Los ataques a infraestructuras españolas aumentaron un 43% en 2024 y se mantienen en 2025

Los ciberataques a infraestructuras esenciales españolas aumentaron un 43% durante 2024, afectando principalmente al sector energético, que concentra un 9% de estos ataques, una tendencia que se mantiene en lo que va de año, dado el crecimiento en amenazas de espionaje, sabotaje y filtración de datos sensibles.

Así lo reflejan los últimos análisis de la x63 Unit, perteneciente a Cipher, la división de ciberseguridad del Grupo Prosegur, que señalan que, durante los primeros meses de 2025, ya se han identificado varias campañas de 'ransomware' enfocadas en empresas energéticas españolas, así como filtraciones de datos y venta de información en foros clandestinos.

En concreto, los expertos en ciberseguridad han detallado que tras el aumento de ciberataques registrado en 2024, enfocados principalmente en el sector energético, los actores maliciosos han mantenido esta tendencia durante los primeros meses de este año.

Esto se debe, en parte, a las tensiones geopolíticas actuales, que han intensificado estas campañas contra infraestructuras sensibles. En este marco, los expertos de la x63 Unit de Cipher han compartido algunas de las principales amenazas que han afectado a estas infraestructuras críticas, tanto durante 2024 como en los meses de 2025.

ACTORES MALICIOSOS DESTACADOS
Entre los actores destacados en estos ataques, se encuentran algunos como el grupo Babuk2, que utiliza técnicas tradicionales de infiltración, así como el grupo AgencyInt, especializado en la filtración masiva de datos personales.

Siguiendo esta línea, también se ha identificado la participación del actor de amenazas 'crocs', que se ha vinculado con la comercialización de información sensible de este tipo de organizaciones o infraestructuras. No obstante, desde x63 Unit han aclarado que no se han encontrado evidencias de ataques directos por parte de este actor malicioso.

Asimismo, han aclarado que muchas de las amenazas provienen de actores estatales y, entre ellos, Rusia sigue siendo "el principal agresor" con grupos de actores maliciosos como Sandworm o APT28, que amplían sus ataques hacia Europa. También se ha identificado un aumento en la actividad de países como China, Irán y Corea del Norte, destacando grupos como Volt Typhoon, APT34 y CyberAvengers.

"Más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético también plantean riesgos importantes para la seguridad física", ha manifestado al respecto el director global de Tecnología de Cipher, Santiago Anaya, quien ha subrayado que un incidente que afecte a los sistemas de control industrial, como es el caso de sistemas de seguridad en plantas nucleares, "podría derivar en consecuencias graves, incluyendo explosiones o liberaciones inseguras".

CIBERESPIONAJE Y SABOTAJE
En este sentido, una de las amenazas que identificadas está relacionada con el ciberespionaje que, aplicado al sector energético, se basa en ataques que buscan obtener información sensible de relevancia como pueden ser planos de instalaciones, tecnologías propietarias o contratos estratégicos.

Según han matizado los expertos, estos ataques de ciberespionaje suelen estar impulsados por actores estatales o grupos de Amenazas Persistentes Avanzadas (APT por sus siglas en inglés), quienes pretenden adquirir ventaja geopolítica o económica, incluso, "preparar futuros sabotajes".

Así, en el periodo de 2024 y 2025, el equipo x63 Unit ha registrado un aumento "significativo" de estas campañas, principalmente en entornos de tecnología operativa (TO) y de supervisión, control y adquisición de datos (SCADA). Entre los actores maliciosos identificados se encuentran algunos como el grupo chino Volt Typhoon, el grupo ruso Berserk Bear -también conocido como Dragonfly- o Lazarus Group de Corea del Norte.

Siguiendo esta línea, se han identificado igualmente técnicas de sabotaje cibernético, con las que se ha tratado de interrumpir o dañar el funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales. A diferencia del espionaje, estos métodos atacan de forma destructiva, por lo que requieren un alto nivel de sofisticación.

Durante este año, este tipo de amenazas se han intensificado y se ha podido identificar en casos como los apagones ocurridos en Ucrania, de la mano del grupo de 'hackers' rusos Sandworm. De igual forma, los expertos han registrado el uso del 'malware' FrostyGoop para interrumpir el servicio de calefacción urbana, el ataque con el 'malware' Triton a una planta petroquímica o la suite PIPEDREAM, diseñada para comprometer infraestructuras energéticas.

VULNERABILIDADES CRÍTICAS Y 'MALWARE' DESTRUCTIVO
El equipo de expertos de Cipher también ha descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de control de industria (ICS) durante 2024 y 2025. Estos fallos, que se han encontrado tanto a nivel de 'software' como de 'hardware', pueden ser aprovechados por parte de los ciberdelincuentes para acceder a redes OT, interrumpiendo sus procesos o comprometiendo los sistemas críticos.

Al respecto, la x63 Unit ha destacado 46 vulnerabilidades halladas en inversores solares, así como el fallo denominado CVE-2024-6407 en dispositivos de Schneider Electric o varias fallas notificadas por Siemens en su plataforma SCADA.

Igualmente, la compañía ha destacado el uso de 'malware' destructivo como una herramienta recurrente en conflictos geopolíticos, ya que es capaz de borrar datos relevantes, inutilizar sistemas y sabotear operaciones críticas.

En este caso, han señalado casos como el uso de los 'malwares' KillDIsk e Industroyer en ataques a la red eléctrica ucraniana, así como el uso del 'software' malicioso Fuxnet para dañar dispositivos industriales.

'HACKTIVISMO' Y CAMPAÑAS DE DESINFORMACIÓN
Además de todo ello, el 'hacktivismo' es otros de los factores que continúa en aumento durante este año, impulsado por motivaciones políticas, sociales e ideológicas, tal y como ha apuntado la compañía.

En este caso, se ha referido a grupos como Anonymous o a colectivos prorrusos como NoName057, que han lanzado campañas de denegación de servicios (DDoS) contra infraestructuras críticas occidentales.

Al 'hacktivismo' se le unen las campañas de desinformación, diseñadas para atacar la confianza pública. Según los análisis de x63 Unit, durante 2025 las campañas de desinformación dirigidas al sector energético se han intensificado, por ejemplo, con "rumores infundados" sobre apagones masivos, generando alarma social, en países como España.

En este tipo de situaciones, los actores maliciosos atacan a la reputación de proveedores de energía mediante técnicas como la difusión de documentos falsos que debilitan la credibilidad del sector.

Con todo, de cara a garantizar la continuidad de servicios esenciales como es el caso del sector energético, la x63 Unit ha reflejado la necesidad de las organizaciones de adaptar una estrategia que combine la detección temprana, la "higiene de seguridad", la segmentación entre entornos IT y OT, y una "cooperación constante" con las autoridades competentes.