ES-ISAC Energía

La resiliencia del sector energético no se mide solo en términos de capacidad de suministro, es importante también la capacidad de mantener el control y recuperarse ante ataques deliberados.

El pasado 30 de enero, el CERT de Polonia publicó un informe de análisis del ciberincidente al que tuvieron que hacer frente diferentes entidades relacionadas con el sector energético del país, durante el pasado 29 de diciembre de 2025. 

El propio CERT ha querido destacar que la publicación de dicho informe de análisis ha tenido como objetivo comprender mejor el desarrollo de los acontecimientos y las técnicas empleadas por el atacante. 

Estos ataques reportados representan, sin duda alguna, una escalada significativa en comparación con los ciberincidentes que hemos observado hasta la fecha. El objetivo del atacante estaba claramente dirigido a un sabotaje operativo, no la extorsión económica.

¿QUÉ OCURRIÓ REALMENTE?

Los ciberincidentes de este nivel de criticidad suelen siempre ocurrir cuando fallan varias capas de ciberseguridad simultáneamente. Desafortunadamente, este ha sido también el motivante. 

Sin ánimo de ser exhaustivos, algunos de los puntos clave para entender el alcance del mismo, han sido:

• Acceso inicial a través de dispositivos perimetrales expuestos (VPN/firewall).
• Uso de credenciales locales reutilizadas o configuradas por defecto, sin múltiple factor de autenticación.
• Movimiento lateral hacia entornos tanto operacionales como de tecnologías de la información.
• Daños deliberados en:
  • RTU (Remote Terminal Unit) y controladores industriales.
  • HMI (Human-Machine Interface) y sistemas de supervisión,
  • Dispositivos de comunicaciones basados en tecnologías de operación.
• Ejecución de malware diseñado específicamente para destruir datos y dificultar la recuperación.

IMPACTO OBSERVADO

El impacto observado ha sido principalmente la pérdida de control remoto del equipamiento desplegado en instalaciones energéticas. Esto ha conllevado la penalización de los trabajos de operación. No obstante se ha observado que no ha habido interrupción inmediata del suministro.

POR QUÉ ES RELEVANTE

Este incidente demuestra que:

• No es necesario un malfuncionamiento crítico del sistema, como puede ser un block-out (apagón), para generar impacto a nivel estratégico.
• Los sistemas basados en tecnologías de operación pueden ser objetivo directo, no colateral.
• Por último, destacar que deficiencias básicas en ciberseguridad,  pueden habilitar ataques de alto impacto.

El escenario, por otro lado, es replicable en otros entornos energéticos europeos.

RECOMENDACIONES INMEDIATAS

Las organizaciones del sector energético deberían revisar con urgencia lo siguiente:

• El nivel de exposición de accesos remotos a sus sistemas y dispositivos perimetrales.
• Uso de MFA (autenticación multifactor) en todos los accesos críticos.
• Eliminación de credenciales de acceso que se configuran por defecto en los sistemas o aquellas credenciales compartidas.
• Trabajar en mejorar las capacidades de operar de forma segura sin supervisión remota.
• Existencia de planes de recuperación ante daño deliberado de activos basados en tecnologías de operación.

Por último, destacar que las organizaciones debieran de valorar la integración de escenarios de sabotaje en sus análisis de riesgo, o revisar, si ya se está trabajando, su probabilidad de ocurrencia.

La Directiva NIS2 (Directiva (UE) 2022/2555) establece que la formación en ciberseguridad ha de ser uno de los pilares fundamentales tanto para la gobernanza corporativa como para la gestión operativa de riesgos. Es importante recordar que los sujetos obligados debieran cumplir con los siguientes requisitos específicos que menciona la propia norma: 

• Formación para los miembros de Órganos de Dirección (Art. 20.2)

  Introduce una responsabilidad directa y personal para los directivos. En concreto menciona que será obligatorio que los miembros de los órganos de dirección sigan una formación periódica para adquirir conocimientos suficientes que les permitan identificar riesgos y evaluar las prácticas de gestión de ciberseguridad. 

• Formación para Empleados y Ciberhigiene (Art. 21.2.g)

  Dentro de las medidas mínimas de gestión de riesgos, la directiva menciona la realización de prácticas básicas de ciberhigiene y formación en ciberseguridad. 

FORMACIÓN CIBERSEGURIDAD

La formación en ciberseguridad debe pues, llegar a todos los empleados ya que la ciberresiliencia depende de todos y cada uno de los niveles de una organización.

La Fundación Ciudad de la Energía (CIUDEN), el Instituto Nacional de Ciberseguridad (INCIBE) y la Universidad Nacional de Educación a Distancia (UNED) celebraron el miércoles, 21 de enero, un ejercicio avanzado de simulación de cibercrisis en infraestructuras energéticas en el nuevo Laboratorio de Ciberseguridad de CIUDEN, ubicado en sus instalaciones de Cubillos. 

La actividad contó con participación tanto presencial como en remoto.
Aquellos interesados de las entidades que constituyen el ES-ISAC Energía han podido participar en esta acción formativa, donde se han llevado a cabo dos tipos de ejercicios dirigidos al sector:

TABLE-TOP

Este ejercicio buscaba entrenar a profesionales del sector en la gestión de incidentes complejos que afectan a infraestructuras críticas. 
En este tipo de situaciones, se ven comprometidas de forma simultánea la seguridad digital, la operación industrial, la comunicación corporativa y la toma de decisiones estratégicas. 
Este entrenamiento estaba muy orientado a los miembros de Órganos de Dirección de las empresas, poniendo el foco en la toma de decisiones bajo presión, con información incompleta y consecuencias claras, reflejando fielmente los retos a los que se enfrentan las organizaciones del sector energético ante un incidente grave de ciberseguridad. 
Asimismo, se incorporó el uso de tecnologías emergentes como inteligencia artificial y deepfakes, así como la gestión de la comunicación y el cumplimiento normativo en contextos de alta exposición pública.

CTF (Capture the Flag)

En el caso del CTF, se trató de un ejercicio de entrenamiento con 11 retos de dificultad progresiva, pensados para que tanto perfiles en crecimiento como expertos consolidados encontraran su espacio y pudieran avanzar a su propio ritmo. 
El recorrido comenzó en una zona perimetral pública, desde la cual los participantes debieron identificar vectores de acceso, escalar privilegios y pivotar progresivamente hacia el Sistema de Control Industrial (ICS), enfrentándose finalmente a componentes OT reales.
 

2025 será siempre recordado como el año donde el sector energético nacional ha tenido que enfrentarse a una interrupción global sin precedentes de suministro eléctrico. El “apagón” del 28 de abril ha evidenciado la importancia de estar preparados ante un evento que provoque un malfuncionamiento del sistema, independientemente de la naturaleza del mismo.
Aunque se ha descartado que la naturaleza del incidente fuera un ciberataque, facilitar una respuesta más rápida y coordinada frente a ciberincidentes que puedan suponer un impacto relevante en el sector, da si cabe más sentido al trabajo que se puede aportar desde el ES-ISAC Energía.
El pasado 16 de diciembre de 2025 se ha llevado a cabo la segunda reunión de la Comisión de Seguimiento del ES-ISAC Energía. Esta Comisión ha revisado el nivel de consecución de los objetivos e indicadores diseñados para este año. Algunos de los avances logrados durante el presente año fueron los siguientes.

DIVULGACIÓN DEL ES-ISAC ENERGÍA

Buena acogida por parte de las entidades de los sectores energía e industria nuclear al seminario, celebrado el 17 de julio de 2025, donde se daba a conocer la motivación, contenido y expectativas del ES-ISAC Energía al sector. 
Participaron, además de representantes de INCIBE, representantes del resto de entidades fundacionales:

• AEE (Asociación Empresarial Eólica)

• APPA Renovables (Asociación de Empresas de Energías Renovables)

• FORO NUCLEAR (Foro de la Industria Nuclear Española)

• SEDIGAS (Asociación Española del Gas)

• UDEF (La Unión Española Fotovoltaica)

Estas entidades fueron las encargadas de introducir el evento, haciendo una primera valoración de esta iniciativa ante sus propios asociados. 
Con la intención de reforzar los trabajos de divulgación, también se ha creado durante este año un espacio público donde se irá difundiendo los avances del ES-ISAC Energía, en aquellos supuestos que el nivel de sensibilidad de la información a compartir así lo permita. 

FORMACIÓN Y ACCESO A ICARO

La importancia de fomentar la compartición de ciberamenazas viene reflejado en diferentes regulaciones que afectan al sector energía. Algunas de ellas son:

• Directiva NIS2 (Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión). Esta directiva establece un marco general de ciberseguridad para infraestructuras energéticas, que los códigos de red sectoriales complementan con normas específicas.

• Reglamento Delegado (UE) 2024/1366 (Código de Red sobre Ciberseguridad o NCCS). Este es el primer código de red sectorial que establece normas vinculantes sobre ciberseguridad para los flujos transfronterizos de electricidad.

ES-ISAC Energía, a través de INCIBE-CERT, ha puesto a lo largo de este año a disposición del sector una herramienta específica para poder compartir y recibir información de indicadores de compromiso denominada ICARO. En concreto, ha ofrecido a aquellas entidades del ES-ISAC Energía interesadas, un seminario dirigido a conocer el detalle de la herramienta, así como las instrucciones necesarias para poder adherirse al servicio.
ICARO es un servicio de INCIBE basado en MISP (Malware Information Sharing Platform). Este servicio sirve como herramienta preventiva para evitar ciberataques, compartiendo información sobre posibles amenazas y vulnerabilidades. Los miembros de ES-ISAC Energía pueden utilizar ICARO para:

• Acceso a información avanzada sobre amenazas en el entorno próximo.

• Compartición anonimizada de eventos para proteger la identidad de las fuentes.

• Integración flexible: acceso vía navegador o despliegue en servidores propios.

INFORME DE SITUACIÓN, EDICIÓN 2024

Disponer de un conocimiento detallado y periódico de la situación del sector, en un contexto de ciberseguridad, es imprescindible para poder avanzar en el resto de líneas planificadas dentro del ES-ISAC Energía. Durante este año se ha elaborado el primer informe de situación de ciberseguridad del sector. 
Este informe ha proporcionado una visión clara de aspectos que consideramos clave desde un punto de vista de ciberseguridad como son vulnerabilidades relevantes de las tecnologías utilizadas por el sector, ciberincidentes de cierto impacto, ciberamenazas que han impactado en el sector, buenas prácticas, cumplimiento normativo y tendencias en ciberseguridad.

CASOS DE ÉXITO DE CIBERSEGURIDAD PARA EL SECTOR

Poner en común experiencias en ciberseguridad que puedan ayudar al resto de entidades del sector es una línea de trabajo que se ha explorado también con éxito durante el presente año. 
Se persigue con esta línea exponer cómo alguna entidad ha resuelto un reto o problema de ciberseguridad, conocer soluciones de ciberseguridad específicas para nuestro sector, o simplemente debatir sobre algunos de los retos a los que nos estamos enfrentando a la hora de proteger nuestras infraestructuras energéticas.
Como ejemplo de los seminarios llevados a cabo, y que han suscitado bastante interés por las entidades asociadas, han sido: 

• La explicación de una iniciativa basada en el despliegue de sistemas señuelo que representan fielmente procesos críticos utlizados en el sector energético. Su propósito es detectar y analizar ataques cibernéticos a partir de su exposición en internet. 

• Por otro lado, también causó bastante interés la explicación de otro proyecto basado en la generación y despliegue de algoritmos de inteligencia artificial explicable para automatizar la detección, clasificación y respuesta a eventos de ciberseguridad en entornos de generación de energía.

CIBERINCIDENTES 

Dentro de la temática específica de ciberincidentes se ha estado trabajando en otras dos líneas, una de ellas dirigida a sintetizar acciones críticas que las empresas del sector debieran de tener en mente durante las fases de más estrés de un ciberincidente.
También se ha estado trabajando en posibles flujos de colaboración y compartición de información dentro del ES-ISAC Energía, ante posibles incidentes de impacto relevante. 
Estos trabajos ya avanzados, deberán no obstante ser revisados una vez se complete la transposición de la Directiva NIS2 a nuestro ordenamiento jurídico, ya que la gestión de ciberincidentes es uno de los temas importantes abordados por dicha transposición.