A pesar de que la teoría del ciberataque es la menos apoyada por todas las fuentes consultas dentro del mundo de la Inteligencia e Información, el Gobierno todavía no se ha atrevido a descartarla como responsable del apagón que sumió a España en un negro de horas el pasado lunes 28 de mayo. El titular del Juzgado Central de Instrucción número 4 de la Audiencia Nacional, José Luis Calama, de hecho, abrió una investigación de oficio señalando, incluso, terrorismo, y está a la espera de recibir varios informes del Centro Criptológico Nacional (CCN) --dependiente del Centro Nacional de Inteligencia (CNI)--, así como de la Comisaría General de Información de Policía Nacional y de la propia empresa Red Eléctrica.

Según fuentes con conocimiento de estas pesquisas consultadas por El Independiente, determinar si un apagón como este ha sido un ataque externo es relativamente sencillo. Normalmente, se realiza un análisis técnico de los fallos que se han producido en el sistema cuando existe un ciberataque. Hay herramientas forenses que tienen las propias instituciones que son capaces de detectar cuándo un agente foráneo está tratando de hacer una incursión.

Se pueden obtener los registros a través los aparatos que están integrados en los sistemas y que tienen un "grado de certeza bastante alto". Se llaman registros de auditoría, indican dichas fuentes que prefieren no ser identificadas. Éstas devuelven todos los datos que se generan a lo largo del día: el número de personas que ha entrado, el volumen de entradas, la salida de datos, si la carga del procesador es normal o es extraña...

Todos estos detalles ayudan a saber si hay "elementos razonables" que inducen a pensar si ha habido ataques externos. Ahora bien, es mucho más fácil prevenir un ciberataque que analizarlo luego, indican.

Y quién ha sido

El problema, por tanto, no es detectar si se ha producido o no el ataque, sino, más bien, quién ha sido. Todos los consultados coinciden en que identificar la autoría de la agresión es misión casi imposible. "En ocasiones se llega a determinar porque el autor comete errores, pero esto también es un arma de doble filo", explican.

Por ejemplo, se puede presuponer que un ciberataque ha sido de Rusia si en el software que ha aparecido hay algunas palabras en ruso. Pero esto, según defienden, también se puede haber creado a propósito para confundir. Es lo que se llama un ataque de falsa bandera.

Tipos de ciberataques

Una de las razones por las que más se descarta la tesis del hackeo tiene que ver con el porqué. "Si lo que pretendía el ciberataque era tirar el sistema, lo ha conseguido", explica una voz. Pero pocos creen que esa fuera la intención de un agente externo un lunes cualquiera, quemando una bala muy valiosa que ahora puede ser estudiada por las Fuerzas de Seguridad españolas.

Según los consultados, los ataques que provienen de países potenciales agresores y que habitualmente lanzan este tipo de tecnología para hacer caer, por ejemplo, páginas webs de procesos electorales no buscan únicamente desestabilizar el sistema, sino también "meterse dentro para sacar cuanta más información sea posible".

Por eso, la motivación de una intrusión cibernética es importante y uno que busque almacenar información es de "los más terribles para la seguridad nacional". "No hay sangre, pero son gravísimos", dicen.

Normalmente, los grupos de hackers que no tienen detrás un Estado suelen buscar un beneficio económico. Las empresas están acostumbradas a ransomwares que cifran un ordenador para pedir un rescate por él. Estos generan un indudable perjuicio, si bien cuando la intención es otra, es penetrar dentro del sistema para aprender de él, el peligro se multiplica exponencialmente y es cuando entran las fuerzas de inteligencia. Ese es uno de los extremos que los especialistas tienen que descartar.

Un 'hackeo' complicado

Como vino contando este medio desde el mismo día del apagón, pocos defienden la posibilidad del ciberataque. "Lo veo complicado, no imposible, pero lo veo complicado", explica Carlos Galán Cordero, profesor de Derecho por la Universidad Autónoma de Madrid, Máster en Relaciones Internacionales y Comunicación por la Universidad Camilo José Cela (UCJC) y Experto en Ciberamenazas y Ciberinteligencia por la Universidad Pablo de Olavide (UPO).

"Al principio se rumoreaba que podía ser el grupo Noname ruso, que de forma constante está atacando a la Unión Europea", explica, pero luego nadie lo ha reivindicado. "Desde hace un tiempo Rusia intenta hacer ciberataques con la invasión a Ucrania y no lo consigue", refleja.

Galán cuenta que los servidores de infraestructuras críticas, como Red Eléctrica, suelen tener su propia red interna por lo que un ciberataque implicaría que no sólo han accedido a una red concreta, sino a la interna y esto dificulta todo mucho más. "Todas estas infraestructuras especiales tienen que cumplir el esquema nacional de Seguridad que es, básicamente, una metodología de análisis de riesgo que lo que hace es establecer ciertos condicionantes a ciertas entidades públicas para que estén protegidas", indica.

El juez José Luis Calama ha dado diez días a las instituciones concernidas para que envíen sus informes y a partir de entonces poder descartar la tesis del hackeo. Mientras, ha decretado secreto de sumario.