El 2 de mayo de 2025, Alejandro C. B responsable dela marca fundada por él mismo y llamada (Ciberpro Informática) envió una alerta urgente al C.N.I y al I.N.C.I.B.E en un informe técnico bien detallado por correo electrónico en el que describía una simulación llevada a cabo para evaluar la seguridad de una red local. En este ejercicio, se configuró una red local de menor escala como modelo de la red eléctrica española.
Durante la prueba, se implementaron sistemas de detección de intrusos (IDS), incluyendo Snort como componente principal, además de un router neutro configurado con un cortafuegos avanzado y medidas de seguridad adicionales. Al intentar acceder a la red desde el exterior, los sistemas de seguridad demostraron ser efectivos, haciendo imposible la intrusión.
Posteriormente, se desactivaron los IDS, Snort y los cortafuegos, lo que permitió acceder a la red desde el exterior, confirmando la importancia de estos sistemas para prevenir accesos no autorizados.
Basándome en los resultados, extrapolé el experimento a una hipotética Red Eléctrica Nacional. Simulé un ciberataque externo y, como en la red local, resultó imposible acceder sin ser detectado, siempre que los sistemas de seguridad estuvieran activos. No obstante, en un escenario hipotético en el que un infiltrado interno (un "topo") desactivara temporalmente los IDS y cortafuegos, se abrió una ventana de oportunidad de cinco segundos para que los atacantes externos introdujeran malware en la red. Este análisis destacó el riesgo crítico que representa un atacante interno en complicidad con actores externos.
El siguiente escrito es el primer informe técnico utilizando una simulación en una red local local pequeña.
Dirigido y enviado al CNI e INCIBE el 02 de mayo de 2025
INFORME TÉCNICO FINAL (CONFIDENCIAL)
(incidente de ciberseguridad ocurrido el 28 de abril de 2025 en Red Eléctrica española)
Alejandro C. B
Técnico y administrador de redes locales y especialista en Seguridad Informática
Para la implementación de este informe se han utilizado fuentes abiertas, IA y mi
experiencia en seguridad informática de redes locales.
Síntesis:
En un ejercicio práctico, apliqué lógica y sentido común para proteger una red local
sencilla utilizando sistemas básicos como IDS, Snort y cortafuegos. En condiciones
normales, es técnicamente imposible acceder a una red local de este tipo sin ser
detectado. Tras investigar diversos escenarios, concluí que un ciberataque dirigido sería
inviable bajo estas circunstancias.
Sin embargo, identifiqué que la forma más sencilla de vulnerar la red era desconectar los
sistemas de protección mencionados. Esto me permitió acceder sin restricciones. Esta
teoría, simple pero efectiva, la extrapolé a un caso hipotético en la Red Eléctrica
Española. Consideré que si se aplicaba el mismo principio –desactivar los sistemas de
seguridad como IDS, Snort y cortafuegos–, un ataque podría ser viable en colaboración
con agentes externos.
Siguiendo esta línea de análisis, llegué a la conclusión de que, el 28 de abril de 2025,
alrededor de las 12:33, un empleado de Red Eléctrica Española con acceso físico a los
sistemas de seguridad podría haber desactivado las defensas de manera milimétrica.
Dado que ese día era soleado, un breve lapso sin defensas probablemente habría pasado
inadvertido. Este escenario hipotético demuestra cómo una vulnerabilidad interna podría
permitir un ataque crítico.
Mi sugerencia:
La Red Eléctrica Española, como infraestructura estratégica esencial para el sistema
nacional y el bienestar ciudadano, debe estar bajo control estatal. Es imprescindible que
esté protegida por personal militar y que los responsables de la ciberseguridad sean
sometidos a un seguimiento exhaustivo para garantizar la integridad del sistema.
1. Asunto del informe
Este informe tiene como objetivo exponer un escenario técnico plausible de ciberataque dirigido
contra la infraestructura eléctrica española ocurrido el día 28 de abril de 2025, basado en
conocimientos especializados sobre sistemas industriales, vectores de ataque y protocolos SCADA.
Se plantea la hipótesis realista de colaboración interna (insider) como elemento facilitador del
ataque, ante la dificultad de comprometer los sistemas de protección de Red Eléctrica de España
(REE) desde el exterior.
2. Antecedentes
- Apagón eléctrico sin precedentes registrado el 28 de abril de 2025.
- Sistemas de REE con altos estándares de ciberprotección: cortafuegos industriales, IDS/IPS,
SCADA (Radiflow iSID), segmentación IT/OT.
- No se ha atribuido causa definitiva al incidente hasta la fecha.
3. Hipótesis de ataque
Lo que he hecho conociendo los sistemas de seguridad de una red local básica, es aplicar el sentido
común, el razonamiento lógico. Un insider con acceso privilegiado a sistemas OT y redes SCADA
pudo haber desactivado temporalmente mecanismos de protección, permitiendo la entrada
controlada de un actor externo malicioso. Esto habría desencadenado un ataque dirigido de
desestabilización eléctrica aprovechando vulnerabilidades en dispositivos críticos (PLCs, RTUs,
relés de protección, HMI).
4. Escenario técnico detallado
Fase 1 – Infiltración: Perfil del topo con acceso físico y lógico. Obtención de credenciales
elevadas.
Fase 2 – Instalación de persistencia: Inyección de malware en PLCs/RTUs, creación de puertas
traseras y reglas encubiertas.
Fase 3 – Desactivación de defensas: Apagado puntual de IDS y SIEM bajo pretextos legítimos.
Fase 4 – Ejecución del ataque: Conexión remota, manipulación de relés, sobrecarga o
desconexión de nodos.
Fase 5 – Encubrimiento: Reactivación de defensas, eliminación de rastros y logs.
5. Tipos de sistemas comprometidos
- Dispositivos: PLCs, RTUs, relés de protección, SCADA/HMI.
- Protocolos: IEC 60870-5-104, DNP3, Modbus TCP.
- Conexiones: Ethernet industrial, 4G privado, VPN cifrada.
6. Recomendaciones urgentes
1. Auditoría forense inmediata en subestaciones clave.
2. Revisión de logs de IDS, firewalls y SIEM entre 27 y 29 de abril.
3. Investigación técnica del personal con acceso privilegiado.
4. Análisis retrospectivo de tráfico SCADA sospechoso.
7. Aportación del informante
Nombre / Seudónimo: ____________________
Relación con el sector eléctrico / técnico: ____________________
Observaciones adicionales:
He desarrollado esta hipótesis como marco técnico para entender cómo podría haberse
producido un apagón de estas características. Dado el riesgo para la seguridad nacional,
considero imprescindible su investigación. Estoy disponible para ampliar detalles técnicos
o colaborar con los cuerpos competentes. Investigar en la hora precisa 12:33 y minutos
antes quien estaba en la instalacion y donde. Investigar sus ordenadores en casa, sus
teléfonos. Todo se tiene que hacer sin levanter sospechas. Por esa razón esta
información es confidencia.
ANEXO – Código Malicioso y Herramientas Usadas
1. Script de ataque a PLC vía Modbus TCP
Este script manipula registros críticos para abrir interruptores o simular sobrecargas
eléctricas sin levantar alarmas.
from pymodbus.client.sync import ModbusTcpClient
client = ModbusTcpClient('192.168.100.20', port=502)
client.connect()
client.write_coil(0, True) # Abre el interruptor principal
for i in range(1000, 1010):
client.write_register(i, 9999) # Inyecta valores extremos
client.close()
2. Herramienta persistente: Cobalt Strike adaptado a SCADA
Permite conexión remota persistente y control completo de sistemas industriales,
enmascarado como tráfico legítimo.
- Funciones: keylogging, control remoto, movimiento lateral, ejecución de scripts
- Usado para manipular dispositivos desde dentro con alta persistencia y evasión de
detección.
3. Otros ejemplos de malware industrial
- TRITON: Ataques a sistemas de seguridad (SIS)
- Industroyer: Interrupción masiva de redes eléctricas (usado en Ucrania)
- Meterpreter: Control remoto de redes Windows industriales
- Backdoors en Python/Go para SCADA: desarrollados ad hoc para protocolos industrials
Red Eléctrica de España (REE) emplea un enfoque integral y avanzado para proteger la
red eléctrica nacional frente a ciberataques y fallos operativos. Su estrategia combina
tecnologías de detección, control, análisis de tráfico industrial y gestión de riesgos,
adaptadas a las particularidades de las infraestructuras críticas del sector energético.
🔐 Sistemas de protección y ciberseguridad utilizados por REE
1. Modelo de Seguridad Integral basado en ES-C2M2
REE ha adaptado el modelo estadounidense ES-C2M2 (Electricity Subsector
Cybersecurity Capability Maturity Model) para estructurar su seguridad en 11
capacidades clave. Estas incluyen gestión de riesgos, control de accesos,
respuesta ante incidentes, continuidad operativa y concienciación situacional. Este
modelo se aplica tanto a los sistemas de información (IT) como a los de operación
(OT), integrando también la seguridad física.
2. Monitorización avanzada del tráfico SCADA con Radiflow
En colaboración con la startup Radiflow, REE ha implementado la plataforma iSID
para monitorizar el tráfico de datos en sus sistemas SCADA. Esta herramienta
permite la detección de amenazas mediante inspección profunda de paquetes
(DPI), identificación de anomalías en protocolos industriales y visualización
detallada de la topología de red. El análisis no intrusivo facilita una ciberseguridad
proactiva en entornos industriales.
3. Proyecto CIEN con S2 Grupo
REE participa en el proyecto CIEN, que busca mejorar la seguridad de la red
eléctrica mediante la detección temprana de ciberataques conocidos y de día cero.
Se utilizan técnicas de escucha no intrusiva y análisis de datos en tiempo real,
incluyendo machine learning, para proteger tanto los sistemas de control como los
equipos electrónicos en subestaciones.
4. Sistema de protección y control en subestaciones
Tradicionalmente, cada posición en las subestaciones de REE contaba con tres
protecciones: primaria, secundaria y de fallo de interruptor. La nueva arquitectura
reduce este número a dos protecciones configuradas en espejo, integrando las
funciones de medida y mejorando la fiabilidad del sistema. Esta configuración
permite realizar mantenimientos sin necesidad de desconectar la línea.
5. Proyectos de investigación y colaboración
REE colabora en diversos proyectos de investigación y desarrollo, como Sec2Grid,
que se enfoca en detectar vulnerabilidades en dispositivos desplegados en la red
eléctrica y garantizar su ciberseguridad mediante metodologías de actualización
seguras y autenticadas.
🧩 ¿Qué sabemos sobre el apagón del 28 de abril de 2025?
El 28 de abril de 2025, a las 12:33 h, el sistema eléctrico español sufrió un colapso total en
solo cinco segundos, afectando también al sistema portugués. Aunque se barajaron
hipótesis como ciberataques y desajustes operativos, las investigaciones preliminares
apuntan a una planificación de generación arriesgada, con alta dependencia de energía
solar y escaso respaldo de energías firmes. La falta de interconexión con Francia agravó la
situación.
Expertos en ciberseguridad, como Efrén Varón, consideran poco probable que un
ciberataque haya sido la causa principal del apagón, dada la complejidad y la falta de
señales o advertencias previas. Se sugiere que un acto de sabotaje podría ser una hipótesis
más plausible.
Sé, que actualmente, una comisión del Gobierno está investigando el incidente, recopilando
datos adicionales de las empresas del sector eléctrico para esclarecer las causas exactas
del fallo. Tengo que informarles de que estemos hablando de espías que trabajan para otros
gobiernos están filtrando información y actuando físicamente para que el ciberataque se
haya podido producer.
1. Modelo de Seguridad Integral (basado en ES-C2M2)
• ¿Qué incluye?
o Control de accesos (físicos y lógicos)
o Gestión de identidad
o Segmentación de redes
o Monitorización continua
o Planes de respuesta y recuperación ante incidentes
o Auditorías periódicas
• ¿Incluye cortafuegos (firewalls)?
o Sí. Utiliza firewalls para separar redes IT (informáticas) y OT (operación).
• ¿Incluye IDS/IPS?
o Sí. Implementan sistemas de detección de intrusos (IDS) y posiblemente de
prevención (IPS), tanto en redes IT como OT.
• ¿Es hackeable con estos activos?
o Muy difícil. Si están bien configurados y actualizados, sólo un ataque de día
cero o una explotación desde dentro (infiltración interna) podría funcionar.
2. Monitorización SCADA con Radiflow (plataforma iSID)
• ¿Qué hace?
o Monitorea tráfico industrial en tiempo real
o Detecta anomalías y comportamientos inusuales
o Reconstruye la topología de red y activa alertas
• ¿Incluye firewalls o IDS?
o Sí. La plataforma actúa como un IDS especializado para entornos SCADA.
• ¿Es posible evadirla?
o Solo con un ataque muy sofisticado y específico del protocolo industrial usado
(Modbus, IEC 60870-5-104, DNP3, etc.), probablemente de día cero.
3. Proyecto CIEN (con S2 Grupo)
• ¿Qué hace?
o Detección de ataques conocidos y desconocidos (día cero)
o Escucha pasiva no intrusiva
o Uso de inteligencia artificial/machine learning para detectar patrones
anómalos
• ¿Incluye IDS?
o Sí. IDS avanzados con capacidades de correlación de eventos e inteligencia
artificial.
• ¿Es penetrable?
o Difícil. Sería necesario un comportamiento que imite completamente uno
legítimo, o una brecha previa en sistemas físicos o personales.
4. Sistemas de protección en subestaciones
• ¿Qué hacen?
o Protecciones redundantes (primaria y secundaria en espejo)
o Medición, control y protección integradas
o Capacidad de seguir operando ante fallos parciales
• ¿Tienen conectividad que pueda ser hackeada?
o Limitada. Estos sistemas están parcialmente aislados, pero las conexiones
con el SCADA podrían ser un vector.
• ¿Se puede atacar?
o Solo si el SCADA está comprometido previamente.
5. Seguridad física e IT/OT separada
• ¿Qué hacen?
o Separación entre redes de oficina (IT) y redes industriales (OT)
o Accesos físicos muy controlados (biometría, tarjetas, etc.)
o Segmentación de red y DMZ (zonas desmilitarizadas)
• ¿Usan cortafuegos?
o Sí. Firewalls entre cada segmento, incluso entre zonas dentro de la red OT.
• ¿Se puede burlar?
o Requiere acceso físico o un ataque encadenado desde IT a OT, lo cual es
altamente complejo.
Conclusión técnica:
¿Es posible efectuar un ciberataque con todos estos sistemas activos?
• Sí, pero solo bajo circunstancias extremadamente específicas:
o Explotación de una vulnerabilidad de día cero en software SCADA o en
dispositivos de red industrial.
o Infiltración interna (empleado malicioso, suplantación de credenciales con
privilegios elevados).
o Ataques encadenados desde IT a OT con persistencia avanzada.
¿Puede un atacante remoto sin acceso previo lograrlo?
• Muy poco probable. Todos los puntos de entrada están protegidos por firewalls,
IDS, monitoreo continuo, y separación de redes.
Un topo humano (insider) es una de las pocas vías realistas por las que un ciberataque
sofisticado podría tener éxito contra la red eléctrica española, dadas las protecciones
robustas descritas. A continuación te explico cómo y por qué:
1. ¿Qué puede hacer un insider (topo)?
Un infiltrado con acceso legítimo puede:
• Desactivar cortafuegos o IDS temporalmente, incluso por segundos, lo suficiente
para permitir la entrada de malware o comandos maliciosos.
• Manipular registros de acceso para ocultar sus acciones.
• Insertar código malicioso o scripts automatizados en dispositivos o redes
industriales (OT).
• Transferir credenciales privilegiadas a un atacante externo o crear puertas
traseras.
2. ¿Qué nivel de acceso necesitaría?
• Nivel alto en redes OT: Como operador de SCADA, ingeniero de subestaciones o
técnico de mantenimiento con acceso físico y lógico.
• Permisos de administración local en dispositivos clave (PLC, RTU, firewalls
industriales).
• Capacidad de eludir la supervisión del SIEM (sistema de eventos de seguridad).
3. ¿Es realista que un insider pueda desactivar protecciones sin levantar alertas?
• Sí, si actúa de forma coordinada y temporal. Los sistemas de REE están
diseñados para detectar comportamientos persistentes o anómalos, pero un evento
muy corto, bien sincronizado, y "legítimamente ejecutado" (desde cuentas
autorizadas) podría pasar desapercibido.
• Por ejemplo:
o Apagar brevemente un IDS.
o Redireccionar tráfico.
o Enviar actualizaciones falsas a PLCs con código malicioso.
o Aprovechar una ventana de mantenimiento o actualización planificada.
4. ¿Qué evidencia debería buscarse si se sospecha de un topo?
• Cambios en reglas de cortafuegos o listas blancas.
• Desactivación temporal de sensores de monitoreo o alertas.
• Comportamientos fuera de patrón en cuentas privilegiadas (login a horas inusuales,
desde ubicaciones extrañas).
• Equipos desconectados brevemente del SIEM.
• Registros de accesos físicos a instalaciones críticas.
Conclusión:
Hoy en día los sistemas de seguridad son muy precisos y es practicamente imposible
su vulneración sin ser detectado. Un topo humano con acceso privilegiado podría
desconectar selectivamente los sistemas de protección para facilitar un ciberataque.
Aplicando el Sistema descrito anteriormente a una red local, la única forma possible de
vulnerar el Sistema de IDS, Snord y cortafuegos nuestra red electrica es desconectar por
unos segundos las defensas. Este escenario es más plausible que un ataque 100% externo,
y es una de las principales preocupaciones en ciberseguridad de infraestructuras críticas,
el error humano, en este caso quizá estemos hablando de deslealtad.
