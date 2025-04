A Iniciativa Cidadãos pela Cibersegurança denuncia que um perfil, denominado "DarkWebInformer, publicou às 10h52 PM de 29 de Abril de 2025 no seu perfil na rede social X (antigo Twitter) um post que pode estar relacionado com o apagão que começou em Espanha e alcançou Portugal a 28 de Abril", a um preço de 30 mil dólares.

"Ora existem relações entre empresas energéticas mexicanas e espanholas", revela nomeadamente a Iberdrola no México (empresa espanhola com presença no México), sendo que "a Iberdrola, uma das maiores empresas energéticas espanholas, tem uma presença significativa no México. Durante anos, investiu fortemente na geração de energia eléctrica no país, especialmente em energia renovável e ciclos combinados. Contudo, nos últimos anos, enfrentou tensões com o governo mexicano, que favorece a estatal CFE (Comisión Federal de Electricidad). Em 2023, a Iberdrola vendeu grande parte dos seus ativos no México à CFE, num acordo avaliado em cerca de 6 mil milhões de dólares, mas continua a funcionar no país com um perfil mais voltado às energias renováveis".



Também a Pemex e a Repsol (México-Espanha): "A Pemex (estatal mexicana de petróleo) já teve uma participação significativa na Repsol, a gigante espanhola do setor energético. A Pemex chegou a deter cerca de 7,9% da Repsol e tentou, sem sucesso, aumentar a sua influência na empresa, o que gerou fricções políticas e empresariais. Em 2014, a Pemex vendeu sua participação, encerrando essa tentativa de consolidação."



Os Cidadãos pela Cibersegurança frisam que "há uma possibilidade de aceder aos sistemas de controlo, em Espanha, destas empresas espanholas (como Iberdrola) que têm (ou tiveram) operações importantes no México", por exemplo com a "venda de acesso a empresa crítica mexicana na dark web: não é incomum que acessos a infraestruturas críticas (inclusive empresas energéticas) sejam vendidos em fóruns clandestinos. Esse tipo de acesso pode incluir credenciais RDP, VPNs corporativas ou falhas de segurança conhecidas. Se a empresa afetcada no México tiver relações operacionais ou digitais com empresas espanholas (por exemplo, Iberdrola, Naturgy ou REE), existe potencial risco de movimento lateral — ou seja, um ciberataque começar num país e propagar-se por conexões empresariais", revela.

Também sobre o apagão em Espanha a 28 de Abril, lembram que "até ao momento, não há confirmação pública oficial de que o apagão ocorrido neste dia tenha tido origem cibernética, muito menos ligada ao México mas é preciso ter em conta esta possibilidade e a intensa interdependência entre sistemas eléctricos ou fornecedores de serviços críticos (por exemplo, SCADA ou IoT vulneráveis)" e, acrescentam que "se houve uma cadeia de confiança entre uma empresa mexicana vulnerável e uma empresa espanhola – por exemplo, através de sistemas partilhados, consultores comuns, ou interligação de dados operacionais – um ataque bem-sucedido no México poderia teoricamente ser usado como vector para infiltrar uma entidade espanhola. Este tipo de operação exigiria, contudo, um atacante sofisticado (como APTs ou 'Advanced Persistent Threats'), geralmente com motivação política ou económica mas a escassa margem de tempo entre a publicação deste anúncio e o incidente de 28 de abril reduz a possibilidade de uma ligação entre ambos os fenómenos".

E continuam: "Não há dados públicos que confirmem essa ligação direta entre um ataque à empresa mexicana e um apagão em Espanha a 28 de Abril, mas a hipótese não pode ser descartada sem investigação forense. É tecnicamente plausível, sobretudo se existirem relações entre as empresas envolvidas. O juiz José Luis Calama, da Audiência Nacional de Espanha, iniciou uma investigação preliminar para determinar se o apagão foi resultado de um ciberataque às infraestruturas críticas espanholas. Embora a Red Eléctrica de España (REE) tenha descartado, até o momento (30 de Abril de 2025), a possibilidade de um incidente de cibersegurança nas suas instalações, todas as causas potenciais estão a ser analisadas, sem descartar qualquer possibilidade."

Assim, a CpC "reitera que, embora não existam provas públicas que liguem diretamente o apagão a um acesso vendido na dark web a uma empresa crítica mexicana, é importante notar que o mercado de venda de acessos a redes corporativas na dark web tem crescido significativamente. Estes acessos podem ser utilizados por cibercriminosos para se infiltrarem em infraestruturas críticas, potencialmente causando interrupções significativas e existe a possibilidade de partilha de consultores, empresas fornecedoras e colaboradores entre empresas energéticas mexicanas e espanholas".

E recorda que "em Portugal, é possível e legítimo a qualquer cidadão em Portugal apresentar uma denúncia ao Ministério Público (MP) solicitando a investigação de uma situação que considere relevante para o interesse público: incluindo suspeitas de ciberataques com impacto transnacional, como um possível envolvimento em apagões em Espanha relacionados com acessos vendidos na dark web. Se considerar que há indícios suficientes, o MP, pode abrir um inquérito e solicitar cooperação internacional, especialmente através da Eurojust ou ENISA, no caso de crimes cibernéticos que envolvam mais do que um país europeu."

Sem perder tempo, já o fizeram, denúncia essa apresentada ao Ministério Público esta quarta-feira, 30 de Abril de 2025