El Gobierno alarma a las compañías eléctricas al solicitar datos sensibles por 'email'

Al día siguiente del apagón, el Gobierno dio la orden de buscar todos los datos de las eléctricas que pudieran arrojar luz sobre el nivel cero eléctrico que tuvo lugar el lunes 28 de abril en España. Así se lo manifestó el presidente del Gobierno, Pedro Sánchez, a las seis grandes eléctricas del sector (Red Eléctrica, Iberdrola, Endesa, Naturgy, EDP y Acciona Energía) convocadas al Palacio de la Moncloa el martes 29 de abril. Un tenso encuentro en el que Sánchez prometió «llegar hasta el final» y solicitó a las compañías que permitieran a técnicos del Centro Nacional de Inteligencia (CNI) acceder a sus sistemas.

Una labor que harían desde el Centro Criptológico Nacional (CCN-CERT), departamento de inteligencia responsable de la prevención en los ciberataques. Eso permitía al Gobierno seguir alimentando esta hipótesis como una de las causas del apagón, si bien fuentes del propio CNI descartaron este escenario el mismo día del histórico incidente. No obstante, la documentación a la que ha tenido THE OBJECTIVE evidencia que el Gobierno ha empezado a solicitar información a través de una vía alternativa. Es el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Transición Digital, que dirige Óscar López, el que está solicitando ya información a las empresas del sector. Y la forma de hacerlo es lo que ha generado alarma entre las mismas.

En los días posteriores a la reunión del martes 29 de abril, personal del Incibe se puso en contacto telefónico con algunas compañías eléctricas, solicitándoles la información requerida para «realizar un análisis detallado sobre lo sucedido». En conversación con este periódico, algunas de ellas revelan que se negaron a aportar la información vía telefónica, convencidas de que «podía ser un fake». Los profesionales, tanto los del Ministerio de Transición Digital (Miteco) como los del Incibe, llamaron al centro de control de la empresa, reclamando información protegida sin poder acreditar la autenticidad de su identidad. «Llamó un señor que dijo ser del Incibe, pero se le dijo que se comunicara por los canales oficiales». Ante esta negativa, el Incibe se puso en contacto nuevamente por correo electrónico a través de una dirección de correo creada ex profeso para este objetivo, [email protected].

El Incibe comparte una clave de acceso

En el correo electrónico al que ha tenido acceso THE OBJECTIVE, enviado el pasado miércoles 30 de abril, el organismo responsable de prevención de los ciberataques presentaba formalmente a estas empresas energéticas una «solicitud formal de recopilación de información». Para ello se adjuntaba una carta elaborada por la secretaría de Estado de Telecomunicaciones e infraestructuras Digitales del Ministerio en la que «se les solicita de manera oficial de su colaboración».

Los receptores de la comunicación electrónica no daban crédito. Literalmente. Primero dudaron de la autenticidad del correo electrónico; y después, de que el organismo responsable de la prevención de la ciberdelincuencia pudiera estar solicitándoles «información extremadamente sensible» por una ‘red sin clasificar’, el correo electrónico ordinario, un «canal no seguro, incumpliendo los protocolos de seguridad».

De hecho, en la misiva electrónica no sólo se solicitaba que completaran un listado de las direcciones IP públicas para los servicios relacionados con la producción y distribución de electricidad que pudieran estar expuestas a internet. También se les requirió que «compartan la información de manera cifrada, por ejemplo, utilizando el sistema PGP». Lo más sorprendente es que en el mismo correo electrónico se incluye la clave pública disponible y la página web del Incibe en la que pueden acceder al sistema de información protegida.

«Es una barbaridad»

Esto es lo que más alarmó a las eléctricas receptoras del mensaje. Y es el motivo por el que la respuesta volvió a ser negativa. En su correo de respuesta, las fuentes consultadas explican que se les respondió haciendo hincapié en que «no se puede compartir información sensible si no es a través de un registro electrónico de comunicaciones» y «manifestando su sorpresa porque el Incibe no dispusiera de sede electrónica». Y se les preguntó en qué resolución se amparan para reclamar esa información de carácter privado.

Una semana después de lo ocurrido, las fuentes del sector consultadas califican de «barbaridad» este modus operandi por parte del Gobierno y de los organismos públicos que actúan a instancias del mismo. No en vano el Incibe solicita esta información en nombre del departamento que dirige Óscar López, uno de los Ministerios integrados en la comisión de investigación creada por orden del presidente Sánchez, tras haber abonado las tesis del ciberataque. «Desde luego, si no fue un ciberataque, están trabajando para que lo haya», denuncian estas fuentes ante esta forma de actuación que pone en peligro la protección de los datos. «Parece una estafa policial. Nos piden enviar la información de una manera no segura. Y si luego hay algún problema, el Gobierno nos acusará a nosotros».

Por último, las eléctricas descartan que la causa del apagón fuese un ciberataque y así se lo han transmitido al Gobierno. Las energéticas continúan apuntando a una sobrepotenciación de la red. Un diagnóstico que comparte la mayoría del sector energético en España, que señala que hubo un exceso de renovables que impidió evitar el desequilibrio entre la oferta y la demanda que se produjo aquel día. Un escenario que podrían haber evitado las tecnologías con inercia, como los ciclos combinados y la hidráulica.