Después del apagón total de electricidad que sufrió la Península Ibérica durante más de ocho horas, y aún descartando la hipótesis del ciberataque, conviene recordar la importancia de proteger las infraestructuras críticas del ataque de los ciberdelincuentes.
Según el último informe de ‘Tendencias en ciberseguridad 2025: “Uso malicioso de la IA generativa y tecnologías operativas en la mira’ de la compañía de ciberseguridad ESET, los ataques a infraestructuras críticas serán, cómo hace unos años, una preocupación destacada en los próximos meses.
Las infraestructuras críticas de un país en particular hacen referencia a cualquier sistema, ya sea digital como físico, que brinda algún servicio esencial para el funcionamiento de la sociedad. En caso de verse afectado podría tener un impacto grave en algún área crítica como seguridad, economía, salud, energía o comunicaciones, entre otros.
En los últimos años hemos observado casos de ciberataques a infraestructuras críticas que han dejado grandes huellas en los países donde sucedieron. Varios de estos casos están derivados del conflicto armado de Rusia-Ucrania, en donde cientos de miles de ucranianos se quedaron sin luz durante horas producto de un ataque provocado por la por la ciberamenaza Black Energy en 2015. Un año después, otra familia de malware llamada Industroyer afectó a la capital ucraniana y, ya con la guerra iniciada, en abril de 2022 su variante mejorada Industroyer 2 trató de repetir la jugada aunque sin éxito gracias a las acciones tomadas por el CERT de Ucrania, apoyado por investigadores de ESET . Además, también se han identificado intentos de ciberataques como el ocurrido en Estados Unidos hace algunos años, donde se intentó comprometer una planta potabilizadora, llegando casi a afectar los servicios de agua y saneamiento.
En los últimos años hemos observado casos de ciberataques a infraestructuras críticas que han dejado grandes huellas en los países donde sucedieron. Varios de estos casos están derivados del conflicto armado de Rusia-Ucrania
“Conforme las infraestructuras críticas se han ido conectando a diversas redes para mejorar su operabilidad han aumentado también los riesgos a los que se enfrentan. Si bien hay mecanismos establecidos y soluciones para mitigar prácticamente todo tipo de ciberataque, debemos tener muy en cuenta esa posibilidad como algo real, más aún en el entorno geopolítico en el que nos encontramos actualmente. No obstante, también debemos contemplar la existencia de averías e incidentes que no están relacionados con ciberataques y que, probablemente, sean los motivos más probables cuando se produzca un incidente que involucre a una infraestructura crítica”, comenta Josep Albors, responsable de investigación y concienciación en ESET España.
Las amenazas que están dirigidas a afectar estos sistemas críticos pueden tener diversos orígenes, ya sea políticos, económicos, financieros o activistas. Desde el punto de vista técnico se suelen identificar amenazas como gusanos, botnets, troyanos, evidencias de ataques de phishing, exploits de vulnerabilidades 0-day, o no conocidas por sus creadores, y también, grupos APT (Advanced Persistent Threats/tipo de amenaza persistente avanzada), que cuentan una dedicación y sofisticación superior a las se observa en las amenazas comunes dirigidas a usuarios finales y a la mayoría de las empresas.
Infraestructuras críticas de un país según Cybersecurity & Infraestructure Security Agency (CISA)
Fuente: WeLiveSecurity
Este tipo de ciberataques, según ESET, tienen una estructura muy similar a la que se observa, por ejemplo, en ataques a compañías tanto públicas o privadas. En primer lugar, un punto de entrada, que puede ser la explotación de una vulnerabilidad en un sistema que quedó obsoleto, anticuado y desactualizado, o también un ataque de ingeniería social engañando a un colaborador o facilitador dentro del objetivo de ataque, ya sea la planta en donde esté esa infraestructura o algún punto de control de sus sistemas.
En segundo lugar, está la ejecución de la amenaza cuya intención es causar el mayor daño posible. Generalmente se realiza en un formato que puede tener como fin destruir o secuestrar, por ejemplo, algún tipo de ransomware; los sistemas o la información. Esta amenaza sigue las instrucciones de acción de los cibercriminales.
“Entre cada fase de un ciberataque puede pasar desde unos pocos minutos hasta meses, dependiendo de cuál sea el objetivo final de los atacantes. Este puede ser la recopilación de información o tratar de causar una disrupción en el funcionamiento habitual de la infraestructura, lo cual puede tener varios niveles de impacto. También debemos tener en cuenta que no son infrecuentes los casos donde un malware cuyo principal motivo es el económico termine afectando a una infraestructura crítica, por lo que no todos los ciberataques a estas tendrán alguna motivación geopolítica”, concluye Albors.
