El sector energético concentró el 9% de los ciberataques dirigidos a operadores
esenciales en España durante 2024, reflejando su alta exposición como infraestructura
crítica, según análisis realizado por la x63 Unit de Cipher.
Santiago de Chile, 11 de junio de 2025 – Cipher, división de ciberseguridad del Grupo Prosegur, a
través de su unidad x63 Unit, ha detectado un aumento del 43% de los ciberataques realizados contra
operadores esenciales en España durante 2024. Este incremento afecta especialmente a
infraestructuras críticas del sector energético, que representan un 9% del total. La tendencia, que se
mantiene en lo que va de 2025, revela un crecimiento en amenazas orientadas al espionaje, sabotaje
y filtración de datos sensibles, reflejando la creciente sofisticación y persistencia de los atacantes.
En los primeros meses de 2025, el análisis de la x63 Unit confirma que varias empresas energéticas
españolas han sido blanco de campañas de ransomware, filtraciones y venta de información en foros
clandestinos. A nivel global, las tensiones geopolíticas han intensificado estas campañas contra
infraestructuras sensibles. Entre los actores destacados se encuentran Babuk2, con técnicas
tradicionales de infiltración; AgencyInt, especializado en la filtración masiva de datos personales; y
“crocs”, vinculado a la comercialización de información sensible, aunque sin evidencias claras de
ataques directos.
Santiago Anaya, Global Chief Technology Officer de Cipher, ha afirmado que, “más allá de las
implicaciones económicas o reputacionales, los ciberataques en el sector energético también
plantean riesgos potenciales para la seguridad física. Un incidente que afecte a los sistemas de
control industrial -como monitores de presión en refinerías, sistemas de seguridad en plantas
nucleares o controles automatizados en infraestructuras críticas- podría derivar en consecuencias
graves, incluyendo explosiones o liberaciones peligrosas”.
Radiografía de las amenazas: los principales tipos de ciberataques al sector energético
Los expertos de la x63 Unit de Cipher han elaborado un análisis de las principales amenazas que
afectan a las infraestructuras críticas, con el objetivo de ofrecer una visión actualizada y estructurada
del sector, a través de un seguimiento exhaustivo de campañas activas, actores relevantes y
vulnerabilidades emergentes.
Ciberespionaje: El ciberespionaje en el sector energético persigue la obtención encubierta de
información crítica, como planos de instalaciones, tecnologías propietarias o contratos
estratégicos. Estos ataques, generalmente impulsados por actores estatales o grupos APT,
tienen como fin adquirir ventaja geopolítica o económica, o preparar futuros sabotajes. En el
periodo 2024-2025 se ha registrado un aumento significativo de estas campañas, con especial
foco en entornos OT/SCADA. Entre los actores más relevantes destacan Volt Typhoon
(China), Berserk Bear/Dragonfly (Rusia), GRAPHITE (Europa del Este), Lazarus Group (Corea
del Norte) y APT33/Elfin (Irán), todos ellos con historial en operaciones dirigidas contra
infraestructuras críticas.
twitter.com/prosegur youtube.com/user/prosegur linkedin.com/company/prosegur
Sabotaje: El sabotaje cibernético en el sector energético busca interrumpir o dañar el
funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales como
SCADA, ICS o PLC. A diferencia del espionaje, estos ataques persiguen efectos destructivos y
requieren un alto nivel de sofisticación, propio de actores estatales. En 2025, la amenaza es
tangible, con antecedentes como los apagones en Ucrania (Sandworm), el intento de
desplegar Industroyer2, el malware FrostyGoop contra calefacción urbana, el ataque con
Triton a una planta petroquímica, y la detección de la peligrosa suite PIPEDREAM, diseñada
para comprometer infraestructuras energéticas a gran escala.
Vulnerabilidades críticas en sistemas OT (ICS/SCADA): Durante 2024 y 2025 se han
descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de
control industrial (ICS), afectando directamente la seguridad operativa de las infraestructuras
energéticas. Estos fallos, presentes tanto en software como en hardware, pueden ser
aprovechados para acceder a redes OT, interrumpir procesos o comprometer la integridad de
sistemas críticos. La digitalización del sector y la convergencia IT-OT han ampliado la
superficie de ataque, exigiendo una gestión proactiva de parches. Entre los casos más
relevantes destacan las 46 vulnerabilidades “SolarWonder” en inversores solares, el CVE-
2024-6407 en dispositivos Wiser Home de Schneider Electric, y varias fallas notificadas por
Siemens en su plataforma SCADA de telecontrol.
Malware destructivo: El uso de malware puramente destructivo se ha convertido en una
herramienta recurrente en conflictos geopolíticos, afectando de forma grave al sector
energético. Este tipo de software malicioso busca borrar datos, inutilizar sistemas o sabotear
operaciones críticas, con impactos que van desde la paralización de compañías hasta la
pérdida de control sobre infraestructuras. Casos emblemáticos incluyen Shamoon, que en
2012 borró 35.000 equipos de Saudi Aramco; NotPetya, un wiper disfrazado de ransomware
que causó estragos globales en 2017; y AcidRain, usado en 2022 para desactivar
remotamente miles de turbinas eólicas en Europa. También destacan KillDisk e Industroyer en
ataques a la red eléctrica ucraniana, así como el uso de malware como Fuxnet por grupos
hacktivistas para dañar dispositivos industriales.
Hacktivismo: El hacktivismo en el sector energético continúa en aumento durante 2025,
impulsado por motivaciones políticas, sociales e ideológicas. Grupos como Anonymous
llevaron a cabo operaciones de alto impacto, como el ataque a la filial alemana de Rosneft en
2022, extrayendo grandes volúmenes de información sensible. Paralelamente, colectivos
prorrusos como NoName057(16) han realizado campañas de denegación de servicio (DDoS)
contra infraestructuras críticas occidentales. En 2024, surgió el grupo “Mr. Hamza”, con
discursos hostiles hacia organizaciones internacionales. Asimismo, GhostSec demostró
capacidad para infiltrarse en sistemas SCADA iraníes, reflejando la creciente sofisticación de
ataques hacktivistas sobre redes industriales y OT.
Campañas de desinformación y ataques a la confianza pública: En 2025, las campañas
de desinformación dirigidas al sector energético se intensifican, buscando erosionar la
confianza pública en gobiernos y empresas. Destacan las operaciones rusas en Europa del
Este, orientadas a desacreditar los esfuerzos de diversificación energética tras la reducción de
dependencia del gas ruso. Paralelamente, en España y otros países europeos, circulan
rumores infundados sobre apagones masivos, generando alarma social. Además, ataques a la
twitter.com/prosegur youtube.com/user/prosegur linkedin.com/company/prosegur
reputación de proveedores energéticos mediante la difusión de documentos reales o falsos
socavan la credibilidad del sector.
Instrucciones de origen estatal
La x63 Unit de Cipher ha identificado que gran parte de las amenazas al sector energético provienen
de actores estatales o para-estatales, cuyo objetivo es el espionaje, sabotaje y control estratégico.
Rusia sigue siendo el principal agresor, con grupos veteranos como Sandworm y APT28 ampliando
sus ataques hacia Europa, además de nuevos subgrupos especializados en infraestructuras críticas.
El FSB también mantiene intrusiones persistentes en redes eléctricas occidentales, muchas veces
detectadas tras largos períodos ocultos.
China, Irán y Corea del Norte también han intensificado su actividad en el sector. Destacan el grupo
chino Volt Typhoon, activo desde 2023, y los iraníes APT34 y CyberAvengers, con campañas
globales contra infraestructuras críticas. Corea del Norte opera con Lazarus y Kimsuky, centrados en
información energética y nuclear. Además, se alerta sobre actores mercenarios que desarrollan
malware a medida para gobiernos, complicando la atribución y aumentando los riesgos en la cadena
de suministro energética.
Recomendaciones de la x63 Unit
En 2025, el sector energético sigue siendo uno de los principales blancos de la amenaza cibernética
global, con el ransomware como vector destacado, pero no exclusivo. Las intrusiones estatales,
campañas de desinformación y ataques a sistemas OT subrayan la complejidad del panorama actual.
Desde la x63 Unit de Cipher se recomienda adoptar una estrategia integral que combine detección
temprana, higiene de seguridad, segmentación entre entornos IT y OT, y una cooperación constante
con las autoridades competentes. La resiliencia digital debe consolidarse como un pilar tan crítico
como la infraestructura física, garantizando así la continuidad de un servicio esencial que no puede
permitirse interrupciones.
Fuente: Llyc.