting, la implementación del modelo Zero Trust, y la elaboración de planes de respuesta ante incidentes.
Las consecuencias del apagón confirman lo expuesto por los expertos: el margen de error en estos sistemas es cada vez más estrecho
El historial reciente de ciberataques en entornos similares, como los casos de BlackEnergy e Industroyer en Ucrania o el intento de sabotaje a una planta potabilizadora en Estados Unidos, demuestra que los escenarios catastróficos no son meramente hipotéticos. Si bien en esta ocasión la causa más probable parece ser un fallo técnico, las consecuencias del apagón confirman lo expuesto por los expertos: el margen de error en estos sistemas es cada vez más estrecho.
Por ahora, las supuestas reivindicaciones de NoName057(16) y Dark Storm Team parecen encajar en una estrategia común en el ámbito del hacktivismo: aprovechar cualquier situación de crisis para incrementar su visibilidad, especialmente en países de la OTAN.
“No hay nada que se haya publicado de momento que apunte claramente en la dirección de un ciberataque”, aclara Albors a Zonamovilidad, subrayando que en casos de esta complejidad pueden pasar semanas hasta determinar la causa real, aunque la Audiencia Nacional ha iniciado una investigación judicial para esclarecer si el suceso pudo haber sido causado por un sabotaje informático estableciendo un plazo de diez días para determinar las causas del apagón.
La incertidumbre sobre el origen del apagón no exime a las autoridades ni al sector privado de seguir preparándose ante amenazas potenciales. La respuesta, en todo caso, debe ser técnica, coordinada y basada en evidencias. Porque aunque los ciberataques a infraestructuras críticas siguen siendo una posibilidad real, también lo es el riesgo de que actores oportunistas exploten el miedo para desinformar.
Si (
No(
