Ciberataques a energía aumentan 43%: alerta de Cipher

La ciberseguridad del sector energético está bajo presión. Según el informe más reciente de la x63 Unit de Cipher —la unidad de ciberinteligencia de Prosegur—, los ciberataques a operadores esenciales en España aumentaron un 43% durante 2024, y una proporción significativa se concentró en infraestructuras críticas del sector energético. 

Esta tendencia se mantiene en 2025, elevando la preocupación global frente a riesgos que ya no solo comprometen información, sino la seguridad física de las operaciones.

El sector energético, blanco prioritario de los ataques

Los ciberataques a infraestructuras críticas energéticas representan ya el 9% del total registrado contra operadores esenciales, una cifra que refleja la alta exposición de este sector en medio de tensiones geopolíticas y conflictos digitales cada vez más sofisticados. Las amenazas identificadas van desde el ciberespionaje estatal y el sabotaje directo, hasta el uso de malware destructivo y campañas de desinformación.

"Más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético también plantean riesgos potenciales para la seguridad física", advirtió Santiago Anaya, Global CTO de Cipher. Una intrusión en sistemas de control industrial, como monitores de presión o plantas nucleares, puede derivar en incidentes graves, desde explosiones hasta liberaciones peligrosas.

También te puede interesar leer: Minsait Cyber: el nuevo nombre de la ciberseguridad global de Indra

Tipos de amenazas detectadas

El informe identifica múltiples vectores de ataque. Algunos de los más críticos son:

• Ciberespionaje: ejecutado por grupos como Volt Typhoon (China), Lazarus (Corea del Norte) o Berserk Bear (Rusia), busca obtener información estratégica y tecnológica.

• Sabotaje: mediante malwares como Triton o Industroyer2, diseñados para causar daños físicos en sistemas SCADA o ICS.

• Ransomware y filtraciones: utilizadas para extorsionar o comercializar información crítica en foros clandestinos.

• Desinformación y campañas psicológicas: que socavan la confianza del público en la estabilidad energética.

• Hacktivismo: ejecutado por colectivos como GhostSec o NoName057(16), que atacan infraestructuras OT por motivos ideológicos o políticos.

Además, se han descubierto más de 40 vulnerabilidades críticas en sistemas OT, incluyendo las fallas SolarWonder en inversores solares y CVEs relevantes en dispositivos de Schneider Electric y Siemens.

Actores estatales detrás de las amenazas

El reporte de Cipher advierte que gran parte de los ataques provienen de actores estatales o paraestatales con fines de espionaje, sabotaje o control estratégico. Rusia sigue siendo el principal origen, con grupos como Sandworm y APT28 ampliando sus acciones en Europa. China, Irán y Corea del Norte también intensifican sus campañas, a menudo a través de grupos como APT34 o Kimsuky.

En paralelo, han surgido actores mercenarios que desarrollan malware a medida para gobiernos, lo que complica la atribución de los ataques y eleva el nivel de riesgo para la cadena de suministro global del sector.

Recomendaciones y llamado a la acción

Cipher recomienda una estrategia integral que combine detección temprana, higiene de seguridad, segmentación entre entornos IT y OT, y una cooperación constante con autoridades. “La resiliencia digital debe consolidarse como un pilar tan crítico como la infraestructura física”, subraya el informe.

El mensaje es claro: en un mundo interconectado, garantizar la continuidad del sector energético requiere no solo blindajes físicos, sino una vigilancia cibernética activa y sostenida.