El sector energético se ha consolidado como uno de los blancos prioritarios tanto para ciberdelincuentes como para grupos vinculados a estados. En la actualidad, las amenazas no solo persiguen el robo de datos, sino también la interrupción de operaciones, el sabotaje de infraestructuras críticas y la afectación directa a la continuidad del suministro energético.
Entre las amenazas más relevantes figuran los grupos especializados en ransomware, extorsión y robo de credenciales, así como actores respaldados por estados que centran su actividad en el ciberespionaje y en ataques dirigidos a la cadena de suministro. También destacan colectivos hacktivistas enfocados en campañas de filtración de datos y daños reputacionales, además de riesgos internos provocados por el abuso de privilegios o el uso inadecuado de accesos autorizados.
Evolución de ataques de ransomware en el sector energético
Los datos recabados por la unidad de investigación de Palo Alto Networks, Unit 42, muestran un incremento significativo de incidentes durante el periodo Febrero 2025-Febrero 2026, especialmente en Estados Unidos, Canadá y varios países europeos, entre ellos España que se sitúa como el octavo país más afectado por ataques de ransomware al sector energético.
Fuente: Análisis de Unit 42 sobre la información divulgada en sitios web de filtración de ransomware
Entre los grupos más activos destacan Qilin, Play, Akira y DragonForce. El caso de Qilin resulta especialmente preocupante, ya que pasó de no registrar víctimas energéticas en el primer trimestre de 2025 a comprometer una media de cinco o seis organizaciones al mes desde octubre de ese mismo año.
Un ejemplo reciente en Europa de esta evolución de amenazas es el ciberataque coordinado contra el sistema eléctrico de Polonia, considerado uno de los primeros grandes incidentes dirigidos específicamente contra recursos energéticos distribuidos (DER), en lugar de infraestructuras centrales de transmisión. El ataque afectó a más de 30 parques eólicos y solares, así como a una planta de cogeneración, y fue atribuido por CERT Polska al grupo Dragonfly.
Tendencias clave que están redefiniendo el panorama de amenazas en el sector energético
Entre las principales tendencias que están redefiniendo el panorama de amenazas en el sector energético destacan el aumento del volumen de vulnerabilidades explotables, la ampliación de la superficie de ataque derivada de la convergencia IT/OT y la digitalización industrial.
Además, la inteligencia artificial se está convirtiendo en un acelerador clave de las capacidades ofensivas de los atacantes. Los ciberdelincuentes están utilizando IA para automatizar campañas de phishing, optimizar procesos de reconocimiento y desarrollar herramientas de evasión más sofisticadas, incrementando la velocidad, escala y efectividad de las campañas dirigidas contra infraestructuras energéticas.
Las identidades se han convertido en el nuevo perímetro de seguridad. Los atacantes aprovechan credenciales comprometidas y privilegios excesivos para obtener acceso persistente a entornos IT y OT, dificultando la detección temprana y aumentando el riesgo de movimientos laterales hacia infraestructuras críticas.
La prioridad estratégica para el sector energético debe centrarse en reforzar la resiliencia operativa y reducir la exposición de identidades y sistemas críticos. Para ello, resulta primordial la segmentación estricta entre entornos IT y OT, la adopción de modelos Zero Trust, la implantación universal de Autenticación multifactor, la consolidación de visibilidad y telemetría, y la preparación avanzada para incidentes mediante planes de respuesta y ejercicios de simulación son elementos fundamentales.
“El riesgo de ciberseguridad en sectores críticos como el energético ya no proviene únicamente de ataques aislados, sino de campañas complejas y persistentes que combinan identidad comprometida, inteligencia artificial y explotación de infraestructuras críticas conectadas”, señala Marc Sarrias, country manager de Palo Alto Networks.
Principio del formulario
Ante este escenario, las organizaciones energéticas deben avanzar hacia modelos de ciberresiliencia capaces de proteger entornos híbridos IT/OT, reforzar la seguridad de identidades y garantizar la continuidad operativa frente a amenazas cada vez más persistentes y automatizadas.
