Contacto
Apagón eléctrico

El gran apagón de España analizado desde un punto de vista tecnológico

The Black Box Lab

El pasado 28 de abril de 2025, en España ocurrió algo tan sutil que casi ni lo notamos: el país entero se quedó sin electricidad. Trenes parados, semáforos apagados, móviles muriendo lentamente…

Pero más allá del toque de humor, el colapso eléctrico fue histórico: un apagón de dimensiones nunca vistas que afectó a la práctica totalidad de la Península Ibérica, desconectándola del sistema eléctrico europeo. Y claro, en The Black Box Lab, donde no podemos resistirnos a una buena investigación técnica, nos hemos puesto a analizar qué pudo pasar realmente… y hay cosas MUY interesantes.

Resumen rápido de lo ocurrido

  • Fecha: 28 de abril de 2025, 12:32h.

  • Qué pasó: Una oscilación brusca en el flujo eléctrico provocó la desconexión de España y Portugal del resto de Europacaída del 60% de la generación eléctricaapagón total.

  • Consecuencias: Parálisis del transporte, problemas en comunicaciones, afectación a infraestructuras críticas.

  • Recuperación: Muy lenta y anómala, desde el norte (gracias a Francia), desde el sur (gracias a Marruecos) y extendiéndose durante toda la tarde y madrugada.

¿Conclusión oficial hasta ahora? –> “Estamos investigando”

Causas que se barajan oficialmente

Actualmente, no hay una causa cerrada. Todo sigue bajo investigación. Estas son las principales hipótesis en el tablero:

  • Fallo técnico interno:
    Un error o una combinación de errores dentro del sistema eléctrico español es, según fuentes del Gobierno y de Red Eléctrica de España (REE), la hipótesis principal actualmente【es.ara.cat】【infobae.com】.
    Se habla de un posible fallo multicausal entre redes de España y Francia.

  • Ciberataque:
    En días previos al apagón se detectó “una gran actividad inusual” en redes informáticas procedente del norte de África, según filtraciones del Centro Criptológico Nacional (CCN) recogidas por varios mediosinfobae.com】【El Confidencial】.
    No hay pruebas públicas concluyentes todavía, pero el Gobierno no descarta esta posibilidad.

  • Sabotaje físico:
    Algunas teorías minoritarias hablaban de posibles sabotajes (por ejemplo, cortes de cables submarinos), alimentadas por avistamientos de buques rusos próximos【El Confidencial】.
    Sin embargo, no existe evidencia de daños físicos a infraestructuras eléctricas.

  • Fenómeno natural extraño:
    Inicialmente, el operador portugués REN sugirió la posibilidad de un fenómeno atmosférico inducido, pero se retractaron rápidamente tras no hallar indicios【20 minutos】.

  • Simple mala suerte:
    Aunque poco glamuroso, un escenario de fallos concatenados no maliciosos es posible. En ingeniería de redes eléctricas, el azar combinado con fallos sistémicos puede provocar apagones catastróficos si se dan las condiciones extremas adecuadas.

Hasta aquí lo que dice la parte oficial. Pero, como buenos profesionales de ciberseguridad, no podíamos quedarnos en lo superficial…

La hipótesis de ciberseguridad que no podemos ignorar

Hay un hecho que nos llama mucho la atención y del que no tenemos respuesta (de momento):

España no pudo reiniciar su propia red eléctrica sola.

Normalmente, tras un apagón total, un país puede reactivar su red desde dentro gracias a un procedimiento llamado «arranque en negro» (black start). Este protocolo permite reiniciar la red sin depender de una fuente de energía externa, utilizando centrales capaces de arrancar sin apoyo eléctrico previo.

¿Qué tipo de centrales pueden hacer esto?

  • Centrales hidroeléctricas de montaña
    Son las más comunes para arranques en negro. Al no necesitar combustible ni energía externa (solo abren compuertas y usan la fuerza del agua), son ideales para generar la chispa inicial que reactive parte del sistema.

  • Centrales de ciclo combinado (gas)
    Algunas unidades están diseñadas para arrancar en negro, pero dependen de sistemas auxiliares (compresores, bombas, etc.) que sí necesitan energía previa. Por eso, suelen usarse después de que una hidroeléctrica haya arrancado.

  • Biomasa o térmicas adaptadas
    También pueden participar, aunque muy pocas tienen capacidad de black start. La mayoría requieren alimentación eléctrica para sus sistemas auxiliares.

  • Parques eólicos y solares
    En general no sirven para un arranque en negro porque dependen de las condiciones meteorológicas, no generan una frecuencia estable sin red y no pueden coordinarse sin sincronización previa. Son ideales una vez la red está parcialmente restablecida, pero no al principio del proceso.

Entonces… ¿por qué no se pudo?

Todo apunta a que los sistemas de control SCADA estaban comprometidos o inactivos y eso bloqueó el acceso remoto a estas plantas clave.
Y si no puedes arrancar ni coordinar esas centrales de forma manual o automática, necesitas ayuda externa para reactivar la red.
En este caso, Francia y Marruecos actuaron como generadores externos de emergencia, enviando electricidad por las interconexiones del norte para crear «islas eléctricas» estables y desde ahí reiniciar España poco a poco.

Esto nos lleva a plantear una hipótesis muy seria (ojo, que es especulación, nada oficial, pero posible): ¿Y si el problema fue un ransomware industrial afectando los sistemas de control (SCADA)?

¿Qué pasaría si un ransomware atacara la red SCADA?

Diagrama de flujo: escenarios de recuperación tras el apagón

INICIO: Colapso total de la red eléctrica peninsular (28 abril 2025, 12:32)
↓
¿Sistemas de control SCADA operativos?

├─ Sí:
│ └──> Activación de protocolos de arranque de emergencia
│ ├─ Encendido progresivo de hidroeléctricas / ciclos combinados nacionales
│ ├─ Reconexión gradual de nodos principales
│ └─ Recuperación autónoma de la red desde España en 1-2 horas
│
└─ No:
└──> Imposibilidad de operar plantas eléctricas locales
├─ Dependencia de interconexiones exteriores (Francia y Marruecos)
├─ Restablecimiento progresivo desde el norte hacia el sur
├─ Mayor lentitud y fragmentación en la recuperación
└─ Necesidad de intervención manual externa en algunos casos

FIN

Cronología comparativa: recuperación normal vs real (caso 28/04/2025)

Hora aproximada Recuperación normal esperada Recuperación real observada
12:32 Colapso inicial Colapso inicial
12:35 – 13:00 Activación automática de plantas hidroeléctricas españolas No se activa generación local (problemas de control)
13:00 – 13:30 Levantamiento progresivo de tramos críticos Francia y Marruecos comienzan a inyectar energía
13:30 – 14:30 Estabilización de la red española por sí misma Zonas del norte y sur recuperan antes; centro aún apagado
14:30 – 17:00 Resto de España enciende gradualmente Recuperación desigual; red sigue inestable
17:00 en adelante Normalización completa REE reconoce dificultad en la recuperación y control
29 de abril, 6:00 (Ya todo debería estar estabilizado) 99% de suministro recuperado (algunas zonas aún pendientes)

  • Si los sistemas SCADA hubieran estado plenamente operativos, España debería haber podido levantar su red sola en 1-2 horas, como máximo.

  • La dependencia de Francia y Marruecos para restaurar la red indica problemas internos graves para reiniciar las plantas.

  • Esto cuadra perfectamente con la hipótesis de ataque de tipo ransomware o sabotaje digital a los sistemas de control.

Impacto de un ransomware en red eléctrica SCADA

INFRAESTRUCTURA NORMAL
-------------------------------------
[ Centros de Control SCADA ]
↓
[ Plantas eléctricas ] ←→ [ Subestaciones ]
↓
[ Red de distribución nacional ]
↓
[ Usuarios finales: industrias, hogares, transporte ]

FUNCIONAMIENTO:
- Control remoto normal.
- Supervisión en tiempo real.
- Automatización de arranques/emergencias.


INFRAESTRUCTURA BAJO RANSOMWARE
-------------------------------------
[ Centros de Control SCADA ]
❌ Acceso bloqueado (cifrado de sistemas, sabotaje software)
↓
[ Plantas eléctricas ]
❌ No reciben órdenes de arranque o cambio de estado.
↓
[ Red de distribución nacional ]
❌ No puede estabilizarse ni coordinarse.
↓
[ Usuarios finales ]
❌ Apagón masivo persistente.

CONSECUENCIAS:
- Imposibilidad de operar remotamente generadores y subestaciones.
- Fallo en protocolos de arranque de emergencia.
- Necesidad de inyección de energía externa (Francia).
- Recuperación lenta, manual y dependiente del apoyo externo.
- Mayor riesgo de sobrecargas y nuevos apagones durante la restauración.

¿Qué destaca de este escenario?

  • Bloqueo de control = Bloqueo de recuperación
    Si el ransomware cifra o inutiliza los sistemas de mando, las órdenes automáticas o manuales no pueden transmitirse. Ni encender una planta, ni reconectar subestaciones, ni regular cargas. Te quedas literalmente ciego y mudo ante tu propia red.

  • Francia y Marruecos actuaron como «desfibriladores externos»
    Al no poder reiniciar desde dentro, España necesitó recibir energía desde sus países vecinos. Primero, para crear «islas energéticas» estables en el norte. Luego, ir extendiendo esas islas hasta reconectar el resto.

  • Tiempo de recuperación anómalo
    Recuperar el 99% del suministro tardó más de 12 horas, demasiado lento si simplemente fuera un fallo eléctrico clásico (normalmente no llevaría tanto, salvo problemas de control profundo).

Nota técnica adicional

El tipo de ransomware o ataque capaz de hacer esto no sería uno genérico como los típicos de robar datos. Sería un malware especializado en sistemas industriales, tipo:

  • Industroyer (como el usado en Ucrania en 2016) 【WeLiveSecurity

  • BlackEnergy (dirigido contra redes eléctricas) 【Incibe

Estos tipos de malware:

  • Atacan protocolos SCADA (DNP3, IEC 60870-5-104, Modbus TCP, etc.).

  • Impiden comunicación entre los centros de control y las estaciones de campo.

  • Provocan exactamente oscilaciones, desconexiones automáticas y colapsos.

¿Especulativo? Sí.
¿Compatible con lo que ocurrió? Totalmente.

En definitiva, hoy en día, proteger las infraestructuras críticas no es opcional: es una prioridad de seguridad nacional.

Porque el futuro ya no va solo de apagar incendios, sino de evitar apagones invisibles… incluso cuando aparentemente «no pasa nada».

Preguntas abiertas que aún no tienen respuesta

Aunque hemos recopilado los datos oficiales y explorado hipótesis técnicas, hay dos preguntas clave que todavía nadie ha contestado de forma definitiva:

¿Por qué desaparecieron de repente 15 gigavatios de generación eléctrica?

La hipótesis más sólida apunta a una desconexión automática en cascada de grandes plantas solares, especialmente en el suroeste de España. Estas instalaciones cuentan con sistemas de protección que, ante inestabilidad en frecuencia o tensión, se apagan para evitar daños. Una oscilación inicial mal contenida podría haber provocado un efecto dominó, sacando de golpe más de 15 GW de generación. No obstante, Red Eléctrica no ha confirmado oficialmente este escenario ni detallado la trazabilidad exacta de esa pérdida.

¿Por qué España no pudo reiniciar su red eléctrica por sí sola?

Aquí es donde surgen más dudas técnicas:

  • Podría deberse a un fallo o inaccesibilidad en los sistemas SCADA, que impidió operar las plantas capaces de arrancar en negro.

  • También se baraja que las condiciones eléctricas internas tras el colapso eran tan inestables que no era seguro activar nodos sin ayuda externa.

  • Otra posibilidad es que los propios sistemas de seguridad y automatización bloquearan el reinicio hasta que se garantizara estabilidad.

El hecho es que fue Francia (por el norte) y Marruecos (por el sur) quienes actuaron como puntos de reinicio externo, suministrando electricidad para estabilizar tramos de red a lo largo de la península. Y eso, en un país con capacidades de arranque propias, no debería haber sido necesario… salvo que algo más estuviera fallando.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *