Red Eléctrica y ataque físico a subestaciones: lecciones que quedan

La subestación eléctrica no es un activo industrial entre otros: es el punto donde la abstracción del sistema se vuelve hierro, aceite y cobre, y donde un solo cortocircuito provocado por una mano humana puede oscurecer una comarca entera durante horas. Esa concentración de valor, sumada a la dispersión geográfica y a décadas de cultura de mantenimiento basada en la confianza, ha convertido a las subestaciones en el eslabón físico más expuesto de la red eléctrica europea.

Los incidentes registrados entre 2024 y 2025 en España y en países vecinos no responden a un patrón único, ni a un único tipo de actor. Hay daños por sabotaje deliberado contra activos identificados, hay intrusiones para sustraer cobre con métodos cada vez más profesionalizados, hay actos de vandalismo coordinado en torno a movilizaciones y hay episodios cuya autoría todavía se discute en sede judicial. Lo que comparten es la consecuencia: un perímetro vulnerado, un activo crítico expuesto y una conversación posterior, dentro del operador y con el regulador, sobre lo que tendría que haber estado en su sitio antes del incidente. Este artículo recoge esa conversación desde la posición del fabricante de tecnología de seguridad, no desde la del comentarista. De operador a operador.

Lo que la subestación enseña sobre el resto del sistema

Una subestación bien protegida revela algo que muchos operadores prefieren no enunciar: el resto de la red eléctrica está peor. La razón no es técnica, es presupuestaria. El operador concentra inversión donde el regulador exige inversión, y el regulador ha exigido durante años inversión en ciberseguridad de los centros de control, en redundancia de líneas, en planes de respuesta ante incidentes lógicos. La seguridad física del activo disperso ha quedado en una zona gris, gobernada por la Ley 8/2011 de protección de infraestructuras críticas, los planes de seguridad del operador (PSO) y los planes de protección específicos (PPE), pero auditada con una intensidad muy variable según el subsector.

El CNPIC, como autoridad designada en el marco de la trasposición de la Directiva NIS2 y de la Directiva sobre resiliencia de entidades críticas (CER), ha ido empujando hacia una concepción integrada de la seguridad. Esa concepción rompe la separación cómoda entre lo lógico y lo físico. El ataque que provoca un apagón puede empezar con una intrusión perimetral, continuar con la manipulación de un transformador y terminar con una desconexión en cascada que un centro de control no logra contener porque sus telemetrías quedaron afectadas. La cadena es física, eléctrica y digital al mismo tiempo, y la responsabilidad del operador es entender que ningún muro, ninguna cámara y ningún SOC, aislados, cubren ese vector.

Lo que las subestaciones enseñan, por tanto, vale para cualquier nodo de infraestructura crítica con la misma topología: emplazamientos no atendidos, valor concentrado, dependencia de patrullas externas y dependencia de fabricantes que en muchos casos ni siquiera están en el continente. El operador que ha trabajado este expediente sobre subestaciones eléctricas tiene un esqueleto reutilizable para depuradoras, estaciones de bombeo, repetidores de telecomunicaciones y nodos logísticos. El operador que no lo ha trabajado descubre, cuando llega el incidente, que la documentación del PSO describía una realidad que ya no existía.

Los incidentes que sirven como referencia

Entre finales de 2024 y los primeros tres trimestres de 2025 se documentaron varios episodios que conviene ordenar por tipología antes que por geografía. Hubo intrusiones perimetrales con sustracción de cobre y aluminio en subestaciones de distribución, algunas con daño deliberado a celdas de media tensión que excedía con mucho el valor del metal sustraído. Hubo episodios de manipulación de elementos auxiliares, como sistemas de refrigeración y cuadros de baja tensión, cuya consecuencia inmediata no fue el apagón pero sí la indisponibilidad prolongada del activo. Hubo, en al menos dos ocasiones contrastadas por fuentes del sector eléctrico, actos contra activos de transporte cuya autoría ha sido investigada en clave de sabotaje, sin que, al cierre de este artículo, exista resolución judicial firme.

El apagón ibérico de finales de abril de 2025, cuyas causas técnicas y posibles concausas externas siguen siendo objeto de análisis por parte de Red Eléctrica, ENTSO-E y las autoridades nacionales competentes, no fue, en su origen documentado, un ataque físico a una subestación concreta. Mencionarlo aquí, sin embargo, es pertinente, porque puso a prueba la capacidad de respuesta del sistema en condiciones reales, reveló dependencias que no estaban en los planes y demostró que el discurso público sobre la seguridad de la red eléctrica europea descansa sobre supuestos que no resisten un evento sistémico. Los operadores que tenían sus subestaciones bien monitorizadas pudieron contribuir a la reposición con datos precisos. Los que dependían de inspección presencial perdieron horas antes de saber el estado real de sus activos.

Junto a estos episodios mayores, existe una capa de fondo, menos visible mediáticamente pero más constante, de intentos repetidos contra subestaciones rurales y semiurbanas. INCIBE-CERT y CCN-CERT, en sus informes periódicos, registran la dimensión ciber de esta presión. La dimensión física no tiene un boletín equivalente de acceso público, lo cual es, en sí mismo, parte del problema. El operador que quiere benchmark cuantitativo sobre intrusiones físicas en subestaciones depende de su propia red de contactos sectoriales y de los datos agregados que Unespa publica sobre siniestralidad asegurada, datos útiles pero que no sustituyen un registro nacional. La asimetría de información entre ciber y físico no es neutral: orienta el presupuesto donde hay métricas y deja en penumbra donde no las hay.

Lo que ha cambiado en respuesta

La respuesta regulatoria no ha sido inmediata, pero ha sido sostenida. La trasposición de NIS2 y de la Directiva CER, con sus plazos en 2024 y 2025, ha obligado a revisar el inventario de entidades esenciales en el sector energía y a extender el perímetro de obligaciones de seguridad más allá de los grandes operadores. El concepto de resiliencia, que durante años fue retórico, se ha concretado en exigencias de análisis de riesgos que incluyen explícitamente la amenaza híbrida y el sabotaje. Esto significa, en términos prácticos, que el PSO de un operador eléctrico ya no puede limitarse a describir vallas, cámaras y vigilancia: tiene que justificar cómo detecta, cómo responde y en cuánto tiempo restablece.

En paralelo, las compañías han modificado sus pliegos de contratación para servicios de vigilancia y para tecnología de seguridad perimetral. Donde antes se contrataba hora-hombre, ahora se contrata cobertura medida por tiempo de detección y tiempo de respuesta. Donde antes se aceptaba un sistema de CCTV pasivo, ahora se exige analítica de vídeo capaz de discriminar entre fauna, vegetación y persona, con tasas de falso positivo documentadas. Donde antes se confiaba en la patrulla periódica, ahora se introducen plataformas móviles de videovigilancia, robots de inspección y sensores combinados que permiten que un único operador en sala cubra varias instalaciones de forma simultánea. Este cambio no es uniforme entre operadores y, sobre todo, no es uniforme entre activos del mismo operador. Las subestaciones de transporte han recibido inversión sensiblemente mayor que las de distribución, lo cual es coherente con el riesgo sistémico pero crea un mapa de exposición desigual.

La AEPD, por su parte, ha precisado en varias resoluciones recientes los límites del tratamiento de datos por sistemas de videovigilancia y analítica en infraestructuras críticas, lo cual obliga al operador a coordinar su diseño de seguridad con su diseño de cumplimiento desde la primera línea del proyecto, no como un parche posterior. El operador que ignore esta coordinación se encontrará con cámaras instaladas que no puede usar como prueba o con grabaciones cuya cadena de custodia no resiste el procedimiento. La seguridad física, hoy, es también un expediente jurídico, y esa interdependencia es una de las novedades más relevantes del bienio.

Quién audita y con qué profundidad

La pregunta sobre quién audita la seguridad física de una subestación tiene varias respuestas legítimas, y la confusión entre ellas explica buena parte de los huecos. El CNPIC supervisa la coherencia del PSO y de los PPE, recibe los informes periódicos del operador y puede requerir inspecciones extraordinarias tras un incidente. INCIBE actúa como referencia técnica en el componente ciber y cada vez más en los puntos de contacto físico-lógico. Las comunidades autónomas, a través de sus consejerías competentes, intervienen en materia de seguridad privada y de coordinación con cuerpos policiales. Los cuerpos y fuerzas de seguridad del Estado mantienen el plan PESI sobre instalaciones sensibles, con un nivel de detalle que rara vez trasciende al debate público.

A todo ello se suma la auditoría privada que el propio operador encarga, bien por exigencia regulatoria, bien por póliza de seguro, bien por gobernanza interna. Aquí es donde aparecen las diferencias de profundidad. Una auditoría documental que verifica la existencia de un plan no es lo mismo que una auditoría operativa que prueba el plan con un ejercicio realista. Una revisión anual que se limita a comprobar el inventario no descubre que el sensor instalado en 2019 lleva catorce meses inoperativo. Un test de intrusión física conducido por un equipo competente revela en tres jornadas más vulnerabilidades que cinco años de informes de cumplimiento. El operador serio combina los tres niveles. El operador cómodo se queda en el primero y descubre el resto cuando ya no puede elegir.

En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se describe la auditoría como una entrega documentada con seis productos concretos, no como una opinión. Esa lógica, trasladada al mundo de las subestaciones, significa que el operador debe poder señalar, después de cada ciclo, qué se midió, qué se encontró, qué se priorizó, qué se ejecutó y qué quedó pendiente con razón explícita. Sin esa trazabilidad, la auditoría es un acto social entre el operador y el auditor, no una herramienta de gestión.

Medidas que el operador puede tomar sin esperar al regulador

El operador que esperaba instrucciones detalladas del regulador para cada decisión técnica ha aprendido, en este bienio, que esas instrucciones no llegan al nivel de granularidad que el activo necesita. La regulación marca el qué y el cuándo. El cómo es responsabilidad del operador. Y dentro de ese cómo hay decisiones que no requieren autorización previa y que cambian el perfil de riesgo de manera material.

La primera es el tratamiento de la subestación no atendida como un nodo de detección, no solo como un activo a proteger. Un sensor sísmico que distingue el corte de una valla del paso de un animal, una cámara térmica que ve donde la luz no alcanza, una analítica que correlaciona eventos en dos perímetros consecutivos, todo eso permite que la primera información llegue al centro de control antes de que el intruso llegue al transformador. La diferencia entre detectar al primer minuto y detectar al décimo, en términos de daño evitable, es de un orden de magnitud. La segunda decisión es la introducción de plataformas móviles de videovigilancia y de robots de inspección que multiplican el alcance del personal disponible sin multiplicar la plantilla. El operador eléctrico medio no va a contratar el doble de vigilantes para sus subestaciones de distribución, porque ni el mercado laboral ni la cuenta de resultados lo permiten. Sí puede, en cambio, dotar a un operador en sala de visión sobre cinco emplazamientos donde antes tenía visión sobre uno.

La tercera decisión es de gobernanza interna. La seguridad de la subestación deja de ser una competencia exclusiva del departamento de servicios generales o del responsable de seguridad corporativa y pasa a estar coordinada con operaciones, con sistemas y con cumplimiento. Esa coordinación no se decreta, se construye con reuniones periódicas, con indicadores compartidos y con escenarios que se ensayan juntos. La cuarta decisión es la apertura a auditorías independientes con escenarios reales, incluida la intrusión física controlada, conducida por equipos externos cuya independencia está documentada. Esta práctica, todavía minoritaria en el sector eléctrico español, es la única que permite saber si las inversiones de los últimos años han producido capacidad o solo han producido documentación.

Para el operador que está empezando a recorrer este camino, BOSWAU + KNAUER propone tres formatos de trabajo. El primero es una conversación confidencial de sesenta minutos con la dirección, sin compromisos y sin coste, en la que se contrasta la situación real con lo que un fabricante de tecnología de seguridad vería en su posición. El segundo es una auditoría de tres a cinco días sobre uno o varios emplazamientos, con entregables definidos antes de empezar. El tercero es un piloto de noventa días sobre una subestación o nodo equivalente, con criterio de éxito acordado al inicio y datos verificables al final. Cada formato funciona por separado. Ninguno obliga al siguiente.

Lo que permanece

La subestación seguirá siendo, durante años, el activo donde más fácilmente se materializa el daño físico a la red eléctrica. La inversión en ciberseguridad ha elevado el coste de un ataque puramente digital, pero el ataque físico sigue siendo barato, accesible y, en muchos casos, anónimo. Mientras esa asimetría persista, el operador que trate la seguridad física como un capítulo menor de su presupuesto seguirá pagando el ajuste en forma de incidentes que tarda demasiado en detectar y demasiado en explicar.

Lo que el bienio 2024-2025 ha enseñado no es que el regulador llegue tarde, ni que los atacantes sean más sofisticados. Lo que ha enseñado es que la frontera entre el activo aislado y el sistema completo ya no existe en términos prácticos, y que la respuesta del operador tiene que organizarse en consecuencia. Detección temprana, capacidad de respuesta medida en minutos, auditoría con escenarios reales, gobernanza que cruza departamentos y tecnología que sustituye horas-hombre que el mercado no va a suministrar. Lo demás es retórica de plan estratégico.

Preguntas frecuentes

¿Qué ataques se documentaron?

Entre 2024 y 2025 se documentaron en España y países vecinos varios tipos de incidentes contra subestaciones: intrusiones perimetrales con sustracción de cobre y daño deliberado a celdas de media tensión, manipulación de sistemas auxiliares con consecuencia de indisponibilidad prolongada del activo, y al menos dos episodios contra activos de transporte cuya autoría se ha investigado en clave de sabotaje. A esto se suma una capa constante de intentos contra subestaciones rurales menos visible mediáticamente. El apagón ibérico de abril de 2025, en su origen documentado, no fue un ataque físico, pero expuso dependencias del sistema.

¿Qué cambió?

Cambió el marco regulatorio con la trasposición de NIS2 y de la Directiva CER, que extiende el perímetro de obligaciones y concreta el concepto de resiliencia. Cambiaron los pliegos de contratación, que ahora exigen tiempos de detección y respuesta medidos, no solo horas de vigilancia. Cambió la coordinación entre seguridad física, ciberseguridad y cumplimiento, con la AEPD precisando los límites del tratamiento de datos en videovigilancia de infraestructuras críticas. Cambió, sobre todo, la conciencia interna de los operadores: la subestación no atendida es ahora un nodo de detección, no solo un activo a proteger.

¿Quién audita?

El CNPIC supervisa la coherencia del Plan de Seguridad del Operador y de los Planes de Protección Específicos. INCIBE actúa como referencia técnica en el componente ciber y en los puntos de contacto físico-lógico. Las comunidades autónomas intervienen en seguridad privada y coordinación policial. Los cuerpos y fuerzas de seguridad del Estado mantienen el plan PESI. A esto se suma la auditoría privada que el operador encarga por exigencia regulatoria, póliza de seguro o gobernanza interna. La profundidad varía: una revisión documental no equivale a un test de intrusión física conducido por equipo independiente.

¿Qué medidas pueden los operadores tomar?

Tratar la subestación como nodo de detección con sensores sísmicos, térmicos y analítica de vídeo que envíen información al centro de control antes de que el intruso alcance el activo crítico. Introducir plataformas móviles de videovigilancia y robots de inspección que multipliquen el alcance del personal sin multiplicar la plantilla. Coordinar seguridad física, operaciones, sistemas y cumplimiento mediante indicadores compartidos y escenarios ensayados. Abrir el activo a auditorías independientes con intrusión física controlada. BOSWAU + KNAUER ofrece tres caminos para iniciar este recorrido: conversación de sesenta minutos, auditoría de tres a cinco días o piloto de noventa días.