Guerra híbrida digital: cuando un clic apaga un país

No siempre hay bombas

No siempre hay bombas. A veces basta con un correo electrónico infectado, una clave débil o un proveedor desprevenido para que el sistema empiece a fallar. No hay sirenas, ni columnas de humo, pero el efecto puede ser el mismo: hospitales sin luz, gasolineras sin combustible, trenes detenidos, ciudades desconectadas. La guerra ya no necesita territorio para causar daño. En la era digital, se combate también en silencio, desde servidores remotos, con comandos invisibles. Y cuando el blanco es una infraestructura crítica, no solo se interrumpe un servicio: se desestabiliza el país.

El caso ucraniano: un ensayo de guerra híbrida

El 23 de diciembre de 2015, en pleno invierno ucraniano, varias ciudades del oeste del país quedaron a oscuras durante varias horas. Casi 230.000 personas se vieron afectadas por un apagón provocado por un ciberataque dirigido a las redes eléctricas. La intrusión se había gestado durante meses: los atacantes, tras obtener acceso mediante correos de phishing y malware, se movieron lateralmente por la red interna hasta comprometer los sistemas de supervisión industrial (SCADA). Una vez dentro, desconectaron subestaciones y sabotearon las herramientas de recuperación. El ataque no solo apagó la luz; fue una advertencia: Ucrania estaba siendo usada como laboratorio de guerra híbrida.

Qué es la guerra híbrida

El término «guerra híbrida» no es nuevo, pero ha ganado un peso específico desde la anexión de Crimea y los ataques sostenidos en el este ucraniano. Se refiere a un modo de confrontación que combina métodos convencionales -militares, diplomáticos- con tácticas no convencionales -ciberataques, desinformación, guerra económica-. Lo híbrido, aquí, no es un adorno conceptual: es la señal de una nueva forma de conflicto donde el frente está en todas partes y en ninguna. Las infraestructuras críticas -aquellos servicios esenciales para el funcionamiento de la sociedad- se han convertido en objetivos prioritarios porque desestabilizan: si cae la electricidad, cae todo lo demás.

Respuesta jurídica: NIS2 y Ley 8/2011

La Unión Europea, consciente del riesgo, ha reforzado en los últimos años su marco jurídico para proteger estas infraestructuras. La Directiva NIS2 (2022/2555) amplía los sectores considerados críticos y refuerza las obligaciones de seguridad para empresas públicas y privadas. España, por su parte, cuenta desde 2011 con la Ley 8/2011 de protección de infraestructuras críticas, que define como tales a aquellas instalaciones y servicios imprescindibles cuyo funcionamiento es vital para la seguridad nacional. Entre ellas: redes eléctricas, sistemas de transporte, telecomunicaciones, agua, energía, salud o servicios financieros. El objetivo es claro: proteger aquello que, de caer, paraliza al país.

Fallos técnicos: lo invisible es vulnerable

Sin embargo, la ley solo es el marco. La realidad técnica es más frágil. Muchos sistemas industriales siguen operando con software obsoleto, contraseñas por defecto o protocolos no segmentados. La interconexión digital -necesaria para la eficiencia- ha abierto nuevas puertas al atacante. Y lo más inquietante es que no siempre hace falta vulnerar la infraestructura directa. Basta con tocar un eslabón de la cadena: un proveedor, un sistema auxiliar, una cuenta de correo corporativo. Así ocurrió con el ataque a Colonial Pipeline, en mayo de 2021.

Colonial Pipeline: una infraestructura bloqueada desde el backoffice

Colonial Pipeline es el mayor operador de oleoductos de EE. UU. Transporta gasolina, diésel y combustible para aviones a lo largo de más de 8.000 kilómetros desde Texas hasta Nueva Jersey. Un ransomware, atribuido al grupo DarkSide, forzó el cierre total de la red durante varios días. No se atacó el sistema físico de bombeo, sino el sistema administrativo: al perder visibilidad operativa, la empresa decidió suspender todo el suministro por precaución. El resultado fue un caos temporal: desabastecimiento en estaciones, colas kilométricas, pánico ciudadano. Todo por un archivo cifrado.

El caso de Colonial Pipeline demostró que no hace falta destruir nada para sembrar el pánico. Basta con detener el flujo de información, congelar los sistemas y obligar a una empresa a improvisar bajo presión. En menos de 72 horas, la interrupción afectó a millones de personas y obligó a la administración estadounidense a intervenir públicamente. En términos militares, fue un ataque quirúrgico sin armas convencionales. En términos sociales, fue una sacudida de realidad: incluso las democracias más avanzadas tienen cuellos de botella digitales. Lo crítico no es lo visible, sino lo vulnerable.

Infraestructuras críticas como objetivo prioritario

En Europa, el Centro Europeo de Cibercriminalidad de Europol ha alertado de una tendencia similar. Las campañas de ransomware y malware dirigido no atacan ya a individuos aislados, sino a estructuras organizativas complejas. Las infraestructuras críticas son especialmente atractivas: producen efectos rápidos, generan cobertura mediática y fuerzan negociaciones. El valor del rescate va más allá de lo económico. Es estratégico.

Casos en España: SEPE, Renfe, Adif

España no es ajena a esta dinámica. En 2021, Adif y Renfe sufrieron ataques informáticos que comprometieron parte de sus sistemas internos. Aunque no se paralizó el tráfico ferroviario, el incidente sirvió como ensayo general: las redes de transporte, interconectadas por sistemas digitales de gestión, están expuestas. En otros casos, como el sufrido por el Servicio Público de Empleo Estatal (SEPE), el impacto fue más visible: durante días, miles de gestiones quedaron bloqueadas, con efectos directos sobre ciudadanos en situación de vulnerabilidad. Estos episodios revelan una verdad incómoda: la mayoría de las infraestructuras críticas españolas dependen de capas tecnológicas que rara vez se revisan con el rigor que exigen las circunstancias.

Simulacros europeos: Cyber Europe

Para anticipar estos escenarios, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) organiza desde 2010 el Cyber Europe, un simulacro multinacional que pone a prueba la resiliencia digital de los Estados miembros. La edición de 2022 simuló una serie de ciberataques coordinados sobre servicios de salud, energía y transporte. Participaron más de 800 expertos de 29 países. El resultado fue un espejo revelador: la mayoría de los equipos técnicos actuaron con solvencia, pero también se evidenció la lentitud en la toma de decisiones políticas y la falta de protocolos compartidos en fases críticas. La brecha no siempre es tecnológica; muchas veces es organizativa.

El dilema de la atribución

La atribución del ataque sigue siendo uno de los puntos ciegos más frustrantes del conflicto digital. A diferencia de un misil, que deja trazas claras de su origen, un ataque cibernético puede enmascararse, bifurcar su rastro y operar a través de equipos infectados en terceros países. Esto dificulta no solo la respuesta penal, sino la respuesta diplomática o militar. ¿Cómo se responde a un ataque si no se puede señalar con certeza al agresor? ¿Cómo se invoca la legítima defensa en el ciberespacio?

En este vacío jurídico y político florece la guerra híbrida. Las operaciones no declaradas permiten a ciertos actores -estatales o no- operar sin cruzar los umbrales formales del conflicto armado. Ucrania, una vez más, ha sido ejemplo de ello. Desde 2014, su red eléctrica, sus medios de comunicación, sus entidades financieras y su Administración han sido blanco recurrente de ciberataques atribuidos a grupos vinculados al Kremlin. El objetivo no es solo táctico, sino psicológico: mostrar que el Estado no controla sus propias funciones básicas.

Disuasión inversa y parálisis estratégica

De ahí que algunos analistas hablen de una “disuasión inversa” en el ciberespacio: no se trata de evitar el conflicto mediante la fuerza, sino de provocar un estado de vulnerabilidad constante que desmotive cualquier acción ofensiva real. Un país que vive pendiente del próximo apagón, del siguiente colapso, del inminente fallo digital, es un país que se repliega, que duda, que no confía en sus propias infraestructuras.

Frente a esta amenaza difusa, no basta con blindar los servidores ni contratar ciberseguros. La defensa digital exige una visión de conjunto que trascienda la mera seguridad informática. Se trata de pensar en la continuidad del país. Porque cuando se apaga una infraestructura crítica, no solo se interrumpe un servicio: se cuestiona la autoridad, se erosiona la confianza, se abre la puerta a la sospecha de que todo puede fallar. Y en democracia, la confianza no es un lujo: es la materia prima de la convivencia.

DORA: nuevo marco de resiliencia operativa

Uno de los pasos más importantes en el marco europeo ha sido la aprobación del Reglamento DORA (Digital Operational Resilience Act), publicado en diciembre de 2022 y en proceso de plena aplicación a partir de enero de 2025. Aunque centrado en el sector financiero, DORA establece un precedente normativo clave: obliga a bancos, aseguradoras y proveedores de servicios TIC a demostrar capacidad real de resistencia frente a ataques digitales. Ya no basta con tener medidas de protección; hay que garantizar operatividad incluso en escenarios de disrupción severa. Esta lógica podría -y debería- extenderse a otros sectores críticos.

España: estrategia, límites y oportunidades

En el caso español, la Estrategia de Ciberseguridad Nacional 2021 representa un esfuerzo por dar coherencia al sistema. Entre sus objetivos se incluye el refuerzo de la ciberresiliencia de las infraestructuras críticas, la mejora de la respuesta ante incidentes y la creación de un entorno digital seguro y confiable. La estrategia reconoce la interdependencia de los sistemas y la necesidad de fomentar una “cultura de ciberseguridad” que incluya a ciudadanía, empresas y administraciones. El documento plantea, además, una línea de acción específica para promover ejercicios nacionales de simulación y cooperación internacional, un punto vital para anticipar escenarios complejos y evaluar la capacidad de respuesta.

Fortalecer el músculo técnico del Estado

Ahora bien, ningún marco legal será suficiente si no se fortalece el músculo técnico del Estado. El Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad (INCIBE), entre otros, desempeñan funciones esenciales, pero sus capacidades deben ampliarse y coordinarse con mayor fluidez. La compartimentación institucional sigue siendo un freno operativo. Y en un ciberataque real, cada minuto cuenta.

Gobernanza compartida

Igualmente urgente es el fortalecimiento del vínculo público-privado. La mayoría de las infraestructuras críticas en España están gestionadas por entidades privadas o mixtas. La ciberseguridad, por tanto, no puede recaer exclusivamente en el Estado. Se requiere una gobernanza compartida, basada en confianza mutua, protocolos claros y líneas directas de comunicación. No se trata de crear una red de delación ni de vigilancia encubierta, sino de asumir que en este campo el silencio mata. Y lo hace rápido.

Lo invisible también se defiende

El horizonte es exigente. No se trata de evitar los ciberataques -porque los habrá-, sino de reducir su impacto, contener su propagación y restaurar la funcionalidad sin ceder a la lógica del miedo. Se trata, en definitiva, de construir un país que no se apague del todo ni siquiera cuando lo atacan desde dentro de un archivo adjunto.

Pero hay también un límite ético que conviene no olvidar. La defensa digital no debe convertirse en coartada para justificar la militarización del ciberespacio. El riesgo de que, en nombre de la seguridad, se impongan mecanismos de control desproporcionados es real. Aquí se impone una doble exigencia: proteger sin vulnerar y vigilar sin invadir. La ciberseguridad no puede convertirse en una versión digital del estado de excepción.

En una época en la que las guerras ya no empiezan con cañonazos, sino con pantallas negras, la capacidad de resistir lo invisible será una de las principales pruebas de soberanía. Y esa soberanía no se impone: se diseña, se mantiene y, sobre todo, se comparte.