Detenidos dos antiguos trabajadores por el cibersabotaje de la red de alerta radiactiva de Protección Civil

La Policía Nacional ha detenido a los dos presuntos autores del cibersabotaje que, entre marzo y junio del año pasado, sufrió la Red de Alerta a la Radioactividad (RAR) y afectó a más de 300 de los 803 sensores repartidos por España para detectar un posible riesgo nuclear o radiológico en la atmósfera. Los arrestados eran antiguos trabajadores de una empresa subcontratada por la Dirección General de Protección Civil y Emergencias para el mantenimiento del sistema, “por lo que poseían un profundo conocimiento del mismo que les facilitó la realización de los ataques y les ayudó en su empeño de enmascarar su autoría, incrementando sensiblemente la dificultad de la investigación”, ha destacado la Policía en un comunicado.

Tras los arrestos ―realizados el pasado 28 de junio, aunque no se ha informado de ellos hasta este miércoles―, la policía registró los domicilios y la sede de una empresa de los dos detenidos, situados en San Agustín de Guadalix (Madrid) y la capital, donde intervino numerosos dispositivos informáticos. En los teléfonos móviles de los presuntos saboteadores, los agentes encontraron comunicaciones entre ambos a través de una aplicación de mensajería instantánea en los que comentaban detalles de los ciberataques que estaban perpetrando. La principal hipótesis sobre el móvil es la venganza contra su empresa, con la que habían roto la relación laboral de manera abrupta.

La bautizada como Operación Gamma se inició en junio del año pasado por una denuncia presentada por Protección Civil tras detectar que había sufrido varios ciberataques que habían afectado a la capacidad de detección de la red de alerta, puesta en marcha en los años noventa tras la catástrofe de la central nuclear de Chernóbil. Esta red se encarga de medir los niveles de radiación gamma en todo el territorio nacional a través de las estaciones de medición, que envían de manera constante al centro directivo la información recopilada para detectar posibles niveles anormales que obliguen a poner en marcha los planes de emergencia nuclear. El sistema ―que tiene más de 150 de estas unidades sensoras instaladas en cuarteles de la Guardia Civil― cuenta con una mayor densidad de estos dispositivos en los entornos de los siete centros nucleares existentes en España y en la frontera con otros países, estos últimos para detectar incidentes transfronterizos.

La investigación de la Unidad Central de Ciberdelincuencia de la Policía Nacional reveló que los autores del sabotaje habían cometido, en primer lugar, una intrusión en el sistema informático en el centro de control de la RAR, situado en la sede en Madrid de Protección Civil. Ellos habían trabajado antes de su despido en este edificio. Para esta intromisión, los presuntos saboteadores se valieron de la credencial supuestamente robada a otro operario, con la que fueron ascendiendo en el sistema hasta poder proceder al borrado de la aplicación de gestión de la RAR, donde se reciben y analizan los datos enviados por todas las unidades sensoras. El ataque dejó inoperativo el servicio durante varias horas, hasta que los servicios informáticos de Protección Civil pudieron ponerlo de nuevo en marcha.

Poco después de aquel ataque, y en dos oleadas sucesivas, los autores atacaron más de 300 sensores de los 803 existentes, lo que provocó fallos de conexión de estos con el centro de control, a la que no llegaba la información que recababan. El informe de Protección Civil referido a 2021 señala que ese año “ninguna estación en estado operativo de la red” había superado el umbral máximo de 0,575 sievert (unidad de medida del efecto sobre la salud de bajos niveles de radiación ionizante) que hubiera disparado las alarmas. Entre marzo y junio, cuando se produjo el ciberataque, los niveles no llegaron a 0,3. El documento detalla que en ese periodo Protección Civil tuvo que realizar 378 medidas correctivas en los equipos que obligaron a sustituir cinco sensores y cerca de 400 equipos informáticos, aunque no detalla si la causa fue el sabotaje. El año anterior habían sido casi un centenar menos, 281.

Las pesquisas policiales se centraron en analizar tanto el origen de la intromisión ilegal que había sufrido el sistema informático central como las comunicaciones recibidas por los sensores saboteados. La primera línea de investigación llevó hasta una cafetería en la calle de Fuencarral, en el madrileño barrio de Chamberí, cuya red pública de internet había sido utilizada para realizar el ataque sin dejar rastro de la autoría. La segunda permitió conocer los teléfonos desde los que se habían saboteado las más de 300 unidades sensoras y, con ello, identificar a los posibles autores y proceder a su detención. Ambos están acusados de un delito de daños informáticos y otro relativo a la energía nuclear, que castiga con hasta 12 años de cárcel a quien “exponga a una o varias personas a radiaciones ionizantes que pongan en peligro su vida, integridad, salud o bienes”.