Facebook Linkedin Twitter Instagram Youtube Telegram

Aumento en España del 43% de los ciberataques a infraestructuras esenciales en 2024

Cipher, división de ciberseguridad del Grupo Prosegur, a través de su unidad x63 Unit, ha detectado un aumento del 43% de los ciberataques realizados contra operadores esenciales en España durante 2024. Este incremento afecta especialmente a infraestructuras críticas del sector energético, que representan un 9% del total. La tendencia, que se mantiene en lo que va de 2025, revela un crecimiento en amenazas orientadas al espionaje, sabotaje y filtración de datos sensibles, reflejando la creciente sofisticación y persistencia de los atacantes.

En los primeros meses de 2025, el análisis de la x63 Unit confirma que varias empresas energéticas españolas han sido blanco de campañas de ransomware, filtraciones y venta de información en foros clandestinos. A nivel global, las tensiones geopolíticas han intensificado estas campañas contra infraestructuras sensibles. Entre los actores destacados se encuentran Babuk2, con técnicas tradicionales de infiltración; AgencyInt, especializado en la filtración masiva de datos personales; y “crocs”, vinculado a la comercialización de información sensible, aunque sin evidencias claras de ataques directos.

Santiago Anaya, Global Chief Technology Officer de Cipher, ha afirmado que, “más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético también plantean riesgos potenciales para la seguridad física. Un incidente que afecte a los sistemas de control industrial -como monitores de presión en refinerías, sistemas de seguridad en plantas nucleares o controles automatizados en infraestructuras críticas- podría derivar en consecuencias graves, incluyendo explosiones o liberaciones peligrosas”.

Radiografía de las amenazas: los principales tipos de ciberataques al sector energético Los expertos de la x63 Unit de Cipher han elaborado un análisis de las principales amenazas que afectan a las infraestructuras críticas, con el objetivo de ofrecer una visión actualizada y estructurada del sector, a través de un seguimiento exhaustivo de campañas activas, actores relevantes y vulnerabilidades emergentes.

  • Ciberespionaje: El ciberespionaje en el sector energético persigue la obtención encubierta de información crítica, como planos de instalaciones, tecnologías propietarias o contratos estratégicos. Estos ataques, generalmente impulsados por actores estatales o grupos APT, tienen como fin adquirir ventaja geopolítica o económica, o preparar futuros sabotajes. En el periodo 2024-2025 se ha registrado un aumento significativo de estas campañas, con especial foco en entornos OT/SCADA. Entre los actores más relevantes destacan Volt Typhoon (China), Berserk Bear/Dragonfly (Rusia), GRAPHITE (Europa del Este), Lazarus Group (Corea del Norte) y APT33/Elfin (Irán), todos ellos con historial en operaciones dirigidas contra infraestructuras críticas.
  • Sabotaje: El sabotaje cibernético en el sector energético busca interrumpir o dañar el funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales como SCADA, ICS o PLC. A diferencia del espionaje, estos ataques persiguen efectos destructivos y requieren un alto nivel de sofisticación, propio de actores estatales. En 2025, la amenaza es tangible, con antecedentes como los apagones en Ucrania (Sandworm), el intento de desplegar Industroyer2, el malware FrostyGoop contra calefacción urbana, el ataque con Triton a una planta petroquímica, y la detección de la peligrosa suite PIPEDREAM, diseñada para comprometer infraestructuras energéticas a gran escala.
  • Vulnerabilidades críticas en sistemas OT (ICS/SCADA): Durante 2024 y 2025 se han descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de control industrial (ICS), afectando directamente la seguridad operativa de las infraestructuras energéticas. Estos fallos, presentes tanto en software como en hardware, pueden ser aprovechados para acceder a redes OT, interrumpir procesos o comprometer la integridad de sistemas críticos. La digitalización del sector y la convergencia IT-OT han ampliado la superficie de ataque, exigiendo una gestión proactiva de parches. Entre los casos más relevantes destacan las 46 vulnerabilidades “SolarWonder” en inversores solares, el CVE-2024-6407 en dispositivos Wiser Home de Schneider Electric, y varias fallas notificadas por Siemens en su plataforma SCADA de telecontrol.
  • Malware destructivo: El uso de malware puramente destructivo se ha convertido en una herramienta recurrente en conflictos geopolíticos, afectando de forma grave al sector energético. Este tipo de software malicioso busca borrar datos, inutilizar sistemas o sabotear operaciones críticas, con impactos que van desde la paralización de compañías hasta la pérdida de control sobre infraestructuras. Casos emblemáticos incluyen Shamoon, que en 2012 borró 35.000 equipos de Saudi Aramco; NotPetya, un wiper disfrazado de ransomware que causó estragos globales en 2017; y AcidRain, usado en 2022 para desactivar remotamente miles de turbinas eólicas en Europa. También destacan KillDisk e Industroyer en ataques a la red eléctrica ucraniana, así como el uso de malware como Fuxnet por grupos hacktivistas para dañar dispositivos industriales.
  • Hacktivismo: El hacktivismo en el sector energético continúa en aumento durante 2025, impulsado por motivaciones políticas, sociales e ideológicas. Grupos como Anonymous llevaron a cabo operaciones de alto impacto, como el ataque a la filial alemana de Rosneft en 2022, extrayendo grandes volúmenes de información sensible. Paralelamente, colectivos prorrusos como NoName057(16) han realizado campañas de denegación de servicio (DDoS) contra infraestructuras críticas occidentales. En 2024, surgió el grupo “Mr. Hamza”, con discursos hostiles hacia organizaciones internacionales. Asimismo, GhostSec demostró capacidad para infiltrarse en sistemas SCADA iraníes, reflejando la creciente sofisticación de ataques hacktivistas sobre redes industriales y OT.
  • Campañas de desinformación y ataques a la confianza pública: En 2025, las campañas de desinformación dirigidas al sector energético se intensifican, buscando erosionar la confianza pública en gobiernos y empresas. Destacan las operaciones rusas en Europa del Este, orientadas a desacreditar los esfuerzos de diversificación energética tras la reducción de dependencia del gas ruso. Paralelamente, en España y otros países europeos, circulan rumores infundados sobre apagones masivos, generando alarma social. Además, ataques a la reputación de proveedores energéticos mediante la difusión de documentos reales o falsos socavan la credibilidad del sector.

Instrucciones de origen estatal

La x63 Unit de Cipher ha identificado que gran parte de las amenazas al sector energético provienen de actores estatales o para-estatales, cuyo objetivo es el espionaje, sabotaje y control estratégico. Rusia sigue siendo el principal agresor, con grupos veteranos como Sandworm y APT28 ampliando sus ataques hacia Europa, además de nuevos subgrupos especializados en infraestructuras críticas. El FSB también mantiene intrusiones persistentes en redes eléctricas occidentales, muchas veces detectadas tras largos períodos ocultos.

China, Irán y Corea del Norte también han intensificado su actividad en el sector. Destacan el grupo chino Volt Typhoon, activo desde 2023, y los iraníes APT34 y CyberAvengers, con campañas globales contra infraestructuras críticas. Corea del Norte opera con Lazarus y Kimsuky, centrados en información energética y nuclear. Además, se alerta sobre actores mercenarios que desarrollan malware a medida para gobiernos, complicando la atribución y aumentando los riesgos en la cadena de suministro energética.

Recomendaciones de la x63 Unit

En 2025, el sector energético sigue siendo uno de los principales blancos de la amenaza cibernética global, con el ransomware como vector destacado, pero no exclusivo. Las intrusiones estatales, campañas de desinformación y ataques a sistemas OT subrayan la complejidad del panorama actual. Desde la x63 Unit de Cipher se recomienda adoptar una estrategia integral que combine detección temprana, higiene de seguridad, segmentación entre entornos IT y OT, y una cooperación constante con las autoridades competentes. La resiliencia digital debe consolidarse como un pilar tan crítico como la infraestructura física, garantizando así la continuidad de un servicio esencial que no puede permitirse interrupciones.

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.