Auto Penal Audiencia Nacional. Juzgado Central de Instrucción nº 4, Rec. 34/2025 de 12 de enero del 2026

PRIMERO. Hechos investigados.

Sobre las 12,30 horas del día 28.04.2025 todo el territorio peninsular sufrió un apagón eléctrico, que comenzó a recuperarse parcialmente a partir de las 16.30 horas. Según informó el Gobierno de España pasadas las 12.30 horas se perdieron de forma súbita, durante cinco segundos, 15 GW de la energía que se estaba produciendo en ese momento, lo que equivale al 60% de la luz que se estaba consumiendo, siendo "algo que no había ocurrido jamás". Estos hechos afectaron a sistemas informáticos que soportan infraestructuras que proporcionan los servicios esenciales a la sociedad, como salud, energía, industria, transporte etc., supusieron una situación crítica para el bienestar y sentimiento de seguridad de todos los ciudadanos.

Estos hechos podrían haber constituido un delito de terrorismo, previsto y penado en el art. 573.1 y 2 CP, conforme al cual se considerarán delitos de terrorismo los delitos informáticos tipificados en los arts. 197 bis y 197 ter y 264 a 264 quáter cuando los hechos se cometan con alguna de las siguientes finalidades: 1ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo; 2ª Alterar gravemente la paz pública; 3ª Desestabilizar gravemente el funcionamiento de una organización internacional; y 4ª Provocar un estado de terror en la población o en una parte de ella.

SEGUNDO. Resultado de las diligencias de investigación acordadas.

En el primer informe emitido con fecha 18.06. 2025 por la Comisaría General de Información sobre la eventual existencia de una causa delictiva origen del incidente antedicho, basado en el análisis de toda la información remitida a dicha fuerza actuante conforme a lo acordado por este órgano judicial, se atisbaba ya la ausencia de indicios de etiología delictual en los hechos investigados, así como la ausencia de indicios de los hechos pudieren traer causa en un ciberataque.

Entre las informaciones analizadas para extraer esas conclusiones se encontraban documentos e informes emitidos por Red Eléctrica como "operador del sistema eléctrico", así como por el Centro Criptológico Nacional (CCN). Por su parte, la Comisaría General de Información procedió a la monitorización de canales de difusión, vinculados al ámbito del "hacktivismo" internacional, al objeto de identificar posibles atribuciones públicas, concluyendo que las existentes carecerían de fundamento técnico o probatorio.

No obstante, al objeto de corroborar tales conclusiones preliminares se acordó la práctica de nuevas diligencias de investigación que permitieran corroborar estas consideraciones preliminares. A estos efectos se recabó información complementaria el Centro Criptológico Nacional (CCN-CNI), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), la Oficina de Coordinación de Ciberseguridad (OCC), y Red Eléctrica, en los términos expuestos en el antecedente de hecho quinto.

Con fecha 30.04.2025 el Consejo de Seguridad Nacional acordó mediante orden comunicada de la Vicepresidenta Tercera del Gobierno y Ministra para la Transición Ecológica y el Reto Demográfico, la creación del "Comité para el análisis de las circunstancias que concurrieron en la crisis de electricidad del 28 de abril", integrado por personal del Ministerio de Transición Ecológica y Reto Demográfico (MITECO), Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), OCC, CCN-CNI, MCCE, INCIBE y la Subdirección General de Seguridad Digital (SGSD)

Este Comité organizó su actividad en dos grupos de trabajo. El Grupo de Trabajo de Ciberseguridad y Sistemas Digitales (GTCSD), formado por OCC, CCN-CNI, INCIBE, MCCE, CNPIC, un representante del MITECO y la SGSD, asumiendo este último el rol coordinador. Y el Grupo de Trabajo de Operación del Sistema Eléctrico (GTOSE), compuesto por el Secretario de Estado de Energía, el Director de Política Energética y Minas, el Director General de Planificación y Coordinación Energética, el Subdirector de Energía Eléctrica y el Director del Instituto para la Diversificación y Ahorro de la Energía.

Para lleva a efecto las visitas de las instalaciones de los centros de control, se crearon dentro del GTCSD seis equipos de respuesta rápida, liderados por el ESPEDEF-CERT (MCCE), el CCN-CERT e INCIBE-CERT, respectivamente, a fin de elaborar los oportunos informes de cada una de las visitas a los centros de control, remitiendo estos a la SGSD y este organismo al Comité 28-A para la elaboración de su informe final y sus conclusiones elevadas al Consejo de Seguridad Nacional para su aprobación final.

El resultado de dichas diligencias ha sido el siguiente:

1. El informe del Centro Criptológico Nacional emitido con fecha 30.09.2025, con número de referencia 12630, concluye: (i) que el análisis del archivo de 70Gb correspondiente a la información contenida en el sistema basado en la tecnología OpenSearch donde se recogen y centralizan todos los eventos de seguridad que generan sus sistemas de Tecnología Operativa (OT), no ha aportado ningún dato o elemento que haga variar las conclusiones alcanzadas en el informe que se ponía en conocimiento la no identificación de acciones cibernéticas dañinas o evidencias relacionadas con un ciberataque; (ii) que no se encuentran indicios que apunten a un ciberataque de un grupo de cibercrimen, actores estado o grupos terroristas perpetrado el día 28.04.2025.

2. El informe del Mando Conjunto del Ciberespacio (MCCE), pone de manifiesto que tras la visita de cinco centros de control de las estaciones de generación del sistema eléctrico al objeto de analizar la información registrada en los sistemas e identificar la existencia de indicios que pudieran apuntar a una acción potencialmente dañina de carácter cibernético, concluye que no se observa ningún ciberataque de grupo de cibercrimen, actores estado o grupos terroristas contra las infraestructuras objeto de análisis.

3. El Instituto Nacional de Ciberseguridad (INCIBE) emite ocho informes (informes resultados RRT6 2 E; informe resultados RRT6 1 E; informe resultados RRT5 2 E; informe resultados RRT5 1 E; informe resultados RRT6 2 R; informe resultados RRT6 1 E; e informe resultados RRT5 2 E informe resultados RRT5 1 R), que concluyen la no detección de ningún tipo de acción potencialmente dañina de carácter cibernético que pudiese afectar a los centros de control auditados.

4. La Oficina de Coordinación de Ciberseguridad (OCC) con fecha 05.09.2025 informa que han ejecutado doce visitas a los centros que relaciona, sin que se haya obtenido indicios de ningún tipo de ciberataque relacionado con el incidente del 28.04.2025.

5. El informe emitido por la Comisaría General de Información tras analizar las 8.028 grabaciones y 1.296 correos, proporcionados por REE, de las conversaciones e intercambio de información que tuvieron lugar desde los centros de control en el período comprendido entre las 00 horas del día 18.04.2025 a las 00 horas y del día 30.04.2025, concluye que en ninguno de estos audios y correos electrónicos se hace alusión a un ciberataque o intrusión a los sistemas de REE.

6. Informe del Comité para el análisis de las circunstancias de la crisis de electricidad del 28.04.2025, analiza cómo el cero eléctrico tuvo un origen multifactorial, en el que confluyeron tres elementos: (I) El sistema mostraba una capacidad de control de tensión insuficiente debido, por un lado, a que el día anterior al incidente, el Operador del Sistema programó la actividad de 10 centrales síncronas con capacidad para regular tensión el día 28 de acuerdo con su consigna, siendo el número final de centrales síncronas acopladas el más bajo desde el inicio de año; y, por otro, a varias de las centrales capaces de regular la tensión no respondieron adecuadamente a las consignas del Operador del Sistema para reducirla, e incluso alguna produjo energía reactiva, contribuyendo así a incrementar el problema. (II) Se produjeron las oscilaciones. (III) Se desconectaron centrales de generación, algunas de un modo

aparentemente indebido. De esta manera concluye que faltaron recursos de control de tensión, bien porque no estaban programados en suficiencia, bien porque los que estaban programados no la proporcionaban adecuadamente, o bien por una combinación de ambos, pero no porque faltaran en el país, pues había un parque de generación más que suficiente para responder.

Todos y cada uno de estos informes descartan de forma absoluta la existencia de indicios que permitan inferir que el origen de los hechos investigados se encuentre en una acción de terrorismo informático.

TERCERO. Sobreseimiento provisional.

El art. 779 LECrim, en relación con el art. 641.1 de dicho Texto Procesal, permite al instructor acordar el sobreseimiento provisional de las actuaciones cuando, tras la práctica de las diligencias de investigación oportunas, no resulte debidamente justificada la perpetración del delito que ha dado motivo a la formación de la causa.

Conforme a lo expuesto en el anterior fundamento de derecho no existe un mínimo indicio de que los hechos investigados traigan causa en un acto de sabotaje terrorista, hecho motivador de la presente investigación, y de la competencia objetiva de este órgano para llevarla a efecto. Llegados a este punto no se deben efectuar planteamientos hipotéticos, ni seguir indagando en orden a determinar la causa generadora de los hechos una vez descartado su carácter delictivo.

A raíz de las diligencias de instrucción practicadas se infiere un conflicto de naturaleza eminentemente administrativo y/o civil relacionado con los distintos operadores que intervienen en la generación de la energía eléctrica. Estos hechos, ante la ausencia de cualquier indicio delictivo, deben quedar fuera de la vía penal, máxime cuando existen otros mecanismos de solución. Como expresa el AAN número 803/2025, Sec. 3ª, de 12.12.2025, con cita de las SSTC 34/2008, 63/2010, y 153/2013, "tampoco existe un derecho a la práctica ilimitada de la prueba, de manera tal que imponga la realización de cuantas diligencias de investigación se perciban como posibles o imaginables, propuestas por las partes o practicadas de oficio, particularmente si resulta evidente que el despliegue de mayores diligencias deviene innecesario. Semejante obligación conduciría a instrucciones inútiles en perjuicio del interés general en una gestión racional y eficaz de los recursos de la Administración de Justicia".

Asimismo, debemos recordar el carácter subsidiario de la norma penal en la misma forma que el principio de intervención mínima interpela al legislador. Al respecto, como establece la STS 262/2007, "el derecho penal constituye la última razón aplicable a los hechos más graves parala convivencia social, debemos recordar que en este sentido el derecho penal se rige por unos principios esenciales, entre ellos, el de legalidad y el de mínima intervención. (....) El segundo supone que la sanción penal no debe actuar cuando existe la posibilidad de utilizar otros medios o instrumentos jurídicos no penales para restablecer el orden jurídico".

La STS 185/2023 analiza con sumo detalle el principio de intervención mínima del derecho penal señalando que "es un principio informador de la dogmática penal, aunque no alcanza a tener un carácter esencial en el derecho penal, en la medida en que no tiene respaldo constitucional alguno. Se trata de un lugar común, de una idea, por la que se trata de indagar y buscar limitaciones a la aplicación de los tipos penales sobre la base de escasa lesividad que justifique la intervención del derecho penal (...) De esta manera, las lesiones a los bienes jurídicos tendrían una primera respuesta con la aplicación de otros instrumentos de control social, u otras ramas del ordenamiento jurídico, reservando la utilización del derecho penal, únicamente, a los supuestos más graves, graduando la respuesta sancionadora en virtud de una mínima intervención respecto de la justificación de la tipicidad penal (...) El derecho penal no sanciona todas las conductas contrarias al bien jurídico, sino tan solo las modalidades de agresión más peligrosas, ya que su finalidad es atender a la defensa social que surge no de la simple infracción de la legalidad administrativa, recordando que es un principio dirigido al legislador y no al aplicador del derecho que debe sujetarse al principio de legalidad su contenido es explicativo de la política criminal y da la explicación de los tipos penales".

En definitiva, tras la práctica de las numerosas diligencias de investigación acordadas no se ha podido acreditar de forma mínima la existencia de un hecho con relevancia penal. El sobreseimiento provisional no exige certeza negativa sobre la inexistencia del delito, sino la ausencia de elementos suficientes para continuar la investigación. Asimismo, debe destacarse que la eventual existencia de una infracción administrativa o civil no puede justificar la continuación del proceso penal, dado que el Derecho penal actúa como última ratio y requiere la concurrencia de elementos típicos, antijurídicos y culpables para la apertura de juicio oral. En este sentido, la determinación de responsabilidades en otras jurisdicciones resulta irrelevante para valorar la existencia de indicios de delito en sede penal. Por tanto, procede acordar el sobreseimiento provisional de la causa, siendo ya en otras instancias administrativas o civiles donde, en su caso, habrán de determinarse las responsabilidades derivadas de los hechos que aquí han sido objeto de investigación.

CUARTO. Solicitud de declaración parcial del secreto de las actuaciones

Por la representación procesal de Red Eléctrica se ha presentado escrito de fecha 23.12.2025 interesando el secreto parcial de las actuaciones, que fue levantado mediante auto de fecha 22.12.2025. Dicha solicitud es incompatible con esta última resolución, por cuanto conforme a lo dispuesto en el art. 18.1 LOPJ "las resoluciones judiciales solo podrán dejarse sin efecto en virtud de los recursos previstos en las leyes".Por consiguiente, la pretensión en cuestión deberá verificarse mediante la interposición de los correspondientes recursos contra la resolución que acordó el levantamiento del secreto.

Vistos los artículos citados y demás de general y pertinente aplicación,

PRIMERO. Hechos investigados.

Sobre las 12,30 horas del día 28.04.2025 todo el territorio peninsular sufrió un apagón eléctrico, que comenzó a recuperarse parcialmente a partir de las 16.30 horas. Según informó el Gobierno de España pasadas las 12.30 horas se perdieron de forma súbita, durante cinco segundos, 15 GW de la energía que se estaba produciendo en ese momento, lo que equivale al 60% de la luz que se estaba consumiendo, siendo "algo que no había ocurrido jamás". Estos hechos afectaron a sistemas informáticos que soportan infraestructuras que proporcionan los servicios esenciales a la sociedad, como salud, energía, industria, transporte etc., supusieron una situación crítica para el bienestar y sentimiento de seguridad de todos los ciudadanos.

Estos hechos podrían haber constituido un delito de terrorismo, previsto y penado en el art. 573.1 y 2 CP, conforme al cual se considerarán delitos de terrorismo los delitos informáticos tipificados en los arts. 197 bis y 197 ter y 264 a 264 quáter cuando los hechos se cometan con alguna de las siguientes finalidades: 1ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo; 2ª Alterar gravemente la paz pública; 3ª Desestabilizar gravemente el funcionamiento de una organización internacional; y 4ª Provocar un estado de terror en la población o en una parte de ella.

SEGUNDO. Resultado de las diligencias de investigación acordadas.

En el primer informe emitido con fecha 18.06. 2025 por la Comisaría General de Información sobre la eventual existencia de una causa delictiva origen del incidente antedicho, basado en el análisis de toda la información remitida a dicha fuerza actuante conforme a lo acordado por este órgano judicial, se atisbaba ya la ausencia de indicios de etiología delictual en los hechos investigados, así como la ausencia de indicios de los hechos pudieren traer causa en un ciberataque.

Entre las informaciones analizadas para extraer esas conclusiones se encontraban documentos e informes emitidos por Red Eléctrica como "operador del sistema eléctrico", así como por el Centro Criptológico Nacional (CCN). Por su parte, la Comisaría General de Información procedió a la monitorización de canales de difusión, vinculados al ámbito del "hacktivismo" internacional, al objeto de identificar posibles atribuciones públicas, concluyendo que las existentes carecerían de fundamento técnico o probatorio.

No obstante, al objeto de corroborar tales conclusiones preliminares se acordó la práctica de nuevas diligencias de investigación que permitieran corroborar estas consideraciones preliminares. A estos efectos se recabó información complementaria el Centro Criptológico Nacional (CCN-CNI), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), la Oficina de Coordinación de Ciberseguridad (OCC), y Red Eléctrica, en los términos expuestos en el antecedente de hecho quinto.

Con fecha 30.04.2025 el Consejo de Seguridad Nacional acordó mediante orden comunicada de la Vicepresidenta Tercera del Gobierno y Ministra para la Transición Ecológica y el Reto Demográfico, la creación del "Comité para el análisis de las circunstancias que concurrieron en la crisis de electricidad del 28 de abril", integrado por personal del Ministerio de Transición Ecológica y Reto Demográfico (MITECO), Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), OCC, CCN-CNI, MCCE, INCIBE y la Subdirección General de Seguridad Digital (SGSD)

Este Comité organizó su actividad en dos grupos de trabajo. El Grupo de Trabajo de Ciberseguridad y Sistemas Digitales (GTCSD), formado por OCC, CCN-CNI, INCIBE, MCCE, CNPIC, un representante del MITECO y la SGSD, asumiendo este último el rol coordinador. Y el Grupo de Trabajo de Operación del Sistema Eléctrico (GTOSE), compuesto por el Secretario de Estado de Energía, el Director de Política Energética y Minas, el Director General de Planificación y Coordinación Energética, el Subdirector de Energía Eléctrica y el Director del Instituto para la Diversificación y Ahorro de la Energía.

Para lleva a efecto las visitas de las instalaciones de los centros de control, se crearon dentro del GTCSD seis equipos de respuesta rápida, liderados por el ESPEDEF-CERT (MCCE), el CCN-CERT e INCIBE-CERT, respectivamente, a fin de elaborar los oportunos informes de cada una de las visitas a los centros de control, remitiendo estos a la SGSD y este organismo al Comité 28-A para la elaboración de su informe final y sus conclusiones elevadas al Consejo de Seguridad Nacional para su aprobación final.

El resultado de dichas diligencias ha sido el siguiente:

1. El informe del Centro Criptológico Nacional emitido con fecha 30.09.2025, con número de referencia 12630, concluye: (i) que el análisis del archivo de 70Gb correspondiente a la información contenida en el sistema basado en la tecnología OpenSearch donde se recogen y centralizan todos los eventos de seguridad que generan sus sistemas de Tecnología Operativa (OT), no ha aportado ningún dato o elemento que haga variar las conclusiones alcanzadas en el informe que se ponía en conocimiento la no identificación de acciones cibernéticas dañinas o evidencias relacionadas con un ciberataque; (ii) que no se encuentran indicios que apunten a un ciberataque de un grupo de cibercrimen, actores estado o grupos terroristas perpetrado el día 28.04.2025.

2. El informe del Mando Conjunto del Ciberespacio (MCCE), pone de manifiesto que tras la visita de cinco centros de control de las estaciones de generación del sistema eléctrico al objeto de analizar la información registrada en los sistemas e identificar la existencia de indicios que pudieran apuntar a una acción potencialmente dañina de carácter cibernético, concluye que no se observa ningún ciberataque de grupo de cibercrimen, actores estado o grupos terroristas contra las infraestructuras objeto de análisis.

3. El Instituto Nacional de Ciberseguridad (INCIBE) emite ocho informes (informes resultados RRT6 2 E; informe resultados RRT6 1 E; informe resultados RRT5 2 E; informe resultados RRT5 1 E; informe resultados RRT6 2 R; informe resultados RRT6 1 E; e informe resultados RRT5 2 E informe resultados RRT5 1 R), que concluyen la no detección de ningún tipo de acción potencialmente dañina de carácter cibernético que pudiese afectar a los centros de control auditados.

4. La Oficina de Coordinación de Ciberseguridad (OCC) con fecha 05.09.2025 informa que han ejecutado doce visitas a los centros que relaciona, sin que se haya obtenido indicios de ningún tipo de ciberataque relacionado con el incidente del 28.04.2025.

5. El informe emitido por la Comisaría General de Información tras analizar las 8.028 grabaciones y 1.296 correos, proporcionados por REE, de las conversaciones e intercambio de información que tuvieron lugar desde los centros de control en el período comprendido entre las 00 horas del día 18.04.2025 a las 00 horas y del día 30.04.2025, concluye que en ninguno de estos audios y correos electrónicos se hace alusión a un ciberataque o intrusión a los sistemas de REE.

6. Informe del Comité para el análisis de las circunstancias de la crisis de electricidad del 28.04.2025, analiza cómo el cero eléctrico tuvo un origen multifactorial, en el que confluyeron tres elementos: (I) El sistema mostraba una capacidad de control de tensión insuficiente debido, por un lado, a que el día anterior al incidente, el Operador del Sistema programó la actividad de 10 centrales síncronas con capacidad para regular tensión el día 28 de acuerdo con su consigna, siendo el número final de centrales síncronas acopladas el más bajo desde el inicio de año; y, por otro, a varias de las centrales capaces de regular la tensión no respondieron adecuadamente a las consignas del Operador del Sistema para reducirla, e incluso alguna produjo energía reactiva, contribuyendo así a incrementar el problema. (II) Se produjeron las oscilaciones. (III) Se desconectaron centrales de generación, algunas de un modo

aparentemente indebido. De esta manera concluye que faltaron recursos de control de tensión, bien porque no estaban programados en suficiencia, bien porque los que estaban programados no la proporcionaban adecuadamente, o bien por una combinación de ambos, pero no porque faltaran en el país, pues había un parque de generación más que suficiente para responder.

Todos y cada uno de estos informes descartan de forma absoluta la existencia de indicios que permitan inferir que el origen de los hechos investigados se encuentre en una acción de terrorismo informático.

TERCERO. Sobreseimiento provisional.

El art. 779 LECrim, en relación con el art. 641.1 de dicho Texto Procesal, permite al instructor acordar el sobreseimiento provisional de las actuaciones cuando, tras la práctica de las diligencias de investigación oportunas, no resulte debidamente justificada la perpetración del delito que ha dado motivo a la formación de la causa.

Conforme a lo expuesto en el anterior fundamento de derecho no existe un mínimo indicio de que los hechos investigados traigan causa en un acto de sabotaje terrorista, hecho motivador de la presente investigación, y de la competencia objetiva de este órgano para llevarla a efecto. Llegados a este punto no se deben efectuar planteamientos hipotéticos, ni seguir indagando en orden a determinar la causa generadora de los hechos una vez descartado su carácter delictivo.

A raíz de las diligencias de instrucción practicadas se infiere un conflicto de naturaleza eminentemente administrativo y/o civil relacionado con los distintos operadores que intervienen en la generación de la energía eléctrica. Estos hechos, ante la ausencia de cualquier indicio delictivo, deben quedar fuera de la vía penal, máxime cuando existen otros mecanismos de solución. Como expresa el AAN número 803/2025, Sec. 3ª, de 12.12.2025, con cita de las SSTC 34/2008, 63/2010, y 153/2013, "tampoco existe un derecho a la práctica ilimitada de la prueba, de manera tal que imponga la realización de cuantas diligencias de investigación se perciban como posibles o imaginables, propuestas por las partes o practicadas de oficio, particularmente si resulta evidente que el despliegue de mayores diligencias deviene innecesario. Semejante obligación conduciría a instrucciones inútiles en perjuicio del interés general en una gestión racional y eficaz de los recursos de la Administración de Justicia".

Asimismo, debemos recordar el carácter subsidiario de la norma penal en la misma forma que el principio de intervención mínima interpela al legislador. Al respecto, como establece la STS 262/2007, "el derecho penal constituye la última razón aplicable a los hechos más graves parala convivencia social, debemos recordar que en este sentido el derecho penal se rige por unos principios esenciales, entre ellos, el de legalidad y el de mínima intervención. (....) El segundo supone que la sanción penal no debe actuar cuando existe la posibilidad de utilizar otros medios o instrumentos jurídicos no penales para restablecer el orden jurídico".

La STS 185/2023 analiza con sumo detalle el principio de intervención mínima del derecho penal señalando que "es un principio informador de la dogmática penal, aunque no alcanza a tener un carácter esencial en el derecho penal, en la medida en que no tiene respaldo constitucional alguno. Se trata de un lugar común, de una idea, por la que se trata de indagar y buscar limitaciones a la aplicación de los tipos penales sobre la base de escasa lesividad que justifique la intervención del derecho penal (...) De esta manera, las lesiones a los bienes jurídicos tendrían una primera respuesta con la aplicación de otros instrumentos de control social, u otras ramas del ordenamiento jurídico, reservando la utilización del derecho penal, únicamente, a los supuestos más graves, graduando la respuesta sancionadora en virtud de una mínima intervención respecto de la justificación de la tipicidad penal (...) El derecho penal no sanciona todas las conductas contrarias al bien jurídico, sino tan solo las modalidades de agresión más peligrosas, ya que su finalidad es atender a la defensa social que surge no de la simple infracción de la legalidad administrativa, recordando que es un principio dirigido al legislador y no al aplicador del derecho que debe sujetarse al principio de legalidad su contenido es explicativo de la política criminal y da la explicación de los tipos penales".

En definitiva, tras la práctica de las numerosas diligencias de investigación acordadas no se ha podido acreditar de forma mínima la existencia de un hecho con relevancia penal. El sobreseimiento provisional no exige certeza negativa sobre la inexistencia del delito, sino la ausencia de elementos suficientes para continuar la investigación. Asimismo, debe destacarse que la eventual existencia de una infracción administrativa o civil no puede justificar la continuación del proceso penal, dado que el Derecho penal actúa como última ratio y requiere la concurrencia de elementos típicos, antijurídicos y culpables para la apertura de juicio oral. En este sentido, la determinación de responsabilidades en otras jurisdicciones resulta irrelevante para valorar la existencia de indicios de delito en sede penal. Por tanto, procede acordar el sobreseimiento provisional de la causa, siendo ya en otras instancias administrativas o civiles donde, en su caso, habrán de determinarse las responsabilidades derivadas de los hechos que aquí han sido objeto de investigación.

CUARTO. Solicitud de declaración parcial del secreto de las actuaciones

Por la representación procesal de Red Eléctrica se ha presentado escrito de fecha 23.12.2025 interesando el secreto parcial de las actuaciones, que fue levantado mediante auto de fecha 22.12.2025. Dicha solicitud es incompatible con esta última resolución, por cuanto conforme a lo dispuesto en el art. 18.1 LOPJ "las resoluciones judiciales solo podrán dejarse sin efecto en virtud de los recursos previstos en las leyes".Por consiguiente, la pretensión en cuestión deberá verificarse mediante la interposición de los correspondientes recursos contra la resolución que acordó el levantamiento del secreto.

Vistos los artículos citados y demás de general y pertinente aplicación,

PRIMERO. Hechos investigados.

Sobre las 12,30 horas del día 28.04.2025 todo el territorio peninsular sufrió un apagón eléctrico, que comenzó a recuperarse parcialmente a partir de las 16.30 horas. Según informó el Gobierno de España pasadas las 12.30 horas se perdieron de forma súbita, durante cinco segundos, 15 GW de la energía que se estaba produciendo en ese momento, lo que equivale al 60% de la luz que se estaba consumiendo, siendo "algo que no había ocurrido jamás". Estos hechos afectaron a sistemas informáticos que soportan infraestructuras que proporcionan los servicios esenciales a la sociedad, como salud, energía, industria, transporte etc., supusieron una situación crítica para el bienestar y sentimiento de seguridad de todos los ciudadanos.

Estos hechos podrían haber constituido un delito de terrorismo, previsto y penado en el art. 573.1 y 2 CP, conforme al cual se considerarán delitos de terrorismo los delitos informáticos tipificados en los arts. 197 bis y 197 ter y 264 a 264 quáter cuando los hechos se cometan con alguna de las siguientes finalidades: 1ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo; 2ª Alterar gravemente la paz pública; 3ª Desestabilizar gravemente el funcionamiento de una organización internacional; y 4ª Provocar un estado de terror en la población o en una parte de ella.

SEGUNDO. Resultado de las diligencias de investigación acordadas.

En el primer informe emitido con fecha 18.06. 2025 por la Comisaría General de Información sobre la eventual existencia de una causa delictiva origen del incidente antedicho, basado en el análisis de toda la información remitida a dicha fuerza actuante conforme a lo acordado por este órgano judicial, se atisbaba ya la ausencia de indicios de etiología delictual en los hechos investigados, así como la ausencia de indicios de los hechos pudieren traer causa en un ciberataque.

Entre las informaciones analizadas para extraer esas conclusiones se encontraban documentos e informes emitidos por Red Eléctrica como "operador del sistema eléctrico", así como por el Centro Criptológico Nacional (CCN). Por su parte, la Comisaría General de Información procedió a la monitorización de canales de difusión, vinculados al ámbito del "hacktivismo" internacional, al objeto de identificar posibles atribuciones públicas, concluyendo que las existentes carecerían de fundamento técnico o probatorio.

No obstante, al objeto de corroborar tales conclusiones preliminares se acordó la práctica de nuevas diligencias de investigación que permitieran corroborar estas consideraciones preliminares. A estos efectos se recabó información complementaria el Centro Criptológico Nacional (CCN-CNI), el Mando Conjunto del Ciberespacio (MCCE), el Instituto Nacional de Ciberseguridad (INCIBE), la Oficina de Coordinación de Ciberseguridad (OCC), y Red Eléctrica, en los términos expuestos en el antecedente de hecho quinto.

Con fecha 30.04.2025 el Consejo de Seguridad Nacional acordó mediante orden comunicada de la Vicepresidenta Tercera del Gobierno y Ministra para la Transición Ecológica y el Reto Demográfico, la creación del "Comité para el análisis de las circunstancias que concurrieron en la crisis de electricidad del 28 de abril", integrado por personal del Ministerio de Transición Ecológica y Reto Demográfico (MITECO), Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), OCC, CCN-CNI, MCCE, INCIBE y la Subdirección General de Seguridad Digital (SGSD)

Este Comité organizó su actividad en dos grupos de trabajo. El Grupo de Trabajo de Ciberseguridad y Sistemas Digitales (GTCSD), formado por OCC, CCN-CNI, INCIBE, MCCE, CNPIC, un representante del MITECO y la SGSD, asumiendo este último el rol coordinador. Y el Grupo de Trabajo de Operación del Sistema Eléctrico (GTOSE), compuesto por el Secretario de Estado de Energía, el Director de Política Energética y Minas, el Director General de Planificación y Coordinación Energética, el Subdirector de Energía Eléctrica y el Director del Instituto para la Diversificación y Ahorro de la Energía.

Para lleva a efecto las visitas de las instalaciones de los centros de control, se crearon dentro del GTCSD seis equipos de respuesta rápida, liderados por el ESPEDEF-CERT (MCCE), el CCN-CERT e INCIBE-CERT, respectivamente, a fin de elaborar los oportunos informes de cada una de las visitas a los centros de control, remitiendo estos a la SGSD y este organismo al Comité 28-A para la elaboración de su informe final y sus conclusiones elevadas al Consejo de Seguridad Nacional para su aprobación final.

El resultado de dichas diligencias ha sido el siguiente:

1. El informe del Centro Criptológico Nacional emitido con fecha 30.09.2025, con número de referencia 12630, concluye: (i) que el análisis del archivo de 70Gb correspondiente a la información contenida en el sistema basado en la tecnología OpenSearch donde se recogen y centralizan todos los eventos de seguridad que generan sus sistemas de Tecnología Operativa (OT), no ha aportado ningún dato o elemento que haga variar las conclusiones alcanzadas en el informe que se ponía en conocimiento la no identificación de acciones cibernéticas dañinas o evidencias relacionadas con un ciberataque; (ii) que no se encuentran indicios que apunten a un ciberataque de un grupo de cibercrimen, actores estado o grupos terroristas perpetrado el día 28.04.2025.

2. El informe del Mando Conjunto del Ciberespacio (MCCE), pone de manifiesto que tras la visita de cinco centros de control de las estaciones de generación del sistema eléctrico al objeto de analizar la información registrada en los sistemas e identificar la existencia de indicios que pudieran apuntar a una acción potencialmente dañina de carácter cibernético, concluye que no se observa ningún ciberataque de grupo de cibercrimen, actores estado o grupos terroristas contra las infraestructuras objeto de análisis.

3. El Instituto Nacional de Ciberseguridad (INCIBE) emite ocho informes (informes resultados RRT6 2 E; informe resultados RRT6 1 E; informe resultados RRT5 2 E; informe resultados RRT5 1 E; informe resultados RRT6 2 R; informe resultados RRT6 1 E; e informe resultados RRT5 2 E informe resultados RRT5 1 R), que concluyen la no detección de ningún tipo de acción potencialmente dañina de carácter cibernético que pudiese afectar a los centros de control auditados.

4. La Oficina de Coordinación de Ciberseguridad (OCC) con fecha 05.09.2025 informa que han ejecutado doce visitas a los centros que relaciona, sin que se haya obtenido indicios de ningún tipo de ciberataque relacionado con el incidente del 28.04.2025.

5. El informe emitido por la Comisaría General de Información tras analizar las 8.028 grabaciones y 1.296 correos, proporcionados por REE, de las conversaciones e intercambio de información que tuvieron lugar desde los centros de control en el período comprendido entre las 00 horas del día 18.04.2025 a las 00 horas y del día 30.04.2025, concluye que en ninguno de estos audios y correos electrónicos se hace alusión a un ciberataque o intrusión a los sistemas de REE.

6. Informe del Comité para el análisis de las circunstancias de la crisis de electricidad del 28.04.2025, analiza cómo el cero eléctrico tuvo un origen multifactorial, en el que confluyeron tres elementos: (I) El sistema mostraba una capacidad de control de tensión insuficiente debido, por un lado, a que el día anterior al incidente, el Operador del Sistema programó la actividad de 10 centrales síncronas con capacidad para regular tensión el día 28 de acuerdo con su consigna, siendo el número final de centrales síncronas acopladas el más bajo desde el inicio de año; y, por otro, a varias de las centrales capaces de regular la tensión no respondieron adecuadamente a las consignas del Operador del Sistema para reducirla, e incluso alguna produjo energía reactiva, contribuyendo así a incrementar el problema. (II) Se produjeron las oscilaciones. (III) Se desconectaron centrales de generación, algunas de un modo

aparentemente indebido. De esta manera concluye que faltaron recursos de control de tensión, bien porque no estaban programados en suficiencia, bien porque los que estaban programados no la proporcionaban adecuadamente, o bien por una combinación de ambos, pero no porque faltaran en el país, pues había un parque de generación más que suficiente para responder.

Todos y cada uno de estos informes descartan de forma absoluta la existencia de indicios que permitan inferir que el origen de los hechos investigados se encuentre en una acción de terrorismo informático.

TERCERO. Sobreseimiento provisional.

El art. 779 LECrim, en relación con el art. 641.1 de dicho Texto Procesal, permite al instructor acordar el sobreseimiento provisional de las actuaciones cuando, tras la práctica de las diligencias de investigación oportunas, no resulte debidamente justificada la perpetración del delito que ha dado motivo a la formación de la causa.

Conforme a lo expuesto en el anterior fundamento de derecho no existe un mínimo indicio de que los hechos investigados traigan causa en un acto de sabotaje terrorista, hecho motivador de la presente investigación, y de la competencia objetiva de este órgano para llevarla a efecto. Llegados a este punto no se deben efectuar planteamientos hipotéticos, ni seguir indagando en orden a determinar la causa generadora de los hechos una vez descartado su carácter delictivo.

A raíz de las diligencias de instrucción practicadas se infiere un conflicto de naturaleza eminentemente administrativo y/o civil relacionado con los distintos operadores que intervienen en la generación de la energía eléctrica. Estos hechos, ante la ausencia de cualquier indicio delictivo, deben quedar fuera de la vía penal, máxime cuando existen otros mecanismos de solución. Como expresa el AAN número 803/2025, Sec. 3ª, de 12.12.2025, con cita de las SSTC 34/2008, 63/2010, y 153/2013, "tampoco existe un derecho a la práctica ilimitada de la prueba, de manera tal que imponga la realización de cuantas diligencias de investigación se perciban como posibles o imaginables, propuestas por las partes o practicadas de oficio, particularmente si resulta evidente que el despliegue de mayores diligencias deviene innecesario. Semejante obligación conduciría a instrucciones inútiles en perjuicio del interés general en una gestión racional y eficaz de los recursos de la Administración de Justicia".

Asimismo, debemos recordar el carácter subsidiario de la norma penal en la misma forma que el principio de intervención mínima interpela al legislador. Al respecto, como establece la STS 262/2007, "el derecho penal constituye la última razón aplicable a los hechos más graves parala convivencia social, debemos recordar que en este sentido el derecho penal se rige por unos principios esenciales, entre ellos, el de legalidad y el de mínima intervención. (....) El segundo supone que la sanción penal no debe actuar cuando existe la posibilidad de utilizar otros medios o instrumentos jurídicos no penales para restablecer el orden jurídico".

La STS 185/2023 analiza con sumo detalle el principio de intervención mínima del derecho penal señalando que "es un principio informador de la dogmática penal, aunque no alcanza a tener un carácter esencial en el derecho penal, en la medida en que no tiene respaldo constitucional alguno. Se trata de un lugar común, de una idea, por la que se trata de indagar y buscar limitaciones a la aplicación de los tipos penales sobre la base de escasa lesividad que justifique la intervención del derecho penal (...) De esta manera, las lesiones a los bienes jurídicos tendrían una primera respuesta con la aplicación de otros instrumentos de control social, u otras ramas del ordenamiento jurídico, reservando la utilización del derecho penal, únicamente, a los supuestos más graves, graduando la respuesta sancionadora en virtud de una mínima intervención respecto de la justificación de la tipicidad penal (...) El derecho penal no sanciona todas las conductas contrarias al bien jurídico, sino tan solo las modalidades de agresión más peligrosas, ya que su finalidad es atender a la defensa social que surge no de la simple infracción de la legalidad administrativa, recordando que es un principio dirigido al legislador y no al aplicador del derecho que debe sujetarse al principio de legalidad su contenido es explicativo de la política criminal y da la explicación de los tipos penales".

En definitiva, tras la práctica de las numerosas diligencias de investigación acordadas no se ha podido acreditar de forma mínima la existencia de un hecho con relevancia penal. El sobreseimiento provisional no exige certeza negativa sobre la inexistencia del delito, sino la ausencia de elementos suficientes para continuar la investigación. Asimismo, debe destacarse que la eventual existencia de una infracción administrativa o civil no puede justificar la continuación del proceso penal, dado que el Derecho penal actúa como última ratio y requiere la concurrencia de elementos típicos, antijurídicos y culpables para la apertura de juicio oral. En este sentido, la determinación de responsabilidades en otras jurisdicciones resulta irrelevante para valorar la existencia de indicios de delito en sede penal. Por tanto, procede acordar el sobreseimiento provisional de la causa, siendo ya en otras instancias administrativas o civiles donde, en su caso, habrán de determinarse las responsabilidades derivadas de los hechos que aquí han sido objeto de investigación.

CUARTO. Solicitud de declaración parcial del secreto de las actuaciones

Por la representación procesal de Red Eléctrica se ha presentado escrito de fecha 23.12.2025 interesando el secreto parcial de las actuaciones, que fue levantado mediante auto de fecha 22.12.2025. Dicha solicitud es incompatible con esta última resolución, por cuanto conforme a lo dispuesto en el art. 18.1 LOPJ "las resoluciones judiciales solo podrán dejarse sin efecto en virtud de los recursos previstos en las leyes".Por consiguiente, la pretensión en cuestión deberá verificarse mediante la interposición de los correspondientes recursos contra la resolución que acordó el levantamiento del secreto.

Vistos los artículos citados y demás de general y pertinente aplicación,