En las primera horas del apagón eléctrico que sufrió España la semana pasada la opción de un ciberataque estuvo sobre la mesa desde el primer momento. El Ministerio del Interior contactó con su oficina de ciberseguridad, el Centro Nacional de Inteligencia comenzó las primeras indagaciones. Incluso en la calle, muchos ciudadanos desconcertados que salían en busca de la radio de un coche para saber qué pasaba manifestaban esa posibilidad, entre bromas nerviosas. Pero una semana después, ni rastro ni pistas. Al menos públicas. Tampoco reivindicaciones.

Al final de la tarde del lunes 28 de abril, cuando la luz iba volviendo a los hogares, Red Eléctrica, en el foco del incidente, manifestó que el problema no fue fruto de un ciberataque. El CNI también descartó, de entrada, esa opción. Sin embargo, desde el Gobierno se ha mantenido viva esa posibilidad. El líder del Ejecutivo, Pedro Sánchez, ha repetido en varias ocasiones que se trabajan en "todas las hipótesis".

El presidente afirmó que pedirían explicaciones a los "operadores privados" para conocer qué había pasado en sus instalaciones y si en alguna se encontró algo que pudiese relacionarse con un posible ciberataque. Ha encomendado una investigación independiente a un organismo de Bruselas, el Grupo Europeo de Coordinación de Electricidad. Una suerte de lobby que defiende los intereses de Red Eleéctrica.

La otra pata de las pesquisas las llevará el Centro Criptológico Nacional (CCN), que se integra en el CNI. Es decir, espías del Estado acudirán a las sedes de las eléctricas para recabar todos los datos posibles. Por el momento, ningún grupo ha relamado la autoría de un hipotético ciberataque. Las fuentes de ciberseguridad consultadas por este periódico niegan que se hayan encontrado comunicaciones en este sentido en los distintos foros.

Único mensaje

El único mensaje parecido a una reivindicación se produjo a las 7:24 de la mañana, mucho antes de que el sistema se fuese a un "cero energético". Lo publicó el grupo Dark Storm Team que aseguró que logró "cortar el suministro eléctrico en algunos países de la OTAN". Lo hizo, supuestamente, con la ayuda de un grupo prorruso llamado NoName057. Esta organización ha protagonizado distintos ataques DDoS a instituciones españolas.

Fuentes de Inteligencia señalaron a El Independiente, que ambos equipos "tienen la capacidad de hacer algo así", aunque no había "nada confirmado". Expertos en ciberseguridad le dan "credibilidad cero", mientras que otros señalan que "tiene todo el perfil" de un ciberataque, aunque es pronto para saberlo. La investigación podría durar meses y si se confirmase, un "ataque de denegación de servicio a un sistema SCADA" (los programas para controlar procesos industriales a distancia) podría "ser una opción" que explicase lo ocurrido.

La falta de reivindicación podría señalar, por otra parte, que el ataque fue por parte de un país extranjero. "Eso sería un acto de guerra, según el derecho internacional. Así que nadie lo va a reclamar porque sería un ataque contra la OTAN", resume una fuente militar.

Mientras tanto, la Audiencia Nacional ha abierto una investigación para aclarar lo sucedido. En su escrito, el juez José Luis Calama señaló que "si bien en el momento actual la causa de los referidos hechos resulta desconocida, el ciberterrorismo se encuentra entre una de las posibles". Un día después del apagón nacional, el magistrado encargó informes al CNI y a la Comisaría General de Información de la Policía Nacional sobre lo ocurrido. Les dio 10 días, poco tiempo según los expertos a los que ha preguntado este periódico.

750 millones de datos

La vicepresidenta tercera y ministra de Transición Ecológica, Sara Aagesen, informó este lunes en TVE que se estás analizando más de 750 millones de datos. Por ahora mantienen abiertas todas las hipótesis, entre ellas, la de un posible ciberataque. Añadió que han averiguado que hubo una pérdida de generación 19 segundos antes de que se produjera el cero energético. De ese el sistema sí se recuperó.

Por un lado el operador del sistema, Red Eléctrica, trabaja con "condiciones reforzadas", que sería como poner un antibiótico genérico a falta de conocer el tipo de bacteria, y por otro trabajan en el análisis de las posibles vulnerabilidades desde el punto de vista de ciberseguridad.

Respecto a la información solicitada a los operadores privados, Aagesen ha señalado que durante el fin de semana han realizado requerimientos de información adicional, con plazo hasta este lunes, y que han ampliado también el número de operadores para solicitar datos a operadores, distribuidores y plantas de generación de más de 1.000 megavatios.