Euskadi activará el ‘ciber-LABI’ ante ataques de hackers contra infraestructuras críticas

Euskadi será la primera comunidad del Estado en disponer de un Plan de Protección Civil (LABI) para afrontar cualquier ciberataque contra infraestructuras críticas que puedan comprometer servicios básicos (energía, agua, sanidad, transporte, telecomunicaciones, etc.) o sistemas públicos que afecten a la seguridad ciudadana.

La Agencia Vasca de Ciberseguridad (Cyberzaintza) será la encargada de solicitar la activación del ciberLABI en función de la gravedad del ataque o fallo técnico. El apagón masivo del 28 de abril de 2025 puso en jaque las infraestructuras críticas del Estado. Aunque las investigaciones descartaron la autoría externa, este evento subrayó la vulnerabilidad extrema de la red eléctrica ante posibles ciberataques de guerra híbrida.

Haber pensado de primeras en un ciberataque aquel día no tiene nada de conspiranoico. El Instituto Nacional de Ciberseguridad (INCIBE) atendió en 2025 un total de 401 incidentes en el ámbitos de los operadores esenciales (34% banca, 14% transporte, 8% energía, 7% infraestructuras de los mercados financieros y 6% fondos de pensiones).

A nivel mundial, la mayoría de los ciberataques entre 2024 y 2025 tuvieron como diana infraestructuras críticas con un gran impacto en la seguridad y la salud ciudadana, un cambio de tendencia donde los hackers ya no solo buscan dinero, sino causar inestabilidad social.

Euskadi, como es lógico, no es un islote en medio de un mar global donde los ciberataques son cada vez más sofisticados. Desde 2023 se han incrementado un 48% los ciberdelitos (143.000 infracciones penales registradas por la Ertzaintza y las Policías Locales, el 20% del total de delitos).

Con los datos consolidados de 2025, la la Cyberzaintza reportó una media de 3.500 eventos semanales relacionados con malware con impacto potencial en organizaciones vascas: 500 al día, 21 a la hora. El malware es un programa o código informático diseñado específicamente para infiltrarse en un sistema. No tiene una única utilidad. Su propósito depende de la ambición del atacante: dinero, espionaje o simple generar caos.

Se disparan los ataques a empresas

Las ciberestafas son, con diferencia, el delito más repetido. Incluyen desde cargos no autorizados en tarjetas hasta estafas en plataformas de segunda mano como Wallapop o Milanuncios, que se dispararon especialmente en territorios como Gipuzkoa. El envío de correos o SMS fraudulentos para robar claves bancarias (phishing y smishing) creció un 29%. Es la puerta de entrada más común para el robo de identidad. El ransomware, aunque es menos frecuente que las estafas, tuvo impacto crítico en las empresas vascas.

En 2025, estos chantajes digitales aumentaron un 46% solo entre el cierre de 2024 y el inicio de 2025. En el cuarto trimestre, el Centro de Ciberseguridad Industrial de Gipuzkoa (ZIUR) detectó 2.000 incidentes de ransomware tanto contra la industria como contra servicios públicos de salud y construcción. Otra tendencia clave fue el uso de deepfakes y correos corporativos comprometidos generados por inteligencia artificial, que aumentaron un 37% para engañar a empleados y ciudadanos. 

Las Administraciones también han sido el blanco de este tipo de delincuentes. En 2024 y principios de 2025, instituciones vascas como el Parlamento Vasco, la Diputación de Gipuzkoa y ayuntamientos como el de Donostia e Irun sufrieron caídas de servicio de varias horas debido a ataques del grupo prorruso NoName057(16). Buscaban colapsar servidores y páginas web para que dejasen de funcionar. Más allá del desconcierto y la desorganización generados, no hubo que lamentar riesgos personales. Pero la amenaza está ahí, por eso el Gobierno vasco ha hado luz verde a un LABI específico que aborde los ciberataques críticos.

Ciberincidentes a gran escala

El consejero de Seguridad, Bingen Zupiria, ha destacado que "los ciberataques son, hoy en día, un nuevo riesgo que puede suponer un problema para la ciudadanía". "Más allá de los ciberdelitos que podamos sufrir en nuestro día a día y que puedan generarnos cierta inquietud, nos enfrentamos a posibles ciberincidentes de gran magnitud los cuales presentan características que nos pueden crear situaciones de gran debilidad: la posibilidad de afectar simultáneamente a sistemas sanitarios, energéticos, logísticos, de seguridad, financieros o de comunicación", ha advertido.

Además, ha subrayado, "la velocidad de propagación del daño, la dificultad para conocer el origen, y el impacto potencial sobre la ciudadanía, así como sobre el orden público, pueden complicar el día a día de la ciudadanía". Zupiria ha recordado que el LABI constituye el "instrumento fundamental" de ordenación de la gestión de emergencias de Euskadi. Establece para ello los criterios generales a los que debe ajustarse su planificación para hacer frente a las emergencias de tipo catastrófico que requieran de una dirección o coordinación autonómica.

Explicó que la activación del ciberLABI podrá producirse cuando, en función del análisis de la Ciberzaintza se estime que la continuidad de servicios básicos pudiera verse gravemente comprometida en Euskadi, debido a un ataque deliberado, un fallo sistémico o una amenaza que pueda comprometer servicios básicos, infraestructuras básicas o el normal funcionamiento de los sistemas públicos que afectan a la seguridad de la ciudadanía.

Dentro de las competencias

Se valorarán problemas como la pérdida de funcionalidad en servicios básicos, el riesgo para la integridad de infraestructuras básicas, y el impacto social o institucional del incidente. Zupiria ha afirmado que la creación del ciber-LABI "no implica modificar el propio Plan de Protección Civil de Euskadi ni crear figuras normativas nuevas". "Hemos analizado cómo aprovechar nuestro marco organizativo en materia de protección civil como base de referencia para la coordinación institucional en escenarios de emergencia cibernética grave", ha precisado.

El consejero ha destacado que, "afortunadamente, hasta ahora Euskadi no ha sufrido un incidente de origen digital que justificara la activación del LABI", pero "ante la evidencia de que se están produciendo situaciones nuevas nos ha parecido importante contar con un procedimiento que, si fuera necesario, activaríamos".

Según ha insistido, "en ningún caso sustituimos al LABI, lo que hacemos es aprovechar su estructura organizativa y funcionamiento es incorporar una nueva previsión o alarma". Además, cree necesario "seguir trabajando en la autoprotección, en la cultura de preparación y conciencia social sobre los riesgos cibernéticos". "La anticipación, la preparación, la formación continua y los simulacros son elementos clave para mitigar el impacto y reducir los tiempos de respuesta", ha concluido.