Alarmante aumento del 43% en ciberataques a infraestructuras esenciales en España durante 2024

 Los ciberataques contra infraestructuras esenciales en España experimentaron un alarmante aumento del 43% durante 2024, con una particular concentración en el sector energético, que acaparó el 9% de estos incidentes. Esta tendencia se ha mantenido y agravado en los primeros meses de 2025, impulsada por un crecimiento en las amenazas de espionaje, sabotaje y filtración de datos sensibles.

En lo que va de 2025, ya se han identificado diversas campañas de 'ransomware' dirigidas a empresas energéticas españolas, además de filtraciones de datos y la venta de información crítica en foros clandestinos.

Tensiones geopolíticas impulsan la ciberdelincuencia

Los expertos  atribuyen este incremento a las actuales tensiones geopolíticas, que han intensificado las campañas contra infraestructuras sensibles. Entre los actores maliciosos destacados se encuentran grupos como Babuk2, que emplea técnicas de infiltración tradicionales, y AgencyInt, especializado en la filtración masiva de datos personales. También se ha identificado la participación de 'crocs', vinculado a la comercialización de información sensible de estas organizaciones, aunque sin evidencia de ataques directos por su parte.

La mayoría de las amenazas provienen de actores estatales, con Rusia a la cabeza, a través de grupos como Sandworm o APT28, que han expandido sus ataques por Europa. Asimismo, se ha observado un aumento en la actividad de países como China, Irán y Corea del Norte, con grupos como Volt Typhoon, APT34 y CyberAvengers.

Ciberespionaje, sabotaje y vulnerabilidades críticas: las principales amenazas

El ciberespionaje se ha convertido en una amenaza creciente, buscando obtener información sensible como planos de instalaciones, tecnologías propietarias o contratos estratégicos. Estos ataques, impulsados por actores estatales o grupos de Amenazas Persistentes Avanzadas (APT), buscan ventaja geopolítica o económica, e incluso la "preparación de futuros sabotajes". Se ha registrado un aumento "significativo" de estas campañas en 2024 y 2025, especialmente en entornos de tecnología operativa (TO) y SCADA, con la participación de grupos como el chino Volt Typhoon, el ruso Berserk Bear (Dragonfly) o el Lazarus Group de Corea del Norte.

El sabotaje cibernético también ha cobrado fuerza, buscando interrumpir o dañar el funcionamiento de infraestructuras críticas. Estos métodos, de alta sofisticación, han sido identificados en casos como los apagones en Ucrania, orquestados por el grupo ruso Sandworm, y el uso de 'malware' como FrostyGoop para interrumpir el servicio de calefacción urbana, Triton en una planta petroquímica o la suite PIPEDREAM, diseñada para comprometer infraestructuras energéticas.

Cipher también ha descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de control industrial (ICS) durante 2024 y 2025, tanto en 'software' como en 'hardware'. Destacan 46 vulnerabilidades en inversores solares, el fallo CVE-2024-6407 en dispositivos de Schneider Electric y varias fallas notificadas por Siemens en su plataforma SCADA. El uso de 'malware' destructivo, como KillDIsk, Industroyer (en la red eléctrica ucraniana) y Fuxnet, sigue siendo una herramienta recurrente en conflictos geopolíticos.

Hacktivismo y desinformación: nuevas dimensiones de la amenaza

El 'hacktivismo' continúa en aumento este año, impulsado por motivaciones políticas, sociales e ideológicas. Grupos como Anonymous o colectivos prorrusos como NoName057 han lanzado campañas de denegación de servicios (DDoS) contra infraestructuras críticas occidentales.

A esto se suman las campañas de desinformación, diseñadas para socavar la confianza pública. Durante 2025, las campañas de desinformación dirigidas al sector energético se han intensificado, difundiendo "rumores infundados" sobre apagones masivos en países como España, generando alarma social y atacando la reputación de los proveedores de energía mediante la difusión de documentos falsos.