A no ser que haya sorpresa sigo apostando la mayor parte de las fichas a que no ha sido un ciberataque, pero eso si, el resultado podría ser exactamente el mismo o peor y veremos por que. Para ello trabajemos en un caso hipotético de cómo podría suceder.
30 de abril de 2025.
Actualización 09/05/2025 : Relacionado : https://www.entsoe.eu/news/2025/05/09/entso-e-expert-panel-initiates-the-investigation-into-the-causes-of-iberian-blackout/
Fuentes : Subjetividad y mucha creatividad personal mezclada con algo de realidad y cashondeo, dejo al lector a que se sumerja en la historia y mismamente intente distinguir... como si fuera un libro de J.J.Benitez .
A día de hoy aún estamos esperando que las entidades nacionales responsables de vigilar el ciberespacio o de espiar hacia adentro y hacia afuera, lo mismo da da lo mismo, emitan sus conclusiones, y estas bien aliñaditas nos lleguen a los ciudadanos que fuimos corriendo al chino a comprar pilas y una radio de las de frecuencia y amplitud modulada.
Mientras, sigo empeñado en descartar la hipótesis de un ciberataque coordinado, porque no tiene la pinta, y siento la ausencia de mas justificación, quizás mas adelante las aporte.
Pero vamos a suponer que haya sido un ciberataque, hagamos un ejercicio práctico en el que un grupo organizado a lo mafioso, terrorista o departamento oscuro de un gobierno muy democratico o poco democratico saca su arsenal de "zero days" y el listado de IPs publicas ( que lleva años registrando ) en el que ha detectado a los routers expuestos directamente a internet de la marca ****, muy usados...
Vamos entonces con la imaginación...
El 28 de abril de 2025 podría haber sido un día normal desde las 0 horas AM hasta las 23:50 PM, y en realidad empezó siendo un día normal, como cualquier otro odioso lunes.
En el ámbito eléctrico, siempre hablando hipotéticamente, el día anterior se produjo la subasta del mix a aplicar, y como muchos días atrás los precios en las horas centrales de sol salieron negativos.
Bueno, este detalle a nuestros amigos cibermafiosos o ciberterroristas les da igual, mas bien sería en todo caso a los propietarios de las plantas los que no les gustaría esos precios negativos y sacarían a sus plantas de volcar a la red, o lo que es lo mismo, aplicar un autocurtailment y esperar a mejores momentos con precios de los de verdad o al menos positivos.
Pero seguimos con la evolución del ciberataque...
A las 9 de la mañana, mas o menos, se deja de importar de Portugal y se empieza a exportar a Portugal, esto se hace por motivos de intereses mutuos acordados, asi como va entrando la configuración del mix previsto... las fotovoltáicas empiezan a generar y la red, para variar, empieza a bailar el baile de la lambada entre que acudimos a los colegios, las empresas empiezan a funcionar, los comercios a prepararse para abrir... o sea la demanda ... y el mix a ofrecer potencia para cubrirla.
Podríamos incluso suponer que echandole huevos la fotovoltaica podría llegar al entorno del 55% de fotovoltaica mas un porcentaje de eolica y otras renovables y sobradamente, para que mas, un 3% de ciclo combinado, etcetera. Bueno en realidad fué mas o menos asi, pero para eso podéis mirar la curva de la pagina de REE.
Va pasando la mañana, creciendo la entrega de potencia de las fotovoltaicas como se espera , con todo ese maravilloso ruido en el transporte y tal que en ppio a los del ciberataque les da igual, o no, porque saben algo.
Nuestro grupo de ciberterroritas o cibercriminales ya tiene muy bien organizado todos los pasos, y tras una verificación a lo "loco Iván" y afilando las herramientas se preparan con los frameworks y scriptses para llamar a filas a los zombies, caballos de Troya ( como el de JJBenitez ) y huevos de cuco a las 12 am exactos, como un reloj suizo.
Llegada las 12 am, los ciberdelincuentes lanzan el ataque, dan la orden a los diferentes controladores PPC ( Power Plant Controller que han estudiado detenidamente y se conocen al dedillo sus mapas modbus tcpip o opcua... ) de un numero bastante amplio de parques y generadores para aplicar a los inversores u otros generadores un curtailment de cero kW, es decir, de parar la planta, pero de tal forma que además han bloqueado con una mac spoofing a los SCADAS de planta u otros cacharros RTAC y RTUs para que sus consignas no le lleguen al PPC, consiguen que al PPC solo le llegue la consigna maliciosa.
En definitiva, vamos, como si fuera un dia normal en el que, imaginaros, un montón de plantas generadoras decidiesen parar todas a la vez a las 12 porque los precios de la subasta en negativo no les sale rentable tener las plantas produciendo por amor al arte, bendito Adam Smith y Friedrich Hayek... pero en este caso ya se sabe de días anteriores que si esto se hiciese no pasaría nada, porque se supone que se sabe de ante mano... un ciberataque no se sabe de antemano... vamos que 30 o 40 o mas plantas a lo largo y ancho de España parando a la vez por un curtailment previsto no es lo mismo que el mismo curtailment pero sin previsto... el segundo asusta mas que el otro... buh.
Seguimos con nuestra historia de posible ciberataque... Nuestros ciberdelicuentes son multidisciplinares, hay desde gente que sabe hackear desde una Play Station hasta reprogramar los FBs de un Simatic S7 400, e incluso saben de electrónica de potencia y smartgrid... en definitiva, saben de alguna forma que con el montón de curtailments a la vez que han ordenado van a conseguir un extraño efecto en la red electrica a modo de, para que os hagáis una idea, 5.000 soldados atravesando un puente colgante y a buen ritmo acompasado... el llamado "sindrome del puente roto", que hay quien lo llama tambien extraño evento meteorologico pulsante enviado desde Ganímedes.
Pero a estos soldados no le han dicho que para cruzar un puente hay que romper el paso, porque no saben que marchando de forma acompasada van a generar una frecuencia de resonancia que va a amplificar los vaivenes de los pasos ( el baile de la lambada ) sobre el firme del puente pudiendo provocar la rotura del puente.
A los pocos minutos de dar la orden multitudinaria a las 12:00, se produce el primer temblor en la red, un temblor que recorre todas las arterias y venas del grid español y portugués e incluso se siente mas allá de los Pirineos y de la montaña de Tarik. Sobre todo los que habitan a lo lejos de las grandes montañas, en la Tierra de Croissant, empiezan a pensar en cortar el umbilical... esto sería para la península del sol y la playa dejarla a su suerte... pero saben las consecuencias y reciben orden del gran Consejo de Mordor de aguantar lo posible aunque deben cortar en caso de.
La red se repone del sismo a los minutos... pero minutos despues vienen las réplicas, alguna pequeña y otras mas grandes que vuelven a poner a prueba todos los sistemas anti-oscillations damping ( los que haya ) y protecciones...
Ya los ciberdelincuentes pensaban que despues de los dos temblores que la red iba a ser capaz de aguantar, los defensores del Santo Grid luchaban con uñas y dientes... dudaban ya de la interpolación de las pequeñas pruebas que hicieron antes del dia D de forma controlada para ir probando las versiones de los scriptses...
Sin embargo a las 12:32, el umbilical fue cortado, un tercer temblor era demasiado... la tensión sobrepasó con creces los rangos saludables y todas las protecciones empezaron a saltar por las nubes... y el sistema cayó como un gran arbol centenario... Al poco, España sin semáforos, ordenadores, luces, ascensores... el caos... aunque los cibercriminales no contaban con que a los españoles ni nos asusta la pandemia, el Trump ni leches, para eso tenemos los bailes, el bar de la esquina y los colegas...
En fin, en cualquier caso habían conseguido su propósito, un silencio recorrió la oscura sala con luces de neón a doquier cambiando de color entre ratones, teclados y otros gadgets de frikies hackerianos.
Y tras el silencio... un grito de festejo de absoluto éxito...
...Desde una esquina, un malo malísimo sentado acariciando un gato en el regazo dió la orden de que se lanzase la fase 3 : la petición de 1.000 millones de bolsas de patatas de Matutano sabor Jamón...
Y fin de la historia y ejercicio de suposición de un ciberataque al grid español el lunes 28 de abril.
Ahora en serio, porque cualquier casualidad con lo que ha pasado sería mera casualidad, lo que ocurrió el pasado 28 podría ser tambien resultado de un ciberataque.
Pongámonos todos manos a la obra a pensar en aplicar NIS2 o la Ley que dentro de unos meses se publique en el BOE y nuestra querida IECISO62443, porque lo demás esta controlado... o no? /:-? .
Hasta aquí el seguimiento de la controversia del posible ciberataque que provocó el desastroso evento del pasado lunes.
Buen puente, y llévense una radio y unos walkies por si acaso... es broma, o no?
Javier G. Sáenz
Ingeniero Senior IT&OT
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT
No hay comentarios:
Publicar un comentario