Lo que ha sucedido en Noruega es un claro ejemplo de hasta qué punto un ciberataque puede afectar a las infraestructuras críticas de un país. En este caso, el objetivo ha sido una presa.
Y es que, normalmente, los ciberataques suelen preocuparnos por los daños económicos que provocan, por la exposición de datos o por el colapso de empresas y servicios públicos. Pero cuando estos incidentes pasan del mundo digital al físico, el impacto puede ser aún más alarmante.
El pasado mes de abril, un ciberataque consiguió vulnerar los sistemas de control de una presa en este país nórdico, provocando la apertura total e incontrolada de su válvula principal.
Durante varias horas, el agua fluyó sin que nadie pudiera detenerla, mientras los responsables de la infraestructura intentaban averiguar qué había ocurrido. La situación, aunque no generó daños, podría haber tenido consecuencias muy graves.
Una presa abierta durante cuatro horas
El incidente tuvo lugar en la presa del lago Risavatnet, ubicada cerca de la ciudad de Svelgen, al suroeste de Noruega. La presa es gestionada por la empresa Breivika Eiendom, cuyos técnicos fueron los primeros en darse cuenta de que algo no iba bien. El 7 de abril descubrieron que la válvula había sido abierta completamente sin autorización y que llevaba más de cuatro horas en esa situación.
La investigación inicial reveló que los atacantes lograron acceder al sistema a través de una interfaz web mal protegida. Según explicó el responsable técnico de la empresa, Bjarte Steinhovden, el panel de control no contaba con una contraseña suficientemente segura, lo que facilitó la intrusión. Esta debilidad permitió que los atacantes burlaran la autenticación y accedieran directamente al entorno de tecnología operativa, el cual controla los sistemas físicos de la presa.
El ciberataque encendió todas las alarmas. Apenas tres días después, se notificó a las autoridades noruegas, entre ellas la NSM (Autoridad de Seguridad Nacional), la NVE (Dirección Noruega de Recursos Hídricos y Energía) y la Kripos (unidad especial de la policía nacional). Desde entonces, se ha abierto una investigación para esclarecer quién está detrás del ataque y cómo pudo llevarse a cabo con tanta facilidad.
Consecuencias físicas sin daños graves
A pesar del caos inicial, el ciberataque no provocó una catástrofe. Según datos compartidos por medios locales como Energiteknikk, la apertura de la válvula solo generó un caudal adicional de 497 litros por segundo. El lecho del río, por suerte, está preparado para asumir hasta 20.000 litros por segundo, por lo que no se registraron inundaciones ni daños materiales. Aun así, la situación puso de manifiesto los riesgos que implica un ciberataque cuando afecta a una instalación física.
Este incidente ha servido para recordar que incluso los ataques aparentemente sencillos pueden tener consecuencias serias. En este caso, la falta de medidas básicas de ciberseguridad, como una contraseña robusta o la autenticación multifactor, bastó para que alguien tomara el control de una infraestructura clave.
El ciberataque mira ahora el sector energético, no solo a una presa
Aunque por ahora no se ha atribuido el ciberataque a ningún grupo específico, los investigadores no descartan que pueda tratarse de una acción de hacktivismo o incluso de algún actor con motivaciones geopolíticas. En los últimos años, las infraestructuras energéticas europeas se han convertido en objetivos frecuentes de campañas de sabotaje digital.
De hecho, la facilidad con la que se accedió al sistema refuerza la hipótesis de que fue un ataque de oportunidad más que una operación sofisticada. Sin embargo, no por ello deja de ser preocupante. Que una acción tan sencilla pueda afectar una presa y provocar su apertura durante horas plantea preguntas serias sobre cómo están protegidas nuestras infraestructuras críticas.
Casos similares con impacto físico
Este no es el primer caso en que un ciberataque causa efectos tangibles. En 2021, un hacker logró acceder al sistema de una planta potabilizadora en Oldsmar, Florida, e intentó alterar los niveles de hidróxido de sodio del agua. Afortunadamente, el intento fue detectado a tiempo y no llegó a afectar a la población.
Otro ejemplo grave se dio en Ucrania, donde entre 2015 y 2016, diversos ataques cibernéticos atribuídos a actores rusos lograron desconectar parte de la red eléctrica, dejando sin luz a miles de ciudadanos.
Los ciberataques con consecuencias físicas suponen un desafío creciente para los gobiernos. La digitalización de infraestructuras ha traído enormes ventajas, pero también ha abierto nuevas puertas de entrada para los atacantes.
