Barcelona, 9 de junio de 2025 – Cipher, división de ciberseguridad del Grupo Prosegur, a través de su unidad x63 Unit, ha detectado un aumento del 43% de los ciberataques realizados contra operadores esenciales en España durante 2024. Este incremento afecta especialmente a infraestructuras críticas del sector energético, que representan un 9% del total. La tendencia, que se mantiene en lo que va de 2025, revela un crecimiento en amenazas orientadas al espionaje, sabotaje y filtración de datos sensibles, reflejando la creciente sofisticación y persistencia de los atacantes.

En los primeros meses de 2025, el análisis de la x63 Unit confirma que varias empresas energéticas españolas han sido blanco de campañas de ransomware, filtraciones y venta de información en foros clandestinos. A nivel global, las tensiones geopolíticas han intensificado estas campañas contra infraestructuras sensibles. Entre los actores destacados se encuentran Babuk2, con técnicas tradicionales de infiltración; AgencyInt, especializado en la filtración masiva de datos personales; y “crocs”, vinculado a la comercialización de información sensible, aunque sin evidencias claras de ataques directos.

Santiago Anaya, Global Chief Technology Officer de Cipher, ha afirmado que, “más allá de las implicaciones económicas o reputacionales, los ciberataques en el sector energético también plantean riesgos potenciales para la seguridad física. Un incidente que afecte a los sistemas de control industrial -como monitores de presión en refinerías, sistemas de seguridad en plantas nucleares o controles automatizados en infraestructuras críticas- podría derivar en consecuencias graves, incluyendo explosiones o liberaciones peligrosas”.

Radiografía de las amenazas: los principales tipos de ciberataques al sector energético

Los expertos de la x63 Unit de Cipher han elaborado un análisis de las principales amenazas que afectan a las infraestructuras críticas, con el objetivo de ofrecer una visión actualizada y estructurada del sector, a través de un seguimiento exhaustivo de campañas activas, actores relevantes y vulnerabilidades emergentes.

• Ciberespionaje: El ciberespionaje en el sector energético persigue la obtención encubierta de información crítica, como planos de instalaciones, tecnologías propietarias o contratos estratégicos. Estos ataques, generalmente impulsados por actores estatales o grupos APT, tienen como fin adquirir ventaja geopolítica o económica, o preparar futuros sabotajes. En el periodo 2024-2025 se ha registrado un aumento significativo de estas campañas, con especial foco en entornos OT/SCADA. Entre los actores más relevantes destacan Volt Typhoon (China), Berserk Bear/Dragonfly (Rusia), GRAPHITE (Europa del Este), Lazarus Group (Corea del Norte) y APT33/Elfin (Irán), todos ellos con historial en operaciones dirigidas contra infraestructuras críticas.

• Sabotaje: El sabotaje cibernético en el sector energético busca interrumpir o dañar el funcionamiento de infraestructuras críticas mediante ataques a sistemas industriales como SCADA, ICS o PLC. A diferencia del espionaje, estos ataques persiguen efectos destructivos y requieren un alto nivel de sofisticación, propio de actores estatales. En 2025, la amenaza es tangible, con antecedentes como los apagones en Ucrania (Sandworm), el intento de desplegar Industroyer2, el malware FrostyGoop contra calefacción urbana, el ataque con Triton a una planta petroquímica, y la detección de la peligrosa suite PIPEDREAM, diseñada para comprometer infraestructuras energéticas a gran escala.

• Vulnerabilidades críticas en sistemas OT (ICS/SCADA): Durante 2024 y 2025 se han descubierto múltiples vulnerabilidades críticas en componentes clave de los sistemas de control industrial (ICS), afectando directamente la seguridad operativa de las infraestructuras energéticas. Estos fallos, presentes tanto en software como en hardware, pueden ser aprovechados para acceder a redes OT, interrumpir procesos o comprometer la integridad de sistemas críticos. La digitalización del sector y la convergencia IT-OT han ampliado la superficie de ataque, exigiendo una gestión proactiva de parches. Entre los casos más relevantes destacan las 46 vulnerabilidades “SolarWonder” en inversores solares, el CVE-2024-6407 en dispositivos Wiser Home de Schneider Electric, y varias fallas notificadas por Siemens en su plataforma SCADA de telecontrol.

• Malware destructivo: El uso de malware puramente destructivo se ha convertido en una herramienta recurrente en conflictos geopolíticos, afectando de forma grave al sector energético. Este tipo de software malicioso busca borrar datos, inutilizar sistemas o sabotear operaciones críticas, con impactos que van desde la paralización de compañías hasta la pérdida de control sobre infraestructuras. Casos emblemáticos incluyen Shamoon, que en 2012 borró 35.000 equipos de Saudi Aramco; NotPetya, un wiper disfrazado de ransomware que causó estragos globales en 2017; y AcidRain, usado en 2022 para desactivar remotamente miles de turbinas eólicas en Europa. También destacan KillDisk e Industroyer en ataques a la red eléctrica ucraniana, así como el uso de malware como Fuxnet por grupos hacktivistas para dañar dispositivos industriales.

• Hacktivismo: El hacktivismo en el sector energético continúa en aumento durante 2025, impulsado por motivaciones políticas, sociales e ideológicas. Grupos como Anonymous llevaron a cabo operaciones de alto impacto, como el ataque a la filial alemana de Rosneft en 2022, extrayendo grandes volúmenes de información sensible. Paralelamente, colectivos prorrusos como NoName057(16) han realizado campañas de denegación de servicio (DDoS) contra infraestructuras críticas occidentales. En 2024, surgió el grupo “Mr. Hamza”, con discursos hostiles hacia organizaciones internacionales. Asimismo, GhostSec demostró capacidad para infiltrarse en sistemas SCADA iraníes, reflejando la creciente sofisticación de ataques hacktivistas sobre redes industriales y OT.

• Campañas de desinformación y ataques a la confianza pública: En 2025, las campañas de desinformación dirigidas al sector energético se intensifican, buscando erosionar la confianza pública en gobiernos y empresas. Destacan las operaciones rusas en Europa del Este, orientadas a desacreditar los esfuerzos de diversificación energética tras la reducción de dependencia del gas ruso. Paralelamente, en España y otros países europeos, circulan rumores infundados sobre apagones masivos, generando alarma social. Además, ataques a la reputación de proveedores energéticos mediante la difusión de documentos reales o falsos socavan la credibilidad del sector.

Instrucciones de origen estatal

La x63 Unit de Cipher ha identificado que gran parte de las amenazas al sector energético provienen de actores estatales o para-estatales, cuyo objetivo es el espionaje, sabotaje y control estratégico. Rusia sigue siendo el principal agresor, con grupos veteranos como Sandworm y APT28 ampliando sus ataques hacia Europa, además de nuevos subgrupos especializados en infraestructuras críticas. El FSB también mantiene intrusiones persistentes en redes eléctricas occidentales, muchas veces detectadas tras largos períodos ocultos.

China, Irán y Corea del Norte también han intensificado su actividad en el sector. Destacan el grupo chino Volt Typhoon, activo desde 2023, y los iraníes APT34 y CyberAvengers, con campañas globales contra infraestructuras críticas. Corea del Norte opera con Lazarus y Kimsuky, centrados en información energética y nuclear. Además, se alerta sobre actores mercenarios que desarrollan malware a medida para gobiernos, complicando la atribución y aumentando los riesgos en la cadena de suministro energética.

Recomendaciones de la x63 Unit

En 2025, el sector energético sigue siendo uno de los principales blancos de la amenaza cibernética global, con el ransomware como vector destacado, pero no exclusivo. Las intrusiones estatales, campañas de desinformación y ataques a sistemas OT subrayan la complejidad del panorama actual. Desde la x63 Unit de Cipher se recomienda adoptar una estrategia integral que combine detección temprana, higiene de seguridad, segmentación entre entornos IT y OT, y una cooperación constante con las autoridades competentes. La resiliencia digital debe consolidarse como un pilar tan crítico como la infraestructura física, garantizando así la continuidad de un servicio esencial que no puede permitirse interrupciones.

El estudio, detalla cómo grupos de Amenazas Persistentes Avanzadas (APT) han intensificado sus ataques con técnicas sofisticadas de hackeo para realizar espionaje y extraer material sensible del sector. Además, el informe advierte sobre el impacto del hacktivismo, cuyos ataques a otras industrias también afectan la operatividad de servicios críticos como la aviación.

A partir del análisis, Cipher identifica cinco tipos principales de ataques que ponen en riesgo la aviación:

• Ransomware: Ataques con códigos maliciosos que bloquean los sistemas y exigen un rescate. Es la mayor amenaza para la industria, afectando aeropuertos, aerolíneas y proveedores. Según Eurocontrol, este tipo de ataque representó el 22% de los incidentes maliciosos en 2022.
• Espionaje cibernético: Grupos patrocinados por Estados buscan robar datos estratégicos como planes de vuelo, contratos de defensa y tecnología aeronáutica. APT41 (China), APT28 (Rusia) y APT33 (Irán) han sido identificados como actores clave en estos ataques.
• Ataques a la cadena de suministro: Hackeos a proveedores estratégicos pueden afectar indirectamente a aerolíneas y aeropuertos, causando interrupciones masivas.
• Vulnerabilidades en dispositivos IoT: La integración de sensores y dispositivos conectados amplía la superficie de ataque y expone a la aviación a nuevas formas de intrusión digital.
• Hacktivismo y ataques ideológicos: Grupos con motivaciones políticas o sociales han lanzado ataques contra la aviación. En 2023, Mysterious Team Bangladesh atacó aeropuertos en Arabia Saudita en lo que parecía ser una protesta vinculada al conflicto en Gaza.

El estudio concluye que el sector de la aviación es especialmente atractivo para ciberdelincuentes debido a su importancia estratégica y su dependencia de sistemas digitales interconectados. “Aunque la extorsión financiera y el ransomware representan amenazas significativas, el espionaje continúa siendo el riesgo más peligroso, ya que puede exponer información confidencial y debilitar la seguridad nacional”, advierte Cipher.

En el caso de Latinoamérica y Perú – próximo a la inauguración del nuevo Aeropuerto Internacional Jorge Chávez -,  la ciberseguridad en la aviación enfrenta desafíos significativos, y hace urgente la adopción de medidas de ciberseguridad más estrictas para evitar ataques con consecuencias operativas y económicas significativas.

Por ello, la compañía enfatiza la necesidad de fortalecer las medidas de ciberseguridad, con especial foco en la protección de datos y la resiliencia de la cadena de suministro. Sin acciones concretas, la aviación podría enfrentar interrupciones aún más graves en el futuro cercano.

Sobre Cipher

Cipher es una empresa global de ciberseguridad fundada en 2000. Ofrece una amplia gama de servicios incluyendo la identificación y mejora continua de la postura de ciberseguridad mediante la reducción de la superficie de ataque, la detección y respuesta de ciberincidentes, y la protección de los activos digitales, tanto en los entornos IT, OT, Cloud e IoT. Estos servicios son respaldados por Cipher Lab, un laboratorio de élite en innovación en ciberseguridad, y tres centros de ciberseguridad disponibles 24×7.

Cipher es una empresa altamente reconocida con certificaciones ISO 27001, ISO 22301, ISO 20000, ISO 9001, SOC I, SOC II, PCI QSA, PCI ASV y CREST. La calidad de su servicio le ha llevado a recibir varios reconocimientos de empresas de investigación de renombre mundial como Gartner, Frost & Sullivan y Forrester.

Para obtener más información visite www.cipher.com

1. Suplantación de sitios web: La clonación de sitios web es una técnica común utilizada por los hackers para recopilar información de identificación personal (PII), credenciales y datos bancarios. Estos datos se venden después en foros de la dark web o se utilizan para llevar a cabo ataques de ingeniería social. Para garantizar que se visita un sitio web legítimo, se recomienda escribir directamente la URL en la barra de búsqueda del navegador.
2. Aplicaciones maliciosas: Las aplicaciones maliciosas aprovechan ocasiones como el Black Friday o el Cyber Monday para aumentar sus descargas y atraer tráfico. Es fundamental no descargar aplicaciones no verificadas que prometen ofertas de Black Friday, incluso si contienen nombres de marcas reconocidas, y verificar la autenticidad de las promociones.
3. Malvertising: A través del malvertising, los hackers utilizan anuncios online para distribuir programas maliciosos o redirigir el tráfico del usuario. Los ciberdelincuentes inyectan anuncios infectados en redes publicitarias legítimas que muestran anuncios en sitios web de confianza. Por lo tanto, es importante evitar hacer clic en cualquier anuncio mientras se navega por Internet y verificar siempre su origen en el sitio web.
4. Phishing (E-mail o SMS): Durante este período, es común recibir una mayor cantidad de correos electrónicos y de mensajes SMS, lo que facilita a los ciberdelincuentes ocultar sus mensajes maliciosos. Cuando los correos electrónicos o mensajes parecen provenir de marcas legítimas, es más probable que los destinatarios hagan clic en enlaces maliciosos o descarguen archivos adjuntos dañinos. Por ello, se recomienda prestar especial atención a los
mensajes recibidos y analizar cuidadosamente su contenido y remitente.

Según el Balance de Ciberseguridad 2022, informe publicado por el Instituto Nacional de Ciberseguridad de España (INCIBE), el año pasado se registraron más de 118.000 incidentes de ciberseguridad, un 9% más en comparación con el año anterior. De estos incidentes, más de 110.100 afectaron a empresas y ciudadanos, y un tercio de estos ataques resultó en la filtración de datos sensibles. Por otro lado, la entidad detectó más de 650 tiendas online fraudulentas.

MEDIA ALERT

twitter.com/prosegur youtube.com/user/prosegur linkedin.com/company/prosegur
Con la probable escalada de fraudes durante el Black Friday, Cipher urge a los consumidores a ejercer la máxima vigilancia, en especial al buscar ofertas en sectores como tecnología, moda y accesorios.

Sobre Cipher

Cipher es una empresa global de ciberseguridad fundada en 2000. Ofrece una amplia gama de servicios
incluyendo la identificación y mejora continua de la postura de ciberseguridad mediante la reducción de la
superficie de ataque, la detección y respuesta de ciberincidentes, y la protección de los activos digitales, tanto
en los entornos IT, OT, Cloud e IoT. Estos servicios son respaldados por Cipher Lab, un laboratorio de élite en
innovación en ciberseguridad, y tres centros de ciberseguridad disponibles 24×7.
Cipher es una empresa altamente reconocida con certificaciones ISO 27001, ISO 22301, ISO 20000, ISO 9001,
SOC I, SOC II, PCI QSA, PCI ASV y CREST. La calidad de su servicio le ha llevado a recibir varios
reconocimientos de empresas de investigación de renombre mundial como Gartner, Frost & Sullivan y Forrester.