Cero voltios del 28A, ciberataque o no?, o que?

A no ser que haya sorpresa sigo apostando la mayor parte de las fichas a que no ha sido un ciberataque, pero eso si, el resultado podría ser exactamente el mismo o peor y veremos por que. Para ello trabajemos en un caso hipotético de cómo podría suceder.

30 de abril de 2025.

Actualización 09/05/2025 : Relacionado : https://www.entsoe.eu/news/2025/05/09/entso-e-expert-panel-initiates-the-investigation-into-the-causes-of-iberian-blackout/

Fuentes : Subjetividad y mucha creatividad personal mezclada con algo de realidad y cashondeo, dejo al lector a que se sumerja en la historia y mismamente intente distinguir... como si fuera un libro de J.J.Benitez .

A día de hoy aún estamos esperando que las entidades nacionales responsables de vigilar el ciberespacio o de espiar hacia adentro y hacia afuera, lo mismo da da lo mismo, emitan sus conclusiones, y estas bien aliñaditas nos lleguen a los ciudadanos que fuimos corriendo al chino a comprar pilas y una radio de las de frecuencia y amplitud modulada.

Mientras, sigo empeñado en descartar la hipótesis de un ciberataque coordinado, porque no tiene la pinta, y siento la ausencia de mas justificación, quizás mas adelante las aporte.

Pero vamos a suponer que haya sido un ciberataque, hagamos un ejercicio práctico en el que un grupo organizado a lo mafioso, terrorista o departamento oscuro de un gobierno muy democratico o poco democratico saca su arsenal de "zero days" y el listado de IPs publicas ( que lleva años registrando ) en el que ha detectado a los routers expuestos directamente a internet de la marca ****,  muy usados...

Vamos entonces con la imaginación...

El 28 de abril de 2025 podría haber sido un día normal desde las 0 horas AM hasta las 23:50 PM, y en realidad empezó siendo un día normal, como cualquier otro odioso lunes.

En el ámbito eléctrico, siempre hablando hipotéticamente, el día anterior se produjo la subasta del mix a aplicar, y como muchos días atrás los precios en las horas centrales de sol salieron negativos.

Bueno, este detalle a nuestros amigos cibermafiosos o ciberterroristas les da igual, mas bien sería en todo caso a los propietarios de las plantas los que no les gustaría esos precios negativos y sacarían a sus plantas de volcar a la red, o lo que es lo mismo, aplicar un autocurtailment y esperar a mejores momentos con precios de los de verdad o al menos positivos.

Pero seguimos con la evolución del ciberataque...

A las 9 de la mañana, mas o menos, se deja de importar de Portugal y se empieza a exportar a Portugal, esto se hace por motivos de intereses mutuos acordados, asi como va entrando la configuración del mix previsto... las fotovoltáicas empiezan a generar y la red, para variar, empieza a bailar el baile de la lambada entre que acudimos a los colegios, las empresas empiezan a funcionar, los comercios a prepararse para abrir... o sea la demanda ... y el mix a ofrecer potencia para cubrirla. 

Podríamos incluso suponer que echandole huevos la fotovoltaica podría llegar al entorno del 55% de fotovoltaica mas un porcentaje de eolica y otras renovables y sobradamente, para que mas, un 3% de ciclo combinado, etcetera. Bueno en realidad fué mas o menos asi, pero para eso podéis mirar la curva de la pagina de REE.

Va pasando la mañana, creciendo la entrega de potencia de las fotovoltaicas como se espera , con todo ese maravilloso ruido en el transporte y tal que en ppio a los del ciberataque les da igual, o no, porque saben algo.

Nuestro grupo de ciberterroritas o cibercriminales ya tiene muy bien organizado todos los pasos, y tras una verificación a lo "loco Iván" y afilando las herramientas se preparan con los frameworks y scriptses para llamar a filas a los zombies, caballos de Troya ( como el de JJBenitez ) y huevos de cuco a las 12 am exactos, como un reloj suizo.

Llegada las 12 am, los ciberdelincuentes lanzan el ataque, dan la orden a los diferentes controladores PPC ( Power Plant Controller que han estudiado detenidamente y se conocen al dedillo sus mapas modbus tcpip o opcua... ) de un numero bastante amplio de parques y generadores para aplicar a los inversores u otros generadores  un curtailment de cero kW, es decir, de parar la planta, pero de tal forma que además han bloqueado con una mac spoofing a los SCADAS de planta u otros cacharros RTAC y RTUs para que sus consignas no le lleguen al PPC, consiguen que al PPC solo le llegue la consigna maliciosa.

En definitiva, vamos, como si fuera un dia normal en el que, imaginaros, un montón de plantas generadoras decidiesen parar todas a la vez a las 12 porque los precios de la subasta en negativo no les sale rentable tener las plantas produciendo por amor al arte, bendito Adam Smith y Friedrich Hayek... pero en este caso ya se sabe de días anteriores que si esto se hiciese no pasaría nada, porque se supone que se sabe de ante mano... un ciberataque no se sabe de antemano... vamos que 30 o 40 o mas plantas a lo largo y ancho de España parando a la vez por un curtailment previsto no es lo mismo que el mismo curtailment pero sin previsto... el segundo asusta mas que el otro... buh.

Seguimos con nuestra historia de posible ciberataque... Nuestros ciberdelicuentes son multidisciplinares, hay desde gente que sabe hackear desde una Play Station hasta reprogramar los FBs de un Simatic S7 400, e incluso saben de electrónica de potencia y smartgrid... en definitiva, saben de alguna forma que con el montón de curtailments a la vez que han ordenado van a conseguir un extraño efecto en la red electrica a modo de, para que os hagáis una idea, 5.000 soldados atravesando un puente colgante y a buen ritmo acompasado... el llamado "sindrome del puente roto", que hay quien lo llama tambien extraño evento meteorologico pulsante enviado desde Ganímedes.

Pero a estos soldados no le han dicho que para cruzar un puente hay que romper el paso, porque no saben que marchando de forma acompasada van a generar una frecuencia de resonancia que va a amplificar los vaivenes de los pasos ( el baile de la lambada ) sobre el firme del puente pudiendo provocar la rotura del puente.

A los pocos minutos de dar la orden multitudinaria a las 12:00, se produce el primer temblor en la red, un temblor que recorre todas las arterias y venas del grid español y portugués e incluso se siente mas allá de los Pirineos y de la montaña de Tarik. Sobre todo los que habitan a lo lejos de las grandes montañas, en la Tierra de Croissant, empiezan a pensar en cortar el umbilical... esto sería para la península del sol y la playa dejarla a su suerte... pero saben las consecuencias y reciben orden del gran Consejo de Mordor de aguantar lo posible aunque deben cortar en caso de.

La red se repone del sismo a los minutos... pero minutos despues vienen las réplicas, alguna pequeña y otras mas grandes que vuelven a poner a prueba todos los sistemas anti-oscillations damping ( los que haya ) y protecciones...

Ya los ciberdelincuentes pensaban que despues de los dos temblores que la red iba a ser capaz de aguantar, los defensores del Santo Grid luchaban con uñas y dientes... dudaban ya de la interpolación de las pequeñas pruebas que hicieron antes del dia D de forma controlada para ir probando las versiones de los scriptses...

Sin embargo a las 12:32, el umbilical fue cortado, un tercer temblor era demasiado... la tensión sobrepasó con creces los rangos saludables y todas las protecciones empezaron a saltar por las nubes... y el sistema cayó como un gran arbol centenario... Al poco, España sin semáforos, ordenadores, luces, ascensores... el caos... aunque los cibercriminales no contaban con que a los españoles ni nos asusta la pandemia, el Trump ni leches, para eso tenemos los bailes, el bar de la esquina y los colegas... 

En fin, en cualquier caso habían conseguido su propósito, un silencio recorrió la oscura sala con luces de neón a doquier cambiando de color entre ratones, teclados y otros gadgets de frikies hackerianos.

Y tras el silencio...  un grito de festejo de absoluto éxito...  

...Desde una esquina, un malo malísimo sentado acariciando un gato en el regazo dió la orden de que se lanzase la fase 3 : la petición de 1.000 millones de bolsas de patatas de Matutano sabor Jamón... 

Y fin de la historia y ejercicio de suposición de un ciberataque al grid español el lunes 28 de abril.

Ahora en serio, porque cualquier casualidad con lo que ha pasado sería mera casualidad, lo que ocurrió el pasado 28 podría ser tambien resultado de un ciberataque. 

Pongámonos todos manos a la obra a pensar en aplicar NIS2 o la Ley que dentro de unos meses se publique en el BOE y nuestra querida  IECISO62443, porque lo demás esta controlado... o no? /:-? .

Hasta aquí el seguimiento de la controversia del posible ciberataque que provocó el desastroso evento del pasado lunes.

Buen puente, y llévense una radio y unos walkies por si acaso... es broma, o no?

Javier G. Sáenz
Ingeniero Senior IT&OT

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT

España en Cero Voltios, ¿ ciberataque ?

Hoy por desgracia estamos viviendo, como dicen algunos locutores de radio, algo fuera de lo común y excepcional... desgraciadamente si, pero me temo que muchos esperábamos que ocurriese por un motivo u otro.

La verdad que ha sido una auténtica coincidencia... meses pensando en publicar un artículo, el que finalmente subí ayer, y va y sucede el cero español.

Voy a justificar por qué motivo por ahora dudo mucho que haya sido culpa de un ciberataque.

Desde hace bastantes meses vengo monitorizando mi red eléctrica con el Webeee y el Home Assistant porque nuestro inversor Huawei Sun2000 se desconectaba cada dos por tres. Accediendo a los "logs" del inversor observé el motivo de las desconexiones, en ocasiones se superaba el rango de tensión máxima.

De hecho estaba pensando en comprar protecciones nuevas para evitar estas sobretensiones externas, con origen en la red eléctrica de Endesa, y asi proteger los electrodomésticos.

Tras volver el sumninistro he accedido al histórico del Home Assistant, mirad la curva ( zona periférica de Sevilla ) :

 

Como se puede observar hay unas oscilaciones tremendas en la tensión desde las 10 de la mañana de hoy que acabó a las 12:33 convirtiendose en una caida del suministro eléctrico al menos en mi zona.

Desde hace meses se viene tirando de curtailments, uso de desactivacion de grandes demandantes de electricidad o el evento de la desconexión de la central nuclear de Almaraz, para muestras un botón :

"El suceso, que ocurrió mientras la unidad operaba al 100% de potencia, se produjo por baja excitación en el generador eléctrico durante el proceso de devolución del regulador de tensión a modo automático. Unas horas antes, dicho regulador se había pasado a manual por oscilaciones en la red de alta tensión. La baja tensión de excitación en el generador eléctrico puso en marcha las protecciones de la turbina deteniendo automáticamente el reactor."

https://www.csn.es/documents/10182/2643156/09.01.25%20-%20Informaci%C3%B3n%20sobre%20la%20central%20nuclear%20Almaraz%20II%20(C%C3%A1ceres)%20-%20INES%200

Esta central también entró , la casualidad, en parada por motivos de "money"  :

"Según informa Centrales Nucleares Almaraz-Trill (CNAT), la parada se realizará a partir de las 00:00 horas de este 16 de abril, por una combinación de dos motivos económicos: la "alta fiscalidad" a la que está sometida y la elevada producción renovable, "originada por la sucesión de borrascas".

https://www.eleconomista.es/energia/noticias/13320984/04/25/la-central-nuclear-de-almaraz-parara-este-miercoles-por-una-ineficiencia-en-el-mercado.html

En el sector eléctrico hay bastante nerviosismo, por diferentes motivos.

Y tengo que mencionar a Antonio Turiel que ha vuelto acertar en sus predicciones :

https://crashoil.blogspot.com/2025/01/predicciones-para-2025.html

Los videos de Antonio en Youtube son totalmente recomendables de ver, nos estamos jugando mucho.

Pues, blanco y en botella.

De lo ocurrido hoy al menos aprendamos por favor cuales son las consecuencias, porque un ciberataque algún dia puede producir exactamente lo mismo.

Un saludo. 

Javier G. Sáenz
Ingeniero Senior IT&OT

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT

NIS2 , vamos tarde para variar

En las fechas que estamos a final de abril de 2025 la trasposición de la directiva europea NIS2 a la legislación española está en formato de anteproyecto de Ley aprobado por el Consejo de Ministros con las consultas pertinentes a diversos cuerpos del estado pendientes y con la intención de ser presentada por la via de urgencia. Y es que desde 2022 con dos años de plazo hasta octubre de 2024 parece ser que ni la preocupante situación que ha obligado a la Comisión Europea a pasar el ITV a la ciberseguridad en Europa ni la evidencia de intensificación de ciberataques a empresas españolas ( ocultadas para mayor verguenza de muchos ) ha motivado hasta haber vencido el plazo dos meses después al gobierno de la nación ni sus legisladores electos a moverse de la mas absoluta ignorancia sobre el asunto y autocomplacencia ( ...con los juegos de guerra ) .

Fuentes : Experiencia personal, plataforma documental y divulgativa de la Unión Europea y del Gobierno de España.
Nota.- ** No está totalmente revisada ni la ortografía ni la gramática aún **

Para muchos lectores de este artículo ni si quiera les sonará las NIS2 y por tanto conocen el fondo ni la importancia de ella.

La Directiva 2022/2555 de 14 de dicembre de 2022 llamada NIS 2 en corto y directiva con las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión para los , en largo,  aparece como respuesta a la creciente necesidad de fortalecer la ciberseguridad en Europa y garantizar que las infraestructuras críticas, incluidas las de fabricación, estén protegidas.

Dicho de otro modo, parece que la NIS1, la anterior directiva publicada en 2016, ha tenido una aceptación o éxito limitado traducido en implementaciones y resultados. Por cierto, lo de NIS viene que en el título de la directiva de 2016 en ingles se habla de “measures for a high common level of security of network and information systems across the Union“, pero curiosamente no aparece el texto resaltado en negrita en el título de la segunda directiva.

Los motivos de los modestos resultados de la NIS1 son varios y requerirían un artículo en exclusiva. Pero voy a resaltar un motivo : el coste de securizar y los sesgos cognitivos de los empresario respecto a la percepción de realidad del riesgo. En palabras mas sencillas podemos decir que para la mayoría de los empresarios relacionados con infraestructuras críticas o industria en general han estado practicando la “productiva” actividad de la “patada para adelante” durante todos estos años.

Para despertar a un CEO o consejo accionarial no hay nada mejor como : 

    1. Sufrir un buen ciberataque de ramsonware que habilmente ha encriptado todo y cada uno de los servidores y copias de seguridad de la compañía haciendo que el flujo de caja se desangre o bien en criptomonedas para pagar a los ciberdelincuentes o bien para como pollo sin cabeza buscar consultorias de seguridad mientras los chavales del departamento de seguridad ( si es que lo hay ), wintel, devops, devsecops, networking, workstations o microinformatica se movilizan entre confusas e improvisadas reuniones de crisis para saber que ha pasado e intentar hacer un plan de acción, por ejemplo desenpolvar los procedimientos de copias de seguridad, restauración y resilencia ( esos famosos DRP que se copian de internet para callar al auditor por ejemplo y que nunca se probó ).

    2. Sufrir una buena multa o perder un litigio con un cliente.

Y precísamente el punto número 2 es lo que la NIS2 puede favorecer, es un golpe en la mesa muy serio porque lo que estamos sufriendo hasta ahora no ha hecho mas que empezar y aún no hemos sufrido un ciberataque catastrófico que nos despierte a todos de la cruda realidad, y es que estamos en guerra.

Un antiguo cliente cuando se dió cuenta, por la via numero 1, me dijo, “nos estában ametrallando y nos rozaban las balas mientras corríamos inconscientemente cogiendo flores por el campo de minas”, es una imagen super sugerente.

El marco normativo de la NIS2 y su correspondiente trasposición a la legislación de cada pais europeo supone que mas empresas y sectores se ven afectadas por la iniciativa de la Comision Europea, establece un marco legal mas serio y medidas punitivas que hacen daño al bolsillo de los empresarios asi como diversas medidas para haber si de una vez nos lo tomamos en serio.

Pero siento decirlo, soy muy pesimista o mejor dicho realista, me temo que ni aun así. Esto solo va a suponer como regla general mas trabajo para las consultoras de siempre, las que me gusta llamar cuentaovejas, y una pléyade de pequeñas consultorías y empresas de ciberseguridad de nuevo cuño. Y en lo efectivo quedará todo en otra forma de implantación a la ISO 9001, en busca de un sello y una firma.

Entiendo que almenos las grandes se lo tomarán en serio, pero hasta que se expanda la savia a través de la cadena de suministro van a pasar otros 2,3 o 5 años y un par de vesiones de NIS mas.

Desde hace unos 6 años estoy trabajando en el sector eléctrico. Siento decir que la imagen del campo de minas de mi antiguo cliente no solo es sugerente y aplicable para describir la situación  sino una autentica realidad.

Y no hablemos si encima ponemos sobre la mesa el ocultado o ignorado ( no se que es peor ) impacto de las renovables en la estabilidad de la infraestructura eléctrica, toda una arma de destrucción masiva.

Para cerrar este árticulo decir que aún estamos a tiempo, hay profesionales, tecnologías metodologías, productos, servicios y suficientes ganas para evitar un desastre, pero tiene que ser ya, y si la NIS2 ayuda bienvenida sea.

Lectura sugerida :
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber


Javier G. Sáenz
Ingeniero Senior IT&OT

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT