Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ciber-sabotaje en el sector energético europeo

Fecha de publicación 09/02/2026
Autor
INCIBE (INCIBE)

La resiliencia del sector energético no se mide solo en términos de capacidad de suministro, es importante también la capacidad de mantener el control y recuperarse ante ataques deliberados.

El pasado 30 de enero, el CERT de Polonia publicó un informe de análisis del ciberincidente al que tuvieron que hacer frente diferentes entidades relacionadas con el sector energético del país, durante el pasado 29 de diciembre de 2025. 

El propio CERT ha querido destacar que la publicación de dicho informe de análisis ha tenido como objetivo comprender mejor el desarrollo de los acontecimientos y las técnicas empleadas por el atacante. 

Estos ataques reportados representan, sin duda alguna, una escalada significativa en comparación con los ciberincidentes que hemos observado hasta la fecha. El objetivo del atacante estaba claramente dirigido a un sabotaje operativo, no la extorsión económica.

¿QUÉ OCURRIÓ REALMENTE?

Los ciberincidentes de este nivel de criticidad suelen siempre ocurrir cuando fallan varias capas de ciberseguridad simultáneamente. Desafortunadamente, este ha sido también el motivante. 

Sin ánimo de ser exhaustivos, algunos de los puntos clave para entender el alcance del mismo, han sido:

  • Acceso inicial a través de dispositivos perimetrales expuestos (VPN/firewall).
  • Uso de credenciales locales reutilizadas o configuradas por defecto, sin múltiple factor de autenticación.
  • Movimiento lateral hacia entornos tanto operacionales como de tecnologías de la información.
  • Daños deliberados en:
    • RTU (Remote Terminal Unit) y controladores industriales.
    • HMI (Human-Machine Interface) y sistemas de supervisión,
    • Dispositivos de comunicaciones basados en tecnologías de operación.
  • Ejecución de malware diseñado específicamente para destruir datos y dificultar la recuperación.

IMPACTO OBSERVADO

El impacto observado ha sido principalmente la pérdida de control remoto del equipamiento desplegado en instalaciones energéticas. Esto ha conllevado la penalización de los trabajos de operación. No obstante se ha observado que no ha habido interrupción inmediata del suministro.

POR QUÉ ES RELEVANTE

Este incidente demuestra que:

  • No es necesario un malfuncionamiento crítico del sistema, como puede ser un block-out (apagón), para generar impacto a nivel estratégico.
  • Los sistemas basados en tecnologías de operación pueden ser objetivo directo, no colateral.
  • Por último, destacar que deficiencias básicas en ciberseguridad,  pueden habilitar ataques de alto impacto.

El escenario, por otro lado, es replicable en otros entornos energéticos europeos.

RECOMENDACIONES INMEDIATAS

Las organizaciones del sector energético deberían revisar con urgencia lo siguiente:

  • El nivel de exposición de accesos remotos a sus sistemas y dispositivos perimetrales.
  • Uso de MFA (autenticación multifactor) en todos los accesos críticos.
  • Eliminación de credenciales de acceso que se configuran por defecto en los sistemas o aquellas credenciales compartidas.
  • Trabajar en mejorar las capacidades de operar de forma segura sin supervisión remota.
  • Existencia de planes de recuperación ante daño deliberado de activos basados en tecnologías de operación.

Por último, destacar que las organizaciones debieran de valorar la integración de escenarios de sabotaje en sus análisis de riesgo, o revisar, si ya se está trabajando, su probabilidad de ocurrencia.

 

Etiquetas