Los hackers respaldados por el Estado están convirtiendo la red eléctrica en un nuevo frente de batalla en los conflictos geopolíticos y por qué la guerra nunca termina cuando cesa el fuego

En la mañana del 8 de mayo de 2025, mientras las fuerzas armadas de la India ejecutaban la Operación Sindoor en las profundidades del territorio pakistaní, ya estaba en marcha una ofensiva paralela desde el otro lado. Esta no se libró con misiles, sino a través de la intrusión cibernética.

Pocas horas después de que se intensificaran las hostilidades fronterizas, los sondeos de reconocimiento contra la infraestructura eléctrica de la India aumentaron de aproximadamente 2,000 al día a más de 45,000. El repunte no fue un ruido aleatorio o una conversación de fondo. Estaba cargado de intenciones, orquestado y dirigido. Sus objetivos no eran las empresas de distribución. Los atacantes tenían la mira puesta en algo de mayor trascendencia: la red eléctrica. Querían perturbar gravemente la red de transmisión principal de la India y los Centros Regionales de Despacho de Carga (RLDC) que regulan el equilibrio en tiempo real del flujo de electricidad en Delhi, Maharashtra, Odisha y Telangana.

La intención era inequívoca. Provocar la caída de la red eléctrica a gran escala y convertir la interrupción en una narrativa que pudiera difundirse en la web y las plataformas de redes sociales. Generar un golpe visible e innegable que ningún ataque con misiles podría replicar en su alcance psicológico. En esta ocasión, la India resistió el embate. Pero el episodio reveló toda la anatomía de una amenaza que la comunidad estratégica de la India ya no puede permitirse considerar como una preocupación secundaria.

La arquitectura de la vulnerabilidad

Para entender por qué el sector eléctrico de la India es tan codiciado por las entidades adversarias, debemos comprender qué representa realmente la red eléctrica.

Los RLDC y el Centro Nacional de Despacho de Carga (NLDC) son el sistema nervioso central de la red eléctrica de la India. No se limitan a transmitir energía. Toman decisiones continuas y automatizadas sobre el equilibrio de carga, la regulación de frecuencia y la respuesta de emergencia en una red que abastece a más de mil millones de personas. Estos funcionan con una combinación de sistemas SCADA (Control Supervisado y Adquisición de Datos) y Sistemas de Gestión de Energía, muchos de los cuales cuentan con componentes heredados anteriores a la arquitectura moderna de ciberseguridad. Un ataque contra un RLDC no es análogo a una filtración de datos. Se asemeja más a un disparo de francotirador a una torre de control de tráfico aéreo.

La red eléctrica de la India no se diseñó pensando en la ciberguerra. El entorno de tecnología operativa (OT) que gestiona la infraestructura física y los relevadores, interruptores y transformadores se construyó para ofrecer confiabilidad y eficiencia. La convergencia IT-OT, que se ha acelerado durante la última década, si bien ha mejorado la eficiencia operativa, ha ampliado drásticamente la superficie de ataque. Cada sensor conectado a Internet, cada unidad terminal remota que permite a un ingeniero monitorear una subestación desde una computadora portátil, es un punto de entrada potencial.

El juego de China

Mientras que el repunte de Pakistán el 8 de mayo fue oportunista, el enfoque de China es más deliberado y persistente.

Los grupos de Amenaza Persistente Avanzada (APT) de origen chino han estado atacando sistemáticamente la infraestructura energética india desde hace varios años. El patrón es coherente con el "preposicionamiento", un término que denota el establecimiento de un acceso persistente e inactivo dentro de redes críticas mucho antes de cualquier uso previsto (para provocar interrupciones). 

Esta doctrina se denomina "preparación en tiempos de paz para uso en tiempos de guerra" en los círculos estratégicos chinos. La lógica está bien grabada en su paciencia: infiltrarse en la red objetivo cuando las tensiones geopolíticas son bajas, mapear su arquitectura, identificar puntos de influencia y permanecer inactivos hasta que el cálculo geopolítico determine su activación.

La dimensión del mensaje geopolítico de esta estrategia es igualmente significativa. Pekín no necesita apagar realmente las luces de la India para lograr un efecto estratégico. La mera demostración de capacidad ante la audiencia adecuada —respaldada por una señal ambigua a través de canales secundarios de que podría hacerlo— funciona como una forma de coerción durante las negociaciones sobre la Línea de Control Actual, las disputas comerciales o la competencia de influencia regional. 

Por esta razón, el mandato de China para sus actores de amenazas está diseñado de manera explícita para generar "una sensación visible de pánico y la capacidad de infiltrarse en infraestructuras críticas a voluntad". El mensaje no es táctico. Es estratégico. Dice: ya estamos dentro y podemos determinar cuándo lo descubrirán.

Lecciones de la guerra de Irán: El alto el fuego no significa nada

El caso de estudio reciente más instructivo para los planificadores estratégicos de la India no proviene de Pakistán ni de China. Irán ha añadido un capítulo al libro de jugadas y es imperativo que la India lo lea e internalice las lecciones. 

El actor de amenazas Handala, vinculado a Irán y que opera bajo la dirección del Ministerio de Seguridad Interna de Irán, ha proporcionado un modelo casi perfecto de cómo funciona la ciberguerra en un entorno de conflicto híbrido. Durante la ronda de hostilidades más reciente en Oriente Medio, Handala demostró dos capacidades que deberían alarmar a todo operador de infraestructura crítica en la región del Indo-Pacífico.

En primer lugar, vulneró una empresa de tecnología médica en los Estados Unidos y extrajo las comunicaciones personales de un alto funcionario del gobierno estadounidense, demostrando así el alcance de las ciberoperaciones respaldadas por el Estado mucho más allá de cualquier escenario geográfico de conflicto convencional. En segundo lugar, llevó a cabo una campaña contra operadores de infraestructura crítica en todo Oriente Medio y vulneró con éxito las redes de al menos tres entidades gubernamentales regionales en cuestión de semanas.

Sin embargo, el ritmo operativo de Handala tras el alto el fuego es lo que encierra la lección más trascendental para la India. Cuando las armas se silenciaron, Handala no se retiró. Intensificó sus acciones. El grupo aceleró sus ataques, comenzó a construir una red de afiliados más amplia e inició el acercamiento a actores de amenazas respaldados por los estados ruso y chino para realizar operaciones conjuntas.

La implicación estratégica es grave. Un alto el fuego en un conflicto cinético no equivale a un alto el fuego en el ciberespacio. El fin de las hostilidades convencionales podría marcar una intensificación de las ciberoperaciones, ya que los actores de amenazas que se han estado preposicionando (durante el conflicto) ahora ejecutan sus campañas con mayor autoridad, recursos y capital político.

Para la India, la lección es directa. Es posible que la Operación Sindoor haya concluido. La campaña cibernética que la acompañaba, no.

El problema de la persistencia

Los ciberataques no respetan la lógica de los tratados, los altos el fuego ni los gestos diplomáticos. Los actores de amenazas desatados durante el conflicto no se retiran fácilmente. Operan con un impulso propio, amplificado por diversas dinámicas estructurales que hacen que el cese de hostilidades sea sumamente difícil.

Considere la cascada de información: los datos recabados en una filtración exitosa se reciclan en futuros ataques. Las credenciales extraídas de la estación de trabajo comprometida de un ingeniero de Powergrid pueden utilizarse meses después en una campaña de relleno de credenciales contra una empresa de servicios públicos diferente. Los patrones de contraseñas observados en una vulneración alimentan los modelos de aprendizaje automático que aceleran el descifrado de otros sistemas. Los datos del ataque de ayer se convierten en las municiones del mañana.

El calendario operativo de Handala resulta ilustrativo de un patrón más amplio. Las fuentes de inteligencia describen un ritmo constante: ataques de preposicionamiento —diseñados para obtener acceso sin activar alarmas— concentrados en la segunda mitad de cada mes. Anuncios de vulneraciones exitosas en la primera mitad del mes siguiente. Este ciclo funciona independientemente de cualquier calendario político externo. Continuará sin importar si la India y Pakistán se encuentran en un estado de hostilidad abierta o de compromiso diplomático.

Los actores de amenazas rusos, norcoreanos y chinos operan en ciclos similares, durante todo el año, sin dejarse disuadir por la situación formal de las relaciones bilaterales. Y lo que es más crítico, estos actores colaboran. Las ciberoperaciones iniciadas por un grupo suelen ser expandidas por otro. Actores de amenazas iraníes, rusos y chinos han llevado a cabo campañas conjuntas, compartiendo herramientas, inteligencia de objetivos e infraestructura. Lo que comienza como un sondeo pakistaní a la red eléctrica de la India puede adquirir rápidamente la sofisticación técnica de una operación de un grupo APT chino superpuesta sobre este.

Esta polinización cruzada de capacidades es quizás la dimensión menos valorada de la amenaza a la que se enfrenta la India.

El cálculo estratégico para la India

La vulnerabilidad de la India no se debe en absoluto a una falta de ambición o de conciencia. El CERT-In, el Centro Nacional de Protección de Infraestructura de Información Crítica (NCIIPC) y los Equipos de Respuesta a Incidentes de Seguridad Informática específicos del sector han logrado avances cuantificables. El hecho de que la red eléctrica de la India resistiera durante el repunte de mayo de 2025 fue un logro operativo de gran importancia.

Sin embargo, resistir en un enfrentamiento no constituye una estrategia de defensa duradera. Tres brechas estructurales exigen atención urgente en los niveles más altos del gobierno y de la industria.

El déficit de seguridad de TO. El sector eléctrico de la India ha invertido mucho en la modernización de su infraestructura de TI, pero la tecnología operativa (TO), que es el conjunto real de sistemas que controlan los componentes físicos de la red, sigue estando notablemente desprotegida. Los sistemas SCADA en muchas empresas de servicios públicos estatales todavía ejecutan sistemas operativos obsoletos. Las capacidades de acceso remoto introducidas para mayor comodidad operativa han superado los protocolos de seguridad que las regulan. Una modernización de la seguridad de TO, que priorice el NLDC, los RLDC y los corredores de transmisión de mayor voltaje, debe tratarse como una inversión en infraestructura de seguridad nacional.

La implementación del Reglamento de la Autoridad Central de Electricidad (CEA) (Ciberseguridad en el Sector Eléctrico), 2025 contribuirá en gran medida a proteger la red tanto en entornos de TO como de TI. 

La brecha entre inteligencia y operaciones. El repunte del 8 de mayo fue detectado y contenido. Pero la detección no es atribución, y la atribución no es prevención. La India tiene que desarrollar una postura más proactiva en el intercambio de inteligencia sobre ciberamenazas entre el NCIIPC, los operadores del sector, los proveedores de CTI y las democracias aliadas. Los adversarios a los que se enfrenta la India ya han construido redes de inteligencia colaborativa. Los defensores de la India deben igualar esa arquitectura.

La brecha doctrinal. La India aún no dispone de una doctrina de ciberdisuasión articulada públicamente que sea equivalente a su doctrina nuclear o a su doctrina militar convencional. La ausencia de tal marco genera ambigüedad tanto para los adversarios, que calculan lo que pueden hacer sin sufrir consecuencias, como para los propios operadores de la India, que toman decisiones en tiempo real sobre una respuesta proporcional. Una doctrina comunicada con claridad que defina las líneas rojas en torno a los ataques contra infraestructuras críticas, y especifique la gama de respuestas que la India se reserva el derecho de desplegar, elevaría de forma significativa el cálculo de costos para los adversarios.

El imperativo del crecimiento y la protección climática

La India se encuentra en el proceso de desarrollar uno de los programas de energía limpia y modernización de redes más ambiciosos del mundo. La transición a las energías renovables, la expansión de las redes inteligentes, la integración de la generación distribuida: todo ello incrementa la complejidad de la infraestructura que debe defenderse. 

Los adversarios que atentan contra la soberanía energética de la India lo entienden perfectamente. No pretenden meramente perturbar la red actual. Intentan establecer una presencia persistente en la del mañana.

El desafío para el liderazgo estratégico de la India radica en asumir ambas realidades de forma simultánea: construir la infraestructura energética que requiere una nación en crecimiento y con aspiraciones, y fortalecer esa misma infraestructura.

El repunte del 8 de mayo fue una advertencia. La pregunta no es si se producirá el siguiente intento. Es si la India continuará manteniendo las luces encendidas durante una ofensiva cibernética adversaria.

¿Le interesa conocer más sobre lo que ocurrió en el ciberespacio durante la Operación Sindoor? Descargue el Informe sobre el panorama de amenazas a la seguridad de TO de 2026.