A Iniciativa Cidadãos pela Cibersegurança denuncia que um perfil, denominado "DarkWebInformer, publicou às 10h52 PM de 29 de Abril de 2025 no seu perfil na rede social X (antigo Twitter) um post que pode estar relacionado com o apagão que começou em Espanha e alcançou Portugal a 28 de Abril", a um preço de 30 mil dólares.
"Ora existem relações entre empresas energéticas mexicanas e espanholas", revela nomeadamente a Iberdrola no México (empresa espanhola com presença no México), sendo que "a Iberdrola, uma das maiores empresas energéticas espanholas, tem uma presença significativa no México. Durante anos, investiu fortemente na geração de energia eléctrica no país, especialmente em energia renovável e ciclos combinados. Contudo, nos últimos anos, enfrentou tensões com o governo mexicano, que favorece a estatal CFE (Comisión Federal de Electricidad). Em 2023, a Iberdrola vendeu grande parte dos seus ativos no México à CFE, num acordo avaliado em cerca de 6 mil milhões de dólares, mas continua a funcionar no país com um perfil mais voltado às energias renováveis".
Também a Pemex e a Repsol (México-Espanha): "A Pemex (estatal mexicana de petróleo) já teve uma participação significativa na Repsol, a gigante espanhola do setor energético. A Pemex chegou a deter cerca de 7,9% da Repsol e tentou, sem sucesso, aumentar a sua influência na empresa, o que gerou fricções políticas e empresariais. Em 2014, a Pemex vendeu sua participação, encerrando essa tentativa de consolidação."
Os Cidadãos pela Cibersegurança frisam que "há uma possibilidade de aceder aos sistemas de controlo, em Espanha, destas empresas espanholas (como Iberdrola) que têm (ou tiveram) operações importantes no México", por exemplo com a "venda de acesso a empresa crítica mexicana na dark web: não é incomum que acessos a infraestruturas críticas (inclusive empresas energéticas) sejam vendidos em fóruns clandestinos. Esse tipo de acesso pode incluir credenciais RDP, VPNs corporativas ou falhas de segurança conhecidas. Se a empresa afetcada no México tiver relações operacionais ou digitais com empresas espanholas (por exemplo, Iberdrola, Naturgy ou REE), existe potencial risco de movimento lateral — ou seja, um ciberataque começar num país e propagar-se por conexões empresariais", revela.
Também sobre o apagão em Espanha a 28 de Abril, lembram que "até ao momento, não há confirmação pública oficial de que o apagão ocorrido neste dia tenha tido origem cibernética, muito menos ligada ao México mas é preciso ter em conta esta possibilidade e a intensa interdependência entre sistemas eléctricos ou fornecedores de serviços críticos (por exemplo, SCADA ou IoT vulneráveis)" e, acrescentam que "se houve uma cadeia de confiança entre uma empresa mexicana vulnerável e uma empresa espanhola – por exemplo, através de sistemas partilhados, consultores comuns, ou interligação de dados operacionais – um ataque bem-sucedido no México poderia teoricamente ser usado como vector para infiltrar uma entidade espanhola. Este tipo de operação exigiria, contudo, um atacante sofisticado (como APTs ou 'Advanced Persistent Threats'), geralmente com motivação política ou económica mas a escassa margem de tempo entre a publicação deste anúncio e o incidente de 28 de abril reduz a possibilidade de uma ligação entre ambos os fenómenos".
E continuam: "Não há dados públicos que confirmem essa ligação direta entre um ataque à empresa mexicana e um apagão em Espanha a 28 de Abril, mas a hipótese não pode ser descartada sem investigação forense. É tecnicamente plausível, sobretudo se existirem relações entre as empresas envolvidas. O juiz José Luis Calama, da Audiência Nacional de Espanha, iniciou uma investigação preliminar para determinar se o apagão foi resultado de um ciberataque às infraestruturas críticas espanholas. Embora a Red Eléctrica de España (REE) tenha descartado, até o momento (30 de Abril de 2025), a possibilidade de um incidente de cibersegurança nas suas instalações, todas as causas potenciais estão a ser analisadas, sem descartar qualquer possibilidade."
Assim, a CpC "reitera que, embora não existam provas públicas que liguem diretamente o apagão a um acesso vendido na dark web a uma empresa crítica mexicana, é importante notar que o mercado de venda de acessos a redes corporativas na dark web tem crescido significativamente. Estes acessos podem ser utilizados por cibercriminosos para se infiltrarem em infraestruturas críticas, potencialmente causando interrupções significativas e existe a possibilidade de partilha de consultores, empresas fornecedoras e colaboradores entre empresas energéticas mexicanas e espanholas".
E recorda que "em Portugal, é possível e legítimo a qualquer cidadão em Portugal apresentar uma denúncia ao Ministério Público (MP) solicitando a investigação de uma situação que considere relevante para o interesse público: incluindo suspeitas de ciberataques com impacto transnacional, como um possível envolvimento em apagões em Espanha relacionados com acessos vendidos na dark web. Se considerar que há indícios suficientes, o MP, pode abrir um inquérito e solicitar cooperação internacional, especialmente através da Eurojust ou ENISA, no caso de crimes cibernéticos que envolvam mais do que um país europeu."
Sem perder tempo, já o fizeram, denúncia essa apresentada ao Ministério Público esta quarta-feira, 30 de Abril de 2025
Ex.mo Senhor Procurador da República,
venho, na qualidade de cidadão português, apresentar uma denúncia formal relativamente à potencial venda e exploração ilícita de acesso a infraestrutura crítica estrangeira com possível ligação a incidentes de cibersegurança em território europeu.
1. Factos Reportados
Foi identificado num conhecido fórum da dark web (XSS.is), através do utilizador “bmox”, um anúncio público oferecendo o acesso privilegiado a sistemas críticos do Estado mexicano por um valor de $30.000 USD. O referido acesso pode estar associado a infraestruturas estratégicas do sector energético ou redes de comando e controlo com ligação transnacional. Considerando o recente apagão ocorrido em Espanha no dia 28 de abril de 2025, o qual ainda se encontra sob investigação, e tendo em conta a interligação crescente entre redes energéticas e infraestruturas ibero-americanas operadas por grupos empresariais espanhóis e mexicanos, existe fundamento para investigar uma possível ligação entre o acesso agora anunciado e esse incidente.
2. Prova Documental Junto à presente queixa anexo:
a. Captura de ecrã do anúncio publicado no fórum XSS.is (imagem anexa)
b. Perfil técnico do utilizador responsável pela venda (ver secção seguinte)
3. Perfil Técnico do Vendedor ('bmox')
Alias: bmox
Fórum: XSS.is (dark web)
Data de registo: 22/06/2020
Natureza do anúncio: Venda de acesso a “infraestrutura mexicana de alto valor estatal”
Comportamento e Estrutura da Venda:
Preço: $30.000 USD
Caução de 10% exigida via escrow
Provas só fornecidas após depósito
Contacto apenas via mensagem privada a compradores verificados
Exige reputação comprovada para negociação (indício de operação recorrente)
Possível Função Criminosa
Acess broker / Initial Access Broker: venda de ponto de entrada remoto (VPN, RDP, etc.)
Facilitador de ciberataques dirigidos com possível motivação geopolítica (língua russa)
Potencial ligação a grupos APT ou crime organizado.
4. Pedido ao Ministério Público
Face ao exposto, venho solicitar que:
a. Seja aberta investigação autónoma por parte do Ministério Público e PJ (UNC3T)
b. Seja realizada articulação com autoridades espanholas e mexicanas
c. Se solicite cooperação internacional com CERTs e Europol para validação técnica da ameaça
5. Nota sobre a fonte da imagem: DarkWebInformerA captura de ecrã anexa foi obtida através do site DarkWebInformer, uma plataforma de monitorização da dark web que publica regularmente conteúdos reais e não modificados de fóruns clandestinos, como XSS.is. Este site é amplamente utilizado por analistas de cibersegurança, investigadores e jornalistas como fonte secundária fiável para identificar ameaças emergentes, tendências de cibercrime e anúncios ilícitos. Contudo, importa esclarecer que:
a. O DarkWebInformer não valida a autenticidade técnica dos acessos vendidos, apenas publica os conteúdos conforme são divulgados nos fóruns;
b. Apesar disso, é considerado uma ferramenta útil para rastreamento preliminar e triagem de potenciais ameaças, podendo servir de ponto de partida para investigações forenses e criminais;
c. Os conteúdos ali divulgados devem ser objecto de verificação por entidades competentes, como unidades especializadas da PJ ou organismos internacionais (ex: Europol, CERTs nacionais).
d. Dado o elevado grau de organização e a natureza específica da oferta divulgada, entendo que há justificação para considerar esta denúncia credível e merecedora de investigação.
6. Ligação com operadores energéticos espanhóis: Iberdrola e Repsol
A possível ligação entre o acesso anunciado à infraestrutura crítica mexicana e o apagão eléctrico ocorrido em Espanha a 28 de abril de 2025 ganha relevância acrescida quando se consideram as interdependências tecnológicas e operacionais no setor energético ibero-americano.
As empresas Iberdrola e Repsol, ambas com operações relevantes no México e em Espanha, utilizam sistemas industriais de controlo como:
a. SCADA/EMS (Supervisory Control and Data Acquisition / Energy Management System): sistemas responsáveis pelo controlo remoto de centrais elétricas, subestações e redes de distribuição.
b. Centros de controlo de energias renováveis (CORE, CECORE): estruturas em tempo real que monitorizam a produção eólica, solar e outras fontes renováveis. Estes sistema estão tecnicamente ligados à rede nacional operada pela Red Eléctrica de España (REE), nomeadamente através do CECOEL (Centro de Control Eléctrico) e CECORE.São altamente sensíveis a acessos não autorizados, podendo, em caso de ataque ou manipulação, comprometer o equilíbrio da rede eléctrica.Tanto a Iberdrola como a Repsol operam ou estão integradas com:
a. Redes SCADA regionais e internacionais (em especial nos seus activos no México e em Espanha).
b. Centros de comando partilhados, que podem depender de conexões remotas ou integrações cloud-industrial, criando possíveis vectores de ataque cruzado.Assim, a venda do referido acesso à infraestrutura mexicana, se incluir sistemas SCADA/EMS interoperáveis com entidades espanholas, poderia permitir movimentação lateral ou ataque indirecto a activos na Península Ibérica, configurando uma ameaça transnacional concreta.
7. Reclamação de autoria por grupos de cibercriminosos pró-Rússia
Em 29 de abril de 2025, dois grupos de hackers com afiliação pró-Rússia, identificados como Dark Storm Team e NoName057(16), reivindicaram publicamente a responsabilidade pelo apagão que afetou Espanha, Portugal e partes de França no dia anterior, 28 de abril.Segundo notícias veiculadas pela imprensa internacional (Express.co.uk), estes grupos publicaram nas plataformas Telegram e X (antigo Twitter) mensagens provocatórias, incluindo:
'Isn’t it funny to cut off electricity to countries from home?
Os grupos partilharam também links alegadamente associados a redes governamentais portuguesas comprometidas, incluindo:
Ministério da Administração Interna
Ministério da Justiça (cujo site esteve indisponível a 28:
https://cidadaospelaciberseguranca.com/2025/04/28/o-grande-apagao-de-28-de-abril-de-2025-em-actualizacao/
Ministério do Ambiente e da Ação Climática
Presidência do Conselho de Ministros Denúncia feita ao MP
