Durante el año 2024, los ciberataques dirigidos a infraestructuras esenciales en España experimentaron un notable incremento del 43%, afectando especialmente al sector energético, el cual concentró aproximadamente el 9% de estos ataques. Esta tendencia de crecimiento se ha mantenido durante los primeros meses de 2025, impulsada por una creciente amenaza de espionaje, sabotaje y filtración de datos confidenciales.
Los análisis de la x63 Unit, parte de Cipher, la división de ciberseguridad del Grupo Prosegur, revelan que múltiples campañas de ‘ransomware’ están actualmente enfocadas en empresas energéticas españolas. Al respecto, se han identificado varios incidentes de filtración de datos y comercio de información sensible en foros clandestinos. Los expertos apuntan que esta situación se debe en gran medida a las tensiones geopolíticas que han intensificado estos ataques dirigidos a infraestructuras críticas.
Entre los actores maliciosos más destacados se encuentran el grupo Babuk2, que emplea métodos tradicionales de infiltración, y AgencyInt, conocido por su especialización en la filtración masiva de datos personales. También se ha relacionado al actor conocido como ‘crocs’ con la comercialización de información sensible, aunque no se han encontrado evidencias de ataques directos vinculados a este grupo.
Más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético también plantean riesgos importantes para la seguridad física
El director global de Tecnología de Cipher, Santiago Anaya, advierte que un incidente en sistemas de control industrial, como los utilizados en plantas nucleares, podría acarrear consecuencias graves, incluyendo explosiones o liberaciones inseguras. Los expertos han identificado una creciente actividad de grupos de ciberespionaje que buscan obtener información crítica, como planos de instalaciones y tecnologías propietarias, impulsados por la ventaja geopolítica que ello podría proporcionar.
Entre 2024 y 2025, el equipo de la x63 Unit ha observado un notable aumento en estas campañas, particularmente en entornos de tecnología operativa (TO) y en sistemas de control y adquisición de datos (SCADA). Se ha detectado la participación de grupos como Volt Typhoon de China y el grupo ruso Berserk Bear.
Identificación de vulnerabilidades y malware destructivo
Los expertos han descubierto numerosas vulnerabilidades críticas en componentes esenciales de los sistemas de control industrial durante este periodo. Estos fallos representan puntos de acceso para los ciberdelincuentes, permitiéndoles interrumpir procesos o comprometer sistemas críticos. En total, se han documentado 46 vulnerabilidades en inversores solares y un fallo crítico en dispositivos de Schneider Electric.
Además, el uso de ‘malware’ destructivo ha sido una herramienta recurrente en conflictos geopolíticos. Ejemplos notables incluyen el ‘malware’ KillDisk y Industroyer, utilizados en ataques contra la red eléctrica ucraniana, así como el software malicioso Fuxnet para causar daños en dispositivos industriales.
El fenómeno del ‘hacktivismo’ también ha crecido, impulsado por motivaciones políticas y sociales, con grupos como Anonymous y NoName057 lanzando campañas de denegación de servicio (DDoS) contra infraestructuras críticas. Adicionalmente, las campañas de desinformación han intensificado su presencia, generando alarmas sobre supuestos apagones en España mediante la difusión de rumores infundados.
Frente a este panorama, es crucial que las organizaciones del sector energético adapten sus estrategias para garantizar la continuidad de los servicios esenciales. La x63 Unit recomienda implementar una detección temprana de amenazas, mejorar la higiene de seguridad, segmentar los entornos IT y OT, y fomentar una cooperación constante con las autoridades pertinentes.
