El apagón del pasado mes de abril no estuvo causado por un ciberataque, pero puso de manifiesto la importancia de proteger de nuevas amenazas a los elementos más estructurales, desde redes eléctricas y de telecomunicaciones a hospitales o aeropuertos.
El pasado 28 de abril, un fallo en el sistema eléctrico dejó sin luz a miles de hogares españoles durante varias horas. Las causas están aún por dilucidar entre Red Eléctrica Española y las empresas energéticas, pero en los primeros momentos, muchos se preguntaron si España acababa de sufrir su primer gran ciberataque contra una infraestructura crítica.
El Gobierno llegó a investigarla brevemente y, aunque finalmente se descartó esta hipótesis, la sospecha inicial no era infundada: vivimos en una época donde la guerra cibernética se ha convertido en una amenaza real y constante para los servicios esenciales de cualquier país.
El proceso de digitalización conlleva una dependencia creciente del funcionamiento de los sistemas de información y comunicaciones para todo tipo de actividades
La pregunta que quedó flotando en el aire tras aquel apagón sigue siendo pertinente: ¿están nuestras infraestructuras críticas preparadas para defenderse de los ciberataques? ¿Contamos con las herramientas necesarias para proteger la red eléctrica, los sistemas de transporte, las redes de agua o los servicios sanitarios? Y, sobre todo, ¿cómo está cambiando el panorama de amenazas con la llegada de la inteligencia artificial generativa?
"El proceso de digitalización conlleva, en general para las empresas y las personas, una dependencia creciente del funcionamiento de los sistemas de información y comunicaciones para todo tipo de actividades", explica a SINC Maite Arcos, directora de la Fundación ESYS, un centro de estudios centrando en la ciberseguridad. "Lo hemos visto durante el reciente apagón eléctrico: si no hay electricidad, no funcionan las telecomunicaciones ni la informática y eso provoca la paralización de trenes, gasolineras, nuestros móviles..."
Para entender la magnitud del reto, es necesario partir de una realidad: las infraestructuras críticas de hoy no tienen nada que ver con las de hace dos décadas. "Antes del 2000, la mayor parte de ellas estaban desconectadas", explica a SINC Juanjo Martínez Pagán, fundador de ThousandGuards y Premio de Ciberseguridad de la Asociación de Ingenieros de Telecomunicación de Madrid. "Si tu infraestructura estaba desconectada, los riesgos de seguridad eran mucho más pequeños. Los hackers rusos, chinos o coreanos no podrían tener acceso nunca".
Esa situación ha cambiado radicalmente. La digitalización ha sido imparable y necesaria: "Hoy en día, el sistema que está operando cualquier cosa —la maquinaria de una fábrica, de una presa, de unos generadores de energía eólica— tiene que estar conectado porque sin estar conectado no se puede gestionar", añade Martínez Pagán. Pero esta conectividad esencial ha multiplicado exponencialmente los riesgos.
Agustín Valencia, responsable de Desarrollo de Negocio en la empresa de ciberseguridad Fortinet, confirma esta evolución: "La digitalización ha ampliado la superficie de ataque: la convergencia entre los entornos IT y OT, el uso de redes 5G, el acceso remoto de proveedores externos o la adopción de soluciones en la nube han roto el aislamiento tradicional de los sistemas industriales, multiplicando los puntos de entrada para posibles intrusiones", indica a SINC.
Los números respaldan esta preocupación. Según el Informe 2024 de la empresa sobre el estado de la tecnología operativa y la ciberseguridad, tres cuartas partes (73 %) de las organizaciones han experimentado una intrusión que afectó a sus sistemas, frente al 49 % registrado en 2023.
Los riesgos actuales van mucho más allá de los ataques tradicionales. Pablo F. Iglesias, CEO de la consultora CyberBrainers, es tajante en su diagnóstico: "Las infraestructuras críticas están más expuestas que nunca. Antes bastaba con proteger el perímetro, pero hoy hablamos de entornos hiperconectados donde un fallo en una sola máquina puede propagarse en cadena", dice.
Entre las amenazas más preocupantes destacan las APT (advanced persistent threats o amenazas persistentes avanzadas) impulsadas desde otros países, el ransomware como servicio, y los ataques de denegación de servicio. "También encontramos accesos comprometidos vendidos en la dark web y, cada vez más, sabotajes con motivaciones ideológicas o económicas", enumera Iglesias.
Valencia añade una dimensión geopolítica al análisis: "Están aumentando los ataques impulsados por tensiones geopolíticas, en los que actores maliciosos —incluidos grupos patrocinados por estados— ponen a prueba las defensas de infraestructuras críticas como parte de estrategias de intimidación o desestabilización".
Un problema particular de estas infraestructuras es su dependencia de sistemas heredados. "Muchas infraestructuras siguen funcionando con sistemas heredados, diseñados en un momento en el que la ciberseguridad no era una prioridad", explica Valencia. "Lo normal es que funcionen en redes planas, donde la conexión de un dispositivo infectado puede extender el malware a todos los sistemas conectados."
Alberto Alonso, de Axis Communications, destaca otro aspecto crítico: "La exposición de dispositivos IoT y sistemas SCADA. Teniendo en cuenta la proliferación de dispositivos conectados y sistemas de control industrial, las infraestructuras se exponen a nuevas superficies de ataque, especialmente si no se implementan medidas de seguridad robustas."
La respuesta institucional está, en principio, a la altura del desafío. España y la Unión Europea han desarrollado un marco normativo ambicioso para proteger las infraestructuras críticas. La directiva NIS2, que está siendo transpuesta a la legislación española, establece controles obligatorios para las estructuras esenciales de un país, como la red eléctrica o los sistemas de transporte.
"La NIS2 es la nueva normativa europea y lo primero que contempla son las infraestructuras críticas", explica Martínez Pagán. "Para estas empresas u organizaciones, todo lo que establece la NIS2 como controles es obligatorio. Y además, la ley define como responsables legales en caso de omisión a los administradores de esas sociedades".
Sin embargo, no todas las organizaciones lo adoptan como deberían. "NIS 2 y DORA han establecido estándares mínimos obligatorios para fortalecer la postura defensiva de las organizaciones", dice Víctor Parrado, CISO de GlobalSuite Solutions. "No obstante, la realidad muestra que más de la mitad de las organizaciones aún no dispone de modelos sólidos para la gestión del riesgo operacional ni de ciberresiliencia efectiva, según el último informe de CISA", la agencia estadounidense para la ciberseguridad de las infraestructuras.
El marco regulatorio se complementa con organismos especializados como el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y el Instituto Nacional de Ciberseguridad (INCIBE), que coordinan las estrategias de protección nacional.
Desde el punto de vista tecnológico, también existen herramientas avanzadas para la protección. "Tenemos herramientas de detección temprana, segmentación de redes, honeypots o modelos de comportamiento basados en IA", enumera Iglesias. Valencia añade soluciones específicas como "acceso remoto seguro, microsegmentación de redes planas y 'virtual patching' para proteger sistemas sin necesidad de detener la producción".
Sin embargo, los expertos coinciden en que la tecnología por sí sola no es suficiente. "Lo que falta muchas veces es voluntad, formación y presupuesto", señala Iglesias. "La ciberseguridad sigue viéndose como un gasto, no como una inversión, y eso es un error estratégico".
El factor humano emerge como una vulnerabilidad crítica. "Un empleado mal formado o un proveedor externo mal gestionado pueden abrir la puerta al atacante sin querer", advierte Iglesias. Esta preocupación es especialmente relevante en un contexto donde los ataques de ingeniería social se están volviendo más sofisticados gracias a la inteligencia artificial.
La irrupción de la IA generativa ha transformado radicalmente el panorama de amenazas. Los expertos consultados coinciden en que esta tecnología está siendo utilizada tanto por atacantes como por defensores, convirtiéndose en un arma de doble filo.
Por un lado, como indica Arcos, "la IA potencia la capacidad para analizar datos masivos, detectar comportamientos anómalos en tiempo real y predecir amenazas, lo que revoluciona la defensa digital". Para la directora de la Fundación ESYS, "según datos de Palo Alto Networks esto puede suponer que el 92 % de incidentes comunes se solucionan sin intervención humana, lo cual es un ahorro y una mejora significativos".
"La IA generativa ha facilitado mucho el trabajo a los atacantes", explica Iglesias. "Hoy cualquier grupo con recursos moderados puede automatizar la creación de malware personalizado, diseñar campañas de phishing hiperrealistas, generar documentos técnicos falsificados o incluso simular voces y vídeos para engañar a personal de operaciones".
Los datos respaldan esta preocupación. Según el último (2025) Informe de Ciberseguridad global del World Economic Forum, casi el 47 % de las organizaciones destacaron que los avances de los cibercriminales se vieron impulsados por la IA generativa. En 2024 se produjo un fuerte aumento de los ataques de phishing e ingeniería social, con un 42 % de las organizaciones reportando este tipo de incidentes.
"Herramientas como WormGPT han elevado las amenazas de phishing, generando mensajes personalizados que imitan a personas reales", indica a SINC Andrés Mendoza, director técnico en ManageEngine, un gestor de soluciones IT para empresas. "También facilitan la creación de malware inteligente que se adapta dinámicamente al entorno de destino, lo que dificulta su detección".
Vanesa Díaz, CEO de LuxQuanta, una spinoff surgida del Instituto de Ciencias Fotónicas (ICFO) de Barcelona, profundiza en esta problemática: "La IA ha incrementado la sofisticación de los ataques por ingeniería social, especialmente el phishing. Gracias a modelos de lenguaje avanzados, es posible generar mensajes altamente personalizados, prácticamente indistinguibles de los creados por humanos".
Un ejemplo concreto ilustra esta vulnerabilidad. Martínez Pagán relata cómo "compañeros de ciberseguridad han hecho pruebas de preguntarle al Copilot de su empresa por documentos a los que ellos no deberían tener acceso", en referencia al asistente IA de Microsoft que emplean muchas compañías. "Y el Copilot les ha respondido". Este problema ha dado lugar a soluciones innovadoras como la desarrollada por la startup española ArexData, que "hace un análisis de todos los datos que hay en la empresa y elabora una clasificación automática de esos datos para determinar dónde hay datos sensibles y dónde no".
Pero la IA generativa no es la única tecnología disruptiva que preocupa a los expertos. Díaz introduce una dimensión futurista pero ya presente en las estrategias de ciberseguridad: la computación cuántica. "La computación cuántica representa un salto radical en la forma de procesar la información", explica. "En un futuro próximo, algoritmos cuánticos podrían romper los sistemas criptográficos tradicionales sobre los que se sustenta la confidencialidad de las comunicaciones digitales".
Aunque las capacidades cuánticas todavía no se han materializado a escala práctica, los atacantes ya se están preparando. "Una prueba de ello es la adopción del enfoque conocido como Harvest Now, Decrypt Later, es decir, interceptar y almacenar hoy comunicaciones cifradas con la previsión de poder descifrarlas en el futuro", advierte la CEO de LuxQuanta.
La respuesta a esta amenaza futura requiere actuar en el presente. "Las infraestructuras críticas deben avanzar hacia modelos de comunicaciones cuánticamente seguras, capaces de resistir tanto los ataques actuales como los que traerá la próxima revolución tecnológica", recomienda.
Las infraestructuras críticas deben avanzar hacia modelos de comunicaciones cuánticamente seguras
En este contexto de amenazas crecientes, las startups especializadas en ciberseguridad tienen un papel crucial. "La innovación normalmente se delega más en startups que luego esas empresas grandes seguramente acabarán comprando", explica Martínez Pagán. "Cuando está incipiente la tecnología, solo se puede gestionar desde una startup porque tiene mucha más flexibilidad".
El ecosistema español de startups de ciberseguridad está respondiendo a estos desafíos. "Afortunadamente, en España hay mucho ingenio", señala Martínez Pagán, quien destaca el papel de profesionales como los ingenieros de telecomunicación que "tienen una visión holística de toda la parte tecnológica, que comprende desde el hardware hasta el software."
Un aspecto que a menudo se pasa por alto en las discusiones sobre ciberseguridad es la convergencia entre seguridad física y digital. Ignacio González, director de BauWatch en España, aporta a SINC una perspectiva complementaria: "A medida que las infraestructuras se vuelven más interconectadas, la línea entre las vulnerabilidades físicas y digitales se está desdibujando".
González observa "un aumento significativo en los intentos de intrusión, robos y actos de vandalismo en los últimos años, especialmente en emplazamientos energéticos y de construcción remotos". Lo más preocupante es "el creciente nivel de coordinación detrás de estos sucesos, lo que sugiere esfuerzos más organizados, a veces con conocimiento interno."
Mirando hacia el futuro, los expertos coinciden en que la ciberseguridad de las infraestructuras críticas requerirá un enfoque multidisciplinario y adaptativo. "No basta con tener 'armas', si no se sabe cómo utilizarlas coordinadamente o si se aplican demasiado tarde", resume Valencia.
La integración de nuevas tecnologías como la IA y la preparación para amenazas futuras como la computación cuántica requieren una visión estratégica. "Los planes estratégicos de protección de infraestructuras críticas deben contemplar el carácter multifactorial y convergente de las amenazas actuales", aconseja Díaz.
El sector privado seguirá siendo clave en la innovación. "Esto es un ciclo continuo: más tecnología, más ciberseguridad para proteger esa tecnología", explica Martínez Pagán. "La industria de la ciberseguridad no solamente no se estanca, sino que aumenta sin parar.
El apagón de abril fue debido a motivos ajenos a un ciberataque, pero sirvió como un recordatorio de nuestra vulnerabilidad y dependencia de las infraestructuras críticas. La pregunta no es si España sufrirá un ataque de este tipo contra sus infraestructuras críticas, sino cuándo y si estaremos preparados.
La respuesta a esta pregunta no es unívoca. Tecnológicamente, España cuenta con herramientas avanzadas y un marco normativo robusto. El talento y la innovación del sector nacional de ciberseguridad están a la altura de los desafíos. Sin embargo, la efectividad de estas defensas dependerá de la voluntad política, la inversión sostenida, la coordinación entre sectores y, sobre todo, de la capacidad de adaptación a un entorno de amenazas en constante evolución.
"Estamos a tiempo de proteger los sistemas neurálgicos que sustentan nuestras sociedades", dice Díaz. "Y con ello, de garantizar no solo la seguridad de nuestras infraestructuras, sino también la tranquilidad y seguridad de los ciudadanos en esta nueva era".
Los ataques informáticos pueden poner en jaque la supervivencia de muchas empresas. La preparación ante estas amenazas no solo requiere tecnología, sino también una cultura organizativa orientada a la prevención y la recuperación. La iniciativa España Digital 2026 busca reducir la brecha de exposición al riesgo.
Fue la primera jefa de la Oficina de Ciberseguridad y Lucha contra la Desinformación del departamento de Seguridad Nacional de España cuando se creó en 2019. Ahora, habla de la importancia de la ciberseguridad tanto en la vida cotidiana como a escala nacional y europea.
