El reciente apagón que afectó a amplias zonas de España y Portugal ha reavivado la preocupación sobre la seguridad de las infraestructuras críticas. A raíz de este incidente, la compañía ESET ha alertado sobre el aumento de los riesgos cibernéticos dirigidos a estos sistemas esenciales, citando su informe de Tendencias en Ciberseguridad 2025, “Uso malicioso de la IA generativa y tecnologías operativas en la mira”. Paralelamente, la guía técnica del Instituto Nacional de Ciberseguridad (INCIBE) y las reflexiones compartidas por especialistas del sector en plataformas profesionales apuntan a la necesidad de fortalecer la resiliencia organizativa frente a incidentes disruptivos.
Ciberamenazas sobre sistemas esenciales
La empresa de ciberseguridad recuerda que las infraestructuras críticas incluyen cualquier sistema físico o digital cuyo funcionamiento resulta indispensable para el desarrollo de servicios esenciales en sectores como la energía, el transporte, las telecomunicaciones o la salud. La alteración de estos sistemas puede producir consecuencias graves, desde cortes prolongados de suministro hasta disrupciones en los servicios sanitarios.
Algunos incidentes históricos refuerzan esta preocupación. En 2015, un ataque con el malware BlackEnergy dejó sin electricidad a miles de usuarios en Ucrania. Un año después, Industroyer afectó a la red de Kiev, y en 2022, su variante Industroyer 2 fue neutralizada antes de causar daños.
Estos casos evidencian cómo la ciberactividad ofensiva puede formar parte de estrategias geopolíticas. ESET también señala que no todos los ciberincidentes tienen motivaciones estatales o ideológicas: en ocasiones, malware de tipo económico puede terminar impactando involuntariamente a infraestructuras críticas.
Vectores de ataque y fases del impacto
Los ciberataques suelen comenzar con una vulnerabilidad técnica o una brecha humana —por ejemplo, mediante ingeniería social—, y progresan hasta ejecutar acciones que afectan el funcionamiento del sistema. Según la advertencia de ESET, los atacantes buscan maximizar el daño, ya sea bloqueando el acceso a información crítica o interrumpiendo servicios esenciales.
Josep Albors, responsable de investigación y concienciación en ESET España, advierte que aunque existen mecanismos y tecnologías capaces de mitigar estos ataques, la posibilidad de incidentes sigue siendo real y no siempre responde a una acción deliberada. También recordó que las averías técnicas siguen siendo causas frecuentes de incidentes, sin necesidad de atribuir cada fallo a un ciberataque.
La gestión de crisis como eje estratégico
La “Guía de gestión de crisis de ciberseguridad en empresas”, elaborada por INCIBE, clasifica como crisis aquellos incidentes que sobrepasan la capacidad de respuesta ordinaria de una organización. Esta situación suele implicar un elevado coste económico, impacto reputacional o responsabilidades legales significativas. La guía establece un protocolo estructurado que incluye la creación de un Comité de Crisis, el cual debe actuar con rapidez para contener el incidente, comunicar de forma clara con los grupos de interés y liderar la recuperación.
Entre los factores que identifican una crisis de ciberseguridad se incluyen:
- Interrupciones prolongadas de los servicios críticos.
- Superación de la capacidad de respuesta interna.
- Daños reputacionales significativos.
- Pérdidas económicas cuantificables.
- Implicaciones regulatorias o legales.
Recomendaciones técnicas y operativas
ESET propone adoptar medidas orientadas a anticipar y reducir el riesgo, entre ellas:
- Incorporar herramientas de Threat Intelligence y prácticas de Threat Hunting.
- Diseñar planes de contingencia y respuesta ante incidentes.
- Aplicar el modelo de confianza cero (Zero Trust).
- Fortalecer la seguridad por capas.
La guía de INCIBE complementa estas recomendaciones con acciones específicas en la fase de preparación: realizar un inventario de activos críticos, evaluar los riesgos mediante metodologías como MAGERIT o ISO 27005, desarrollar un plan de continuidad de negocio (PCN), un plan de recuperación ante desastres (DRP), y llevar a cabo simulacros periódicos, incluyendo ejercicios tabletop o simulaciones con interrupción real.
Relevancia legal y cumplimiento normativo
La gestión de incidentes como el apagón no solo plantea desafíos técnicos, sino también jurídicos. Tal como se destaca en varias publicaciones profesionales, eventos de esta magnitud pueden activar obligaciones derivadas de normas como el Reglamento General de Protección de Datos (RGPD), la LOPDGDD, la Directiva NIS2 o el Esquema Nacional de Seguridad (ENS). Las empresas deben contemplar estas dimensiones en sus protocolos de gestión de crisis, especialmente en lo relativo a notificación de incidentes, cadena de custodia de pruebas digitales y protección de datos personales.
Gobernanza y cooperación público-privada
Tanto el INCIBE como otras entidades como INCIBE-CERT promueven la cooperación entre administraciones, empresas y operadores estratégicos para articular respuestas coordinadas ante incidentes complejos. Esta colaboración resulta esencial para gestionar las amenazas de forma eficaz, minimizar su impacto y compartir inteligencia técnica entre sectores.
De la disrupción a la resiliencia digital
La reciente interrupción del suministro eléctrico ha servido como recordatorio de la vulnerabilidad de las infraestructuras esenciales. En este contexto, la preparación no puede limitarse a la ciberdefensa técnica: debe extenderse a la organización interna, la gestión de crisis, la comunicación y el cumplimiento legal. Solo con un enfoque integral será posible reducir la exposición al riesgo y responder de forma efectiva ante futuras contingencias.
