Este 'hacker' mostró cómo causar un apagón con un ciberataque. Ahora explica qué nos espera

A Rubén Santamarta el apagón masivo del 28 de abril le pilló con las 'manos en la masa'. "Justo estaba escribiendo una newsletter sobre seguridad nuclear cuando se fue la luz", dice con sorna. No se enteraría hasta un rato después que toda España y Portugal se habían ido a negro. "Vivo en un pequeño pueblo de montaña, no es inusual que se vaya la luz, así que pensé que no sería nada. Pero cuando vi que era generalizado, empecé a pensar que podía ser grave", explica en una entrevista con El Confidencial. Si alguien como Santamarta, uno de los hackers españoles más prestigiosos en ingeniería inversa a nivel internacional y tal vez el que mejor conoce el funcionamiento del sector eléctrico español, usa la palabra grave, es que podemos echarnos a temblar.

Este leonés, que prefiere no confirmar su edad ni el lugar donde vive, "son detalles personales que pueden facilitar cosas...", demostró hace ya 14 años cómo es posible tumbar el sistema eléctrico de un país con un ciberataque a ciertos puntos de su infraestructura. Nadie le hizo mucho caso entonces. Nadie, salvo Rusia. Cuatro años después, en el 2015, Putin dejó sin luz a Ucrania con un ciberataque masivo siguiendo casi paso por paso el método descrito por Santamarta.

Pese a que es posible técnicamente, Rubén ha sido uno de los primeros especialistas en descartar un ciberataque como posible explicación de lo ocurrido en nuestro país hace dos semanas. "En base a las investigaciones que he hecho durante todos estos años, mi conclusión era que era muy improbable que esto se tratara de un ciberataque. Si lo fuera, las implicaciones del mismo serían terroríficas. Estaríamos hablando de una situación inédita en Europa", señala a este diario.

TE PUEDE INTERESAR

Las baterías que habrían evitado el apagón masivo, y que España no acaba de instalar

Manuel Ángel Méndez

Santamarta, que al día siguiente del apagón alertó al Incibe de que había una "cantidad considerable de plantas de generación fotovoltaicas expuestas a internet y vulnerables", lleva analizando semana a semana (entrega 1, 2 y 3) la nueva información disponible sobre lo ocurrido durante el apagón. Explica que aún quedan meses por delante para dilucidar cuál fue el evento inicial que causó la pérdida de 15 gigavatios (GW) de generación en solo 5 segundos. Eso sigue siendo un misterio, aunque hay algo cada vez más evidente: Rusia no está detrás. Sin embargo, dado el tablero geopolítico actual, nadie pone la mano en el fuego de que no pueda estarlo en el futuro. "Si tuviéramos como adversario a Rusia, porque por algún motivo en unos años quisiera atacarnos a toda costa… bueno [risas]. Digamos que va a ser complicado defendernos en el ámbito ciber, aunque creo que de alguna forma sí estamos preparados".

PREGUNTA. ¿Qué se te pasó por la cabeza durante los primeros instantes del apagón?

RESPUESTA. Al principio no le di mucha importancia. Al rato, me escribió mi hermana y me dijo. “¿Has visto lo del apagón?”, y yo, "¿qué apagón?". Entonces ya empecé a ver qué ocurría. Al poco tiempo las líneas comenzaron a fallar. Lo último que vi es que era un apagón que se estaba extendiendo a toda Europa. Ahí ya se fue todo a negro. Me quedé pensando que era una situación grave. Salí a la calle pero nadie sabía nada. Así que esperé a ver qué pasaba.

P. ¿Te pilló también sin radio?

R. Sí, solo tenía un SDR, un aparato de audio digital para escanear frecuencias, uno que se llama HackRF. Lo usé para escuchar la radio, así me pude enterar de lo que estaba pasando.

P. Cuando supiste que era un apagón a nivel nacional, ¿pensaste eso de "aquí llega el gran ciberataque...”?

R. Me rondaba la cabeza todo el rato, pero no lo veía muy factible. Lo que sí me hizo empezar a plantearme las cosas fue la primera rueda de prensa de Pedro Sánchez, donde explicó esa caída brutal de generación, 15 GW en 5 segundos. La manera en la que lo expresó, describiéndolo como algo no habitual, que de hecho lo es, me cambió un poco el chip y me condujo a plantearme qué podría haber pasado y si podría ser un ciberataque.

P. La opción del ciberataque te chirriaba desde el inicio. ¿Por qué?

R. El problema del ciberataque es que, para que se produzca, tiene que haber un ciberatacante, alguien detrás. Estaríamos hablando de un ataque muy específico que ha llevado a España al cero absoluto. Eso no es fácil de conseguir. Si alguien lo quiere lograr, tiene que tener una motivación muy importante detrás. La única potencia actual en temas ciber, y que pudiera tener esa motivación en un futuro, y con muchas comillas, sería Rusia. Sin embargo, dado el momento actual, con los frentes que tienen abiertos, ¿tendría sentido un ataque de esta clase contra Europa? Cuando me planteaba esta posibilidad, no lo focalizaba solo en España, no tenemos una situación de confrontación con Rusia al nivel de otros países en Europa. Pensaba más en términos de un ataque a Europa, empezarlo en la red en España y extenderlo al resto del Continente. Esa era una opción. El problema es que España tampoco tiene una interconexión con el resto de sistemas circundantes demasiado amplia o inmediata como para empezar en España ese ataque. Había cosas que ya no cuadraban desde el inicio.

P. Sin embargo, técnicamente es posible lanzar un ciberataque de este tipo. Tú mismo lo demostraste en 2011 en una conferencia en España y luego en Las Vegas.

R. Sí, aunque, esa investigación no hablaba solo del sistema español, sino más bien en general. Era un análisis de posibles ataques contra la red interconectada de electricidad. Tenía tres aproximaciones a diferentes niveles: ataques contra las subestaciones, es decir, a dispositivos de campo; ataques contra elementos de software, y ataques contra los centros de control donde se ejecutan los estimadores de estado, que son unos programas que analizan en tiempo real el estado de la red eléctrica con el fin de detectar desviaciones de los parámetros de seguridad. Esos eran los tres pilares en los que se basaba la investigación, y puse ejemplos concretos de vulnerabilidades que podrían usarse.

P. Eso fue en el 2011. En el 2015, Rusia atacó Ucrania usando justo algunos de los fallos que tú habías identificado tres años atrás.

R. Efectivamente. Rusia usó métodos muy similares. Atacaron subestaciones y elementos de software. Pero, de nuevo, hay que mirar más allá. El atacante tiene que tener una motivación muy grande para realizar ese tipo de acción, porque requiere mucha preparación, conocimiento y tiene unas implicaciones enormes. Rusia atacó a Ucrania, es un conflicto abierto durante muchos años, muy específico. No es lo mismo que Rusia ataque a Ucrania a que ataque a España.

P. Supondría un acto de guerra contra Europa.

R. Claro. Y había otra cosa que me tiraban para atrás de la teoría del ciberataque ruso o de otro Estado: se pudo recuperar la red eléctrica con relativa rapidez. Cuando Rusia u otro Estado atacan el sistema eléctrico, lo hacen para ganar una ventaja estratégica: que se vaya la luz y luego tarde en recuperarse. Lo que hemos visto aquí es que no hubo un ataque destructivo contra nada. Es decir, se pudo recuperar la luz en España gradualmente acorde a unos protocolos, pero no ha hubo confirmación de daños en subestaciones, no hubo que cambiar líneas, transformadores… Eso es un dato importante. En el ámbito ciber, cuando Rusia ha atacado las infraestructuras eléctricas, lo que ha hecho primero es desactivar mecanismos para lograr que se vaya la luz, y lo segundo es destruir los mecanismos que permiten reestablecer el servicio. Esto último en España no pasó. A las pocas horas, REE dijo que no había habido un ataque contra sus infraestructuras. Sabían que podían seguir accediendo a sus sistemas de control. Eso es importante para dilucidar bien qué pasó.

P. Habrá gente que considere que investigaciones como la que publicaste son arrriesgadas. Dan pistas a posibles atacantes.

R. Son investigaciones que yo considero prospectivas. La idea es analizar qué se puede hacer y cómo se pueden atacar esos sistemas para implementar las medidas oportunas. Esto ha sido una constante durante toda mi carrera. Lo importante para prevenir estas situaciones no son las vulnerabilidades específicas, los fallos en los sistemas, de una u otra forma se van a poder conseguir, y más en sistemas de control industrial donde no todo está actualizado. Para entendernos, es mucho más seguro un iPhone que un dispositivo industrial por la forma en la que se usa cada aparato. La idea de estas investigaciones es estar prevenidos sobre estos vectores de ataque. Lo importante no es que yo tenga un exploit de un programa, lo importante es cómo se podría usar ese exploit y qué se podría hacer una vez tienes el control del sistema a través de esa vulnerabilidad. Esa es la clave.

"Si dentro de unos años nuestro principal enemigo estratégico pasase a ser Israel, habría que tener mucha preocupación al respecto"

P. La prueba de su relevancia es que tus investigaciones se usaron luego en ataque reales, y más de una vez.

R. Sí, he presentado investigaciones que en un primer momento podría parecer que no tienen aplicación práctica, pero luego, al cabo de los años, se usaron esas mismas técnicas en conflictos reales y por actores gubernamentales. Por ejemplo, al inicio de la invasión de Ucrania en 2022, Rusia atacó una serie de terminales satélite que usaba el ejército ucraniano. Ocho años antes, yo había presentado una investigación exactamente igual, sobre vulnerabilidades contra terminales satélite. Uno de los escenarios que había especificado era precisamente una situación de conflicto en la que un ejército necesita comunicarse para pedir refuerzos. El adversario puede querer destruir esa comunicación para evitar que se comuniquen y lograr así una ventaja táctica. En ese momento, recuerdo que la investigación tuvo mucha repercursión en los medios, pero la industria de los satélites dijo que era poco probable que eso sucediera. En 2022 pasó.

P. ¿Te contactó Red Eléctrica Española (REE) o alguna empresa privada del sector eléctrico español en 2011 tras tu análisis sobre las vulnerabilidades del sistema?

R. No, la impresión que tuve es que no era una prioridad para nadie en ese momento, nadie contactó conmigo para mejorar las cosas. Si alguien me hubiera preguntado, se podría haber profundizado en el tema. Las vulnerabilidades que encontré las reporté en ese momento a través del ICS-CERT de EEUU, se solucionaron y se quedó ahí. Hasta que años después se vio que era un vector de ataque que podía ser explotado para causar daños concretos como parte de una estrategia militar en un conflicto armado.

P. ¿Ha cambiado mucho el sistema eléctrico español en estos 14 años a nivel técnico?¿Es más o menos seguro que antes?

R. Ha evolucionado, como todos los sistemas. Pero no considero que sea para nada sencillo hacer un ciberataque contra el sistema eléctrico español ni ningún otro que forme parte de la red de transporte europea. No es imposible, pero desde luego no es fácil. Entiendo que tanto REE como el resto de organismos y empresas han ido estableciendo diferentes mecanismos y regulaciones para salvaguardar la seguridad de estos sistemas. No tengo por qué poner en duda que esos sistemas sean seguros. Estoy convencido de que pasan sus auditorías y se revisan. Eso no hace que sea imposible lanzar un ataque. Si España en algún momento llega a tener un conflicto abierto o pre-bélico con otro país, el sistema eléctrico sería un objetivo específico. Aunque también depende de con quién te las estés viendo.

P. Se habla mucho de Rusia, pero no es la única potencia que podría causar un ciberataque de este tipo.

R. Hay varios países que tienen estas capacidades, y probablemente tengan ya implementadas ciertas estrategias en el caso de que necesiten lanzar estos ataques durante sus propias operaciones ofensivas. Por ejemplo, si dentro de unos años, nuestro principal enemigo a nivel estratégico pasase a ser Israel, habría que tener mucha preocupación al respecto. Sabemos las capacidades de Israel, cómo hacen las cosas y que en el ámbito cíber son muy potentes. Los grandes ataques que habido en el ámbito de la seguridad industrial los han llevado a cabo Israel y EEUU.

P. Si el apagón del 28 de abril hubiera sido un ciberataque, ¿no lo habríamos sabido ya con un 100% de certeza?

R. Es una muy buena pregunta, porque uno de los datos característicos de este apagón es que se desconoce el evento inicial que lo causó. Un apagón es algo muy complejo, hay muchas variables. Las investigaciones duran meses, todo se tiene que analizar muy bien. Pero en los apagones que hemos visto en los que no ha habido ningún elemento cíber, a los pocos días, o incluso en horas, se ha sabido que ha fallado una subestación, o que un árbol cayó sobre una línea de alta tensión. Algo. Se descubre el elemento inicial que desencadenó la concatenación de problemas que llevó al cero absoluto. El problema y lo curioso en este caso es que todavía no sabemos cuál es ese evento inicial. Y es algo bastante importante.

"En EEUU, un virus generó una gran cantidad de tráfico a una central nuclear y se detuvo su actividad por seguridad"

P. ¿Qué sabemos a ciencia cierta y qué no?

R. Sabemos que ha habido aparentemente 3 fallos de generación y que han habido oscilaciones que podrían haber llevado a estos fallos de generación. Pero, ¿qué ha pasado para que haya esas oscilaciones? ¿Por qué ese lunes fue diferente a otros lunes? Ese día, la programación de la electricidad era prácticamente la misma a otros días, el mix también, el clima no era especialmente adverso… Ese evento inicial aún se desconoce, y va a ser clave. Lo que aún no se ha descartado es que ese evento tenga un componente ciber. Podría haber sido un ataque dirigido que, como hemos hablado, es muy improbable, pero puede que ese evento sea una consecuencia de segundo orden de algún fallo digital en algún sistema de control industrial. Es decir, el causante del problema podría ser un evento cíber indirecto, no dirigido. Eso es lo que se sigue investigando.

P. ¿Te refieres a que un sistema haya podido fallar como consecuencia de un ciberataque o un malware, pero que el objetivo no fuera tumbar la red?

R. Sí, esto ha pasado en otros casos. En EEUU, un virus generó una inmensa cantidad de tráfico online a una central nuclear y se decidió detener su actividad por seguridad. El virus no estaba destinado a esa central nuclear, era genérico, pero por motivos desconocidos infectó una parte de la central que se llama convencional, que no tiene relación con el reactor, sino con la parte destinada a la operación de la central en su conjunto. Se vio que había un tráfico no habitual y, como medida preventiva, se decidió parar la central. Eso es un componente cíber. No va destinado a esa central, pero la ha parado. ¿Podría haberse dado algo así en el apagón en España? Sí, podría ser que algún tipo de ataque o de malware hubiera afectado a un sistema y eso hubiera causado un fallo en cadena. Por eso digo que puede ser un componente cíber, pero no dirigido.

P. La hipótesis de un ciberataque dirigido, organizado por un Estado y pensado para tumbar la red, es también difícil de creer por lo enormemente complejo que resultaría oganizarlo. Necesitas acceso físico a las infraestructuras, acceso a información confidencial... Es una planificación de meses.

R. Sí, se necesita una serie de recursos y de inteligencia sobre el objetivo que solo están al alcance de otro Estado. Por ejemplo, atacar el centro de control eléctrico de REE, el CECOEL, requeriría, entre otras muchas cosas, conocer la estructura de los sistemas internos, muchos de los cuales están aislados de otros o tienen enlaces unidireccionales, la información solo fluye en un sentido, no puedes interactuar desde fuera con ese sistema justo para evitar que sean manipulados. Se tendría que conocer la estructura de control de REE y sus sistemas y aplicaciones para cada tipo de planta, sea nuclear, eólica, fotovoltaica etc. Hay toda una serie de elementos computerizados que podrían comprometerse, pero requeriría tal cantidad de trabajo, esfuerzo e información confidencial que es casi irrealizable.

P. Y podría requerir hasta de ayuda interna por parte de algún empleado de REE. Una filtración o sabotaje interno, ¿no?

R. Muy probablemente. No tendría que ser una cooperación voluntaria pero, al final, si comprometes a las personas que tienen acceso a los sistemas, podrías llegar también a esos sistemas. Por eso el CNI está investigando, por si acaso, al personal que estuvo trabajando en diferentes centros de control durante el turno de apagón.

P. Algo así ya ocurrió con el hackeo al Punto Neutro Judicial, en el que se accedió tras comprometer las credenciales de dos funcionarios. ¿Sería posible hacer algo parecido para acceder al sistema eléctrico?

R. No es el mismo caso. El Punto Neutro Judicial es un sistema al que se conectan funcionarios de diferentes organismos y administraciones públicas. Está muy controlado, no puede entrar cualquier persona. En el caso de los sistemas de control de REE, es diferente. Lo que está en juego son datos, pero no de terceras partes, sino del sistema eléctrico en sí. En este caso, lo importante es manipular los datos, no tener solo acceso a ellos. Por ejemplo, si quieres dificultar la capacidad de decisión de los operadores de REE para que ellos, ante una situación de alarma, tengan una visión de lo que ocurre en la red eléctrica diferente a la real, necesitas manipular los paneles sinópticos, esos paneles enormes en los centros de control que muestran el estado de las subestaciones más importantes, las líneas de alta tensión etc. Para generar un fallo, sería necesario crear un malware que modifique en tiempo real esos datos. Se puede hacer, se hizo con Stuxnet, por ejemplo, pero, volvemos a lo mismo, es extremadamente complejo, es un ataque que solo lo vas a poder usar una vez y no tiene sentido que algo así se haya usado contra España.

P. ¿Crees que está habiendo la suficiente transparencia sobre lo ocurrido?

R. Creo simplemente que todavía se está estudiando. Normalmente, suele haber un evento inicial bastante claro, se conoce a las pocas horas incluso, y se dice o se deja intuir. En este caso no es así. Yo sigo teniendo confianza en que las cosas se están analizando, y lo que se sabe se está diciendo hasta cierto punto. El clima político en España es el que es, la toxicidad es la que hay, ahí no me voy a meter. Pero estamos ante un tema técnico. En unos meses sabremos qué ha pasado y va a ser un tema técnico y científico que se va a poder reproducir y estudiar. Las especulaciones se van a acabar… en teoría. Ya sabemos cómo funcionan las cosas, y si la realidad no te gusta, hay gente que decide que la realidad será diferente para ellos.

P. Te pregunto porque se ha hablado mucho sobre la disparidad de análisis entre REE, descartando un ciberataque, y el Gobierno, que a día de hoy no lo ha descartado 100% pero tampoco ha aclarado si se refería a un ciberataque dirigido o no. ¿No ha generado eso mucha confusión?

R. Bueno, esto tiene una explicación técnica y lógica. REE lo que dijo fue que no tenía constancia de un ciberataque contra sus instalaciones. El sistema eléctrico interconectado español tiene varios componentes: la red eléctrica, el operador de transporte del sistema eléctrico español, REE, que es la encargada de controlarla, y luego hay una serie de operadores externos que son compañías privadas. Hay 36 centros de control autorizados que sirven de enlace entre REE y la cantidad de compañías electricas que suministran energía eólica, nuclear etc. Cuando REE dijo que no contemplaban un ciberataque a sus instalaciones, hay que considerar este esquema. Ellos no tenían constancia, como luego validó el CNI y el CCN, que había habido un ataque contra el CECOEL, contra el centro de control eléctrico de REE, o contra el CECRE, el centro de control para las energías renovables. No hay una contradicción real cuando REE dice eso y el Gobierno dice que aún contempla la posibilidad de un ciberataque en esos elementos fuera de la visibilidad y el control de REE controlados por compañías privadas. Esa es la situación en la que se engloba la investigación actual.

P. Se está hablando mucho también del rol de las renovables en este apagón, pero no tanto de un aspecto clave: el nivel de seguridad informática de las pequeñas y medianas plantas fotovoltaicas. Tú mismo reportaste al Incibe al día siguiente del apagón vulnerabilidades en algunas de estas plantas. Ahora el Incibe está preguntando a muchas de ellas por su nivel de seguridad informática, con preguntas tan directas como "¿Es posible controlar la central eléctrica de forma remota? ¿Se detectaron anomalías antes del incidente del 28 de abril? ¿Han instalado parches de seguridad o actualizaciones recientes?", según confirmó ayer el Financial Times. ¿Tienen de verdad estas plantas renovables medianas y pequeñas un nivel de ciberseguridad bajo o deficiente? Y, si es así, ¿podría estar aquí el origen del evento inicial que causó el apagón?

R. Creo que el problema principal es que venimos de un sistema eléctrico interconectado centralizado. Atacar este sistema suponía atacar de forma cualitativa, es decir, a una gran instalación, una gran planta de una compañía eléctrica potente que obviamente tiene equipos de seguridad y muchos recursos destinados a este frente. El problema es que estamos ya de hecho en un sistema interconectado descentralizado. Ahora tenemos miles de pequeñas y medianas instalaciones fotovoltaicas o de otro tipo de renovables que no pueden destinar los mismos recursos a su seguridad que las grandes empresas. Ahora lo que se puede hacer es un ataque cuantitativo, es decir, los atacantes igual no pueden comprometer una central nuclear o de ciclo combinado, pero es mucho más fácil comprometer 100 o 200 pequeñas instalaciones fotovoltaicas. Eso, en conjunto, supone una cantidad considerable de megavatios que podría poner en peligro la integridad del sistema.

P. ¿No se está haciendo nada para atajar este problema?

R. No hay una regulación para esta clase de instalaciones fotovoltaicas que exija unas medidas específicas de seguridad. Lo que estuve investigando tras el apagón, y las vulnerabilidades que reporté, son solo una muestra de lo que hay ahí fuera, por lo que creo que sí que existe un problema respecto a la seguridad de estas instalaciones. Independientemente del veredicto de los informes finales sobre el apagón, es algo que se va a necesitar regular para garantizar que no dejemos vía libre a un ataque cuantitativo que podría causar las mismas consecuencias que otro a las grandes instalaciones.

P. Es decir, que la culpa del apagón la pueden tener las renovables, pero no en la forma en la que se venía especulando sobre la composición del mix eléctrico, por ejemplo.

R. Por los datos que están saliendo, el evento inicial no va a tener un componente de ciberataque dirigido, pero sí podría estar relacionado con los sistemas digitales, con potenciales fallos en el software o hardware, aunque no necesariamente fallos de seguridad. Esto ya es especular, así que prefiero esperar a los informes finales para analizar las causas reales y ver si se podrían replicar mediante métodos ciber.

P. Más allá de la red eléctrica, hay otra infraestructura crítica que está ganando mucha relevancia en los últimos años y de la que dependen cada vez más sectores y actividades: la red satelital. ¿Se va a convertir también en un foco de posibles ciberataques?

R. Sí, de hecho ya está pasando. Es uno de los espacios donde se está invirtiendo más y va a haber mucho en juego. Los satélites están presentes en cada vez más situaciones de nuestra vida cotidiana, incluido el sistema eléctrico. El GPS se usa para sincronizar señales importantes del sistema eléctrico, hay sistemas de back-up de infraestructuras críticas, como las centrales nucleares, que dependen de sistemas satelitales. Además, ciertos ataques contra la infraestructura terrestre de la red satelital pueden ser llevados a cabo sin el apoyo de un Estado, por beneficio económico o con el fin de infligir daño a una empresa tecnológica. Eso es más factible. De hecho, durante la guerra entre Rusia y Ucrania vimos cómo un ataque a una red satelital influyó en el sistema eléctrico. El ataque a Viasat en 2022, que desactivó la infraestructura satélite de una determinada constelación en Europa, llevó a la pérdida de contacto entre miles de aerogeneradores en Alemania con sus servidores Scada. Esto no tuvo un impacto inmediato en el sistema eléctrico alemán, pero fue un aviso de lo que puede pasar si atacas una parte de la red satelital.