Corea del Sur afrontó a finales de septiembre de 2025 uno de sus mayores incidentes tecnológicos: dos incendios en centros de datos del mismo municipio dejaron 647 sistemas gubernamentales fuera de servicio de forma simultánea, incluyendo el portal de servicios públicos, plataformas fiscales y postales. Autoridades locales hablaron de un “parálisis digital” con impacto nacional.
Incidentes en Daejeon: cronología, causa probable y alcance
El primer fuego, el 26 de septiembre, afectó al centro de datos de la National Information Resources Service (NIRS) en Daejeon y se prolongó durante más de 22 horas. De acuerdo con CNN y The Korea Herald, el origen estuvo en baterías de ion‑litio de sistemas de alimentación ininterrumpida (SAI/UPS) que se trasladaban al sótano, desencadenando una reacción térmica en cadena. En la respuesta intervinieron 170 bomberos y 63 vehículos.
NIRS es la plataforma troncal del e‑Gobierno surcoreano y aloja una parte sustancial de la infraestructura TI estatal. Como resultado, 96 sistemas críticos fallaron y otros 551 fueron apagados preventivamente. Más de un tercio de unas 1.600 aplicaciones públicas residían en este emplazamiento, amplificando los efectos sistémicos.
G‑Drive en el centro: fallos de arquitectura y pérdida de datos
El mayor impacto se concentró en G‑Drive, el almacenamiento corporativo del Gobierno. Desde 2018, unos 750.000 funcionarios estaban obligados a almacenar sus archivos exclusivamente en esta nube (aprox. 30 GB por empleado). La debilidad clave: no existían copias de seguridad externas y geográficamente aisladas. Los respaldos se encontraban en el mismo edificio y fueron destruidos junto con los datos primarios. Según The Korea Herald, la pérdida potencial asciende a 858 TB, con el Ministerio de Gestión de Personal especialmente afectado.
Segundo incendio y antecedentes de resiliencia insuficiente
Una semana después, el 3 de octubre, se registró otro incendio en el centro de datos de Lotte Innovate en la misma ciudad. DataCenter Dynamics reportó su extinción en menos de una hora; la causa preliminar también apunta a baterías. Expertos ya habían recomendado tras una gran caída en noviembre de 2023 adoptar arquitecturas “twin server”/activo‑activo con replicación en tiempo real. Una revisión en 2024 había señalado demoras en renovaciones y tasas anómalas de fallo.
Restauración, plazos y pesquisas
Para el 3 de octubre, apenas 115 de 647 sistemas habían sido restaurados (~18%). Aunque se anunció una recuperación en dos semanas, analistas anticipan plazos más extensos. La policía registró la sede de NIRS y proveedores de UPS; cuatro personas fueron detenidas por presunta negligencia profesional. Se investiga además el fallecimiento de un alto cargo (56 años) ligado a las labores de recuperación, sin vinculación oficial con el origen del fuego.
¿Ciberataque o accidente? Lo que se sabe y lo que no
El debate público citó un artículo de Phrack (junio de 2025), “APT Down: The North Korea Files”, cuyos autores afirmaron acceso a redes internas del Gobierno surcoreano (p. ej., Onnara), a certificados GPKI y a registros de ataques atribuibles a Kimsuky/APT43, con notificaciones a autoridades desde el 16 de junio. Esto alimentó hipótesis sobre la destrucción de evidencias y menciones a baterías de un fabricante local. No hay confirmación oficial; por ahora, la línea principal apunta a fallos técnicos y negligencia operativa.
Lecciones para el sector público y operadores críticos
El caso evidencia el coste del “deuda técnica” y organizativa. Medidas prioritarias: aplicar respaldo 3‑2‑1 o 3‑2‑1‑1‑0 (tres copias, dos medios, una fuera del sitio; una inmutable y cero errores verificados), con pruebas periódicas de restauración; evolucionar a sitios activo‑activo/activo‑pasivo y definir RPO/RTO realistas (RPO: máximo de datos que se puede perder; RTO: tiempo objetivo para recuperar).
En ingeniería de centros de datos, segregar almacenamiento, UPS y salas de baterías, incorporar sistemas de supresión adecuados a ion‑litio y monitorización de gases. En identidad y cifrado, reforzar la higiene de PKI (rotación de claves, revocación oportuna, control del ciclo de emisión). Operativamente, ampliar monitorización y respuesta mediante SOC, ejercicios de mesa y simulacros de fallo de infraestructura y ciberincidentes.
Este episodio es una llamada a la acción para cualquier organización dependiente de TI. Realice un auditoría de continuidad y recuperación fuera de ciclo, confirme que la restauración desde copias off‑site cumple los RTO comprometidos e invierta en arquitecturas sin puntos únicos de fallo. Es más barato que el precio de otra “parálisis digital”.
