A las 12:33 CEST del 28 de abril de 2025, España y Portugal quedaron a oscuras. En solo cinco segundos se perdió el 60 % de la generación peninsular y se desconectó la interconexión con Francia. El sistema peninsular tardó casi 12 horas en recuperar la práctica totalidad de la demanda y el incidente ha reabierto el debate sobre la ciberseguridad de las infraestructuras críticas y la modernización de los protocolos industriales.
- 12:32 (CEST): Oscilación anómala de potencia en la interconexión España-Francia (ES-FR).
- 12:33 (CEST): Pérdida súbita de aproximadamente 15 GW (~60 % de la demanda eléctrica).
- 13:35 (CEST): Demanda mínima registrada: 10.453 MW.
- 19:00 (CEST): Inicio de la recuperación de tensión en varias comunidades autónomas.
- ≈ 00:30 (29 de abril): Suministro restablecido al 99 % de la demanda.
- 09:20 (29 de abril): REE declara el sistema eléctrico "normalizado".
Máximo diario de demanda 27 710 MW a las 08:22 y mínimo 10 453 MW a las 13:35. Demanda REE
Datos de generación y mercado
- Mix renovable del día: 74 % (514,9 GWh). Red Eléctrica
-
Precios extremos PVPC (mercado diario):
- -3 €/MWh (14:00-15:00) por sobreoferta en plena recuperación.
- 80,80 €/MWh (21:00-22:00) por pico de demanda nocturna.
- Nuevo despacho cuartohorario (MTU 15) activo desde el 18 mar 2025, aumentando la complejidad operativa y la volatilidad de precios. El Periódico de la Energía
Participación de cada fuente en el mix energético nacional:
- Ciclo combinado: 42,6%
- Hidráulica: 34,6%
- Nuclear: 14,9%
- Turbinación por bombeo: 5,5%
- Hulla sub-bituminosa: 1,5%
- Hulla antracita: 0,9%
El análisis detallado de la generación y la demanda eléctrica en España entre el 24 y el 28 de abril de 2025 revela una secuencia de eventos anómalos que culminaron en el colapso energético peninsular del lunes 28. En los días previos, se constata una caída progresiva de la generación diaria, que pasa de aproximadamente 700 GWh el miércoles 24 a tan solo entre 610 y 630 GWh el domingo 27. Aunque esta reducción, de entre un 10 % y un 15 %, puede atribuirse parcialmente al menor consumo habitual de los fines de semana, lo verdaderamente anómalo es que el lunes 28, siendo un día laborable, la generación no repuntó a los niveles esperados, sino que se mantuvo contenida, cerrando el día con solo 514,9 GWh. Este nivel está no solo por debajo del promedio semanal, sino incluso por debajo del valor registrado en el domingo anterior, lo que sugiere que el sistema eléctrico ya estaba operando en una situación de tensión acumulada o estrés operativo antes del incidente crítico.
El colapso se materializó a las 12:33 h del 28 de abril, cuando se registró una caída súbita de la demanda real desde 26.968 MW a 15.970 MW en menos de cinco minutos, coincidiendo con una desconexión abrupta de la red española respecto a la interconexión con Francia. Este evento implicó la pérdida simultánea de más del 60 % de la generación eléctrica nacional y afectó a todas las tecnologías, desde ciclos combinados y nuclear hasta renovables como la solar fotovoltaica, hidráulica y eólica. Los gráficos horarios y acumulados muestran claramente el corte transversal que se produce en ese instante, reflejando una interrupción sistémica a escala nacional. Durante las horas siguientes, la recuperación fue progresiva pero incompleta: a las 21:40 h, la generación eólica se encontraba aún en solo 1.624 MW —apenas el 8,9 % del mix— frente a los más de 6.000 MW que suelen esperarse en esas horas para la época del año. Asimismo, la demanda real en ese momento era de apenas 20.011 MW, muy por debajo de la prevista (31.865 MW) y de la programada (35.219 MW), lo que indica que el sistema seguía sin haberse estabilizado nueve horas después del fallo.
Además, el análisis de las curvas de la noche anterior (domingo 27) ya revelaba señales preocupantes: se observaron fluctuaciones irregulares en la demanda, con desviaciones respecto a lo programado, microcortes y aumentos súbitos no característicos del patrón típico dominical, especialmente entre las 21:00 y las 23:30 h. Estas anomalías pueden interpretarse como indicios tempranos de inestabilidad, posiblemente relacionadas con fenómenos de resonancia, problemas de sincronización o desequilibrios en los flujos de potencia entre zonas geográficas. La evolución del sistema en la madrugada del 28 también fue anómala, con una demanda persistentemente baja y curvas inestables, en un contexto de generación fuertemente renovable (≈74 % del mix diario), lo que pudo limitar la capacidad de respuesta ante perturbaciones rápidas debido a la baja inercia del sistema.
La coincidencia temporal entre la anomalía del día anterior, la falta de recuperación de la generación el lunes, y la caída catastrófica del sistema a mediodía, apunta a una posible pérdida de control operativo en tiempo real. Esta pudo verse amplificada por vulnerabilidades estructurales como la dependencia de interconexiones internacionales, la falta de segmentación entre redes IT y OT, o incluso por un incidente de ciberseguridad aún no confirmado oficialmente. Los datos consolidados permiten, por tanto, reconstruir un escenario de fallo sistémico progresivo, donde la anomalía del domingo actúa como prólogo de una crisis de criticidad creciente que termina por desencadenarse el lunes 28. Este evento plantea serias preguntas sobre la resiliencia del sistema eléctrico peninsular en contextos de alta penetración renovable, complejidad de red y escenarios de contingencia sin amortiguación suficiente.
Hipótesis sobre la causa raíz
Hipótesis | Evidencias | Estado (29 abr 2025) |
|---|---|---|
| Fallo técnico (protecciones, oscilación de potencia) | Desacople automático ES-FR; precedentes de 1987 y 1993 | Investigación abierta |
| Ciberataque deliberado | Alerta del CCN sobre “actividad inusual” desde el Norte de África días antes; desaparición coordinada del 60 % de la generación | Ni confirmado ni descartado Días antes del apagón masivo del 28 de abril de 2025, el Centro Criptológico Nacional (CCN), que forma parte del Centro Nacional de Inteligencia (CNI) de España, detectó una "gran actividad inusual"(2367.) Esta actividad se originó en el Norte de África y estaba dirigida contra las redes de España y Portugal(2367). Fuentes del CNI han especificado que dicha actividad no procedía de Marruecos(46). |
Analogía
Imagine la red peninsular como una orquesta sinfónica con miles de músicos (centrales y líneas). Si el director (el centro de control) pierde la batuta y varias secciones dejan de oírse entre sí, los intérpretes pueden seguir tocando, pero el resultado es ruido y caos. Algo semejante ocurrió cuando la interconexión con Francia se separó y los generadores “perdieron el compás”.
Vulnerabilidades estructurales detectadas
-
Protocolos industriales obsoletos
- IEC 60870-5-104 sigue muy desplegado en subestaciones españolas; carece de cifrado y autenticación nativa. INCIBE
- El estándar de refuerzo IEC 62351 aún no está implantado de forma general.
-
Convergencia IT/OT sin segmentación suficiente
- El CCN advierte del aumento de ataques a ICS europeos y de la exposición de SCADA a internet. CCN-CERT
-
Dependencia de una única interconexión
- La desconexión con Francia mostró un “punto único de fallo” para importar potencia de equilibrio.
-
Mercado cuartohorario y sistemas de casación
- El salto de 60 min a 15 min implica multiplicar por cuatro la frecuencia de re-programación, exigiendo automatismos más robustos. El Periódico de la Energía
Precedentes & Actores con capacidad
| País / año | Malware / técnica | Impacto | Fuente |
|---|---|---|---|
| Ucrania 2015 | BlackEnergy 3 + KillDisk | 230 000 usuarios sin luz 1-6 h | CISA |
| Ucrania 2016 | Industroyer / CrashOverride | Aislamiento de subestaciones de Kiev | ESET Noticias |
| Ucrania 2022 | Industroyer 2 | Intento fallido de corte HV | ESET Noticias |
| EE. UU. 2021 | Ransomware DarkSide (Colonial Pipeline) | Paralización 5 700 mi de oleoductos | CISA |
| EE. UU.–IE 2024-25 | Cyber Av3ngers contra PLC de potabilizadoras | Interrupción agua potable (PA) y 48 h en Irlanda | Security Week |
La huella técnica (ataque a SCADA, manipulación de protocolos) del caso peninsular se asemeja a los ejemplos ucranianos, aunque la autoría sigue sin atribución oficial.
| Actor | Historial / Capacidades | Objetivo probable |
|---|---|---|
| Sandworm (Rusia) | Autor de BlackEnergy, Industroyer, wipers | Desestabilizar o demostrar poder coercitivo |
| Lazarus Group (Corea N) | Explota día-cero en perímetros; finanzas ilícitas | Recaudación y sabotaje reputacional |
| Grupos pro-iraníes (Cyber Av3ngers) | Ataques ICS a agua y energía | Sabotaje retaliatorio |
| Hacktivismo regional (posible APT-Mor) | Ataques a empresas ibéricas en 2024 | Presión geopolítica por el Sáhara Occidental |
(La relación APT-Mor ↔ apagón es especulativa; no existe prueba pública a la fecha).
Reflexión crítica & Conclusiones
- Fortalezas: rapidez de REE en aislar la perturbación, alta penetración renovable que permitió “arranque en negro” hidráulico, cooperación con Marruecos para inyectar potencia.
- Debilidades: falta de cifrado OT, dependencia de una sola “umbilical” con Europa, baja ciber-higiene en dispositivos legacy.
- Oportunidades: modernizar protocolos, impulsar almacenamiento y micro-redes, atraer inversión en seguridad industrial.
- Amenazas: escalada geopolítica, ransomware orientado a OT, eventos climáticos extremos que coincidan con ataques dirigidos.
El cero energético del 28 de abril de 2025 es una llamada de atención sistémica. Tanto si la causa última fue técnica como si fue un ciberataque, el episodio pone de relieve que:
- La digitalización sin securización es un riesgo existencial para la infraestructura eléctrica.
- La resiliencia depende de la diversidad y la visibilidad: más interconexiones, generación distribuida y telemetría confiable.
- La cooperación internacional es imprescindible: España, Portugal y Francia comparten no solo electrones sino amenazas.
| Pros de la respuesta | Contras del estado actual |
|---|---|
| Recuperación < 12 h del 99 % de la demanda | 60 % de generación perdida en 5 s muestra fragilidad |
| Activación eficaz de planes de emergencia | Protocolos OT sin cifrado ni autenticación |
| Datos públicos en tiempo real (REE/OMIE) | Dependencia crítica de la interconexión ES-FR |
| Cooperación OT-IT creciente (CCN-REE-Defensa) | Investigación de atribución lenta; falta de transparencia inicial |
Actualización futura: los resultados forenses del CCN y de ENTSO-E podrían modificar la evaluación de causas y responsabilidades en los próximos meses.
Ideas sueltas:
- Migrar SCADA a IEC 62351 + VPN autenticada y segmentar redes OT de la capa IT.
- Plan de “black-start” descentralizado con generación distribuida (baterías, hidráulica reversible).
- Ejecicios de ciber-resiliencia bianuales coordinados por el Mando Conjunto del Ciberespacio y ENTSO-E.
- Duplicar interconexiones: acelerar los proyectos Aragón-Marsillon y Bay of Biscay para elevar la capacidad ES-FR > 8 GW antes de 2030.
https://www.incibe.es/incibe/sala-de-prensa/recomendaciones-ante-el-corte-de-suministro-electrico
Referencias principales
Red Eléctrica de España (datos Aldia), OMIE, CCN-CERT (IA-04/24), Cadena SER, El Confidencial, 20 Minutos, Reuters, CISA/US-CERT, ESET WeLiveSecurity, SecurityWeek. Las URL completas quedan registradas en los hipervínculos internos de este informe.