O apagão massivo de 28 de abril de 2025, que deixou Espanha e Portugal sem fornecimento elétrico durante quase dez horas, não só paralisou metros, comboios e serviços públicos, como também expôs a vulnerabilidade da nossa infraestrutura digital e de dados. O corte provocou quedas de até 80 % no tráfego de Internet em Espanha e 90 % em Portugal, com impactos severos nas telecomunicações, centros de dados e serviços críticos como banca e saúde. Este incidente sublinha a necessidade de reforçar a resiliência energética e as estratégias de cibersegurança — desde redundância de alimentação até à defesa contra ciberataques —, bem como de implementar planos de recuperação de desastres que permitam manter a continuidade dos serviços digitais.

1. Contexto e alcance do apagão
1.1 Causa e magnitude do incidente
Na segunda-feira, 28 de abril de 2025, às 12:33 CEST, ocorreu uma falha em duas subestações no sudoeste de Espanha que desencadeou a desconexão de 60 % da procura elétrica em apenas cinco segundos. Embora inicialmente tenha sido descartada a hipótese de um ciberataque, as investigações continuam abertas para excluir sabotagens ou atentados terroristas.
1.2 Impacto espacial e temporal
O corte afetou mais de 60 milhões de pessoas em Espanha e Portugal, e chegou a propagar-se a regiões fronteiriças de França. A restauração parcial do fornecimento começou poucas horas depois, mas o operador REE declarou a rede completamente normalizada quase 23 horas depois, o que reflete a gravidade da falha.
2. Consequências sobre a infraestrutura digital
2.1 Queda do tráfego de Internet
Durante o apagão, o tráfego de Internet reduziu-se em 80 % em Espanha e 90 % em Portugal, segundo dados da Kentik. As torres de telecomunicações e centros de dados passaram a funcionar com baterias de reserva que, em muitos casos, não aguentaram mais do que algumas horas, provocando interrupções na telefonia, banca online e serviços na nuvem.
2.2 Paralisia de serviços críticos
- Saúde: Vários hospitais perderam acesso a registos clínicos eletrónicos e sistemas de monitorização remota durante o pico da emergência, comprometendo o atendimento de pacientes críticos.
- Transporte: Mais de 35 000 viajantes ficaram presos em comboios sem energia, sendo evacuados manualmente pelos serviços de emergência e pelo pessoal ferroviário.
- Administração pública: Sedes de câmaras municipais, finanças e organismos estatais ficaram offline, atrasando procedimentos e serviços fundamentais.
3. Lições-chave e medidas de resiliência energética
3.1 Redundância e diversificação energética
- Sistemas de alimentação ininterrupta (SAI): Dispor de SAI dimensionados para manter operacionais centros de dados e telecomunicações durante pelo menos 8–12 horas.
- Geradores de reserva: Instalar e testar periodicamente grupos eletrogéneos com combustível garantido para emergências prolongadas.
- Interligações internacionais: Maior capacidade de intercâmbio elétrico com França e Marrocos para equilibrar falhas locais.
3.2 Descentralização na nuvem
Distribuir serviços críticos entre diferentes regiões e fornecedores de nuvem — públicos e privados — permite isolar falhas localizadas e manter os sistemas ativos em caso de corte de um centro de dados.
3.3 Plano de recuperação de desastres (DRP)
Um DRP eficaz inclui:
- Backup “hot standby”: Réplicas em tempo real de bases de dados em locais alternativos.
- Backup periódico: Cópias incrementais diárias e completas semanais em localizações fora da zona afetada.
- Procedimentos de comutação: Testes regulares para mudar automaticamente para o site secundário em menos de 15 minutos.

4. Reforço da cibersegurança
4.1 Arquitetura de rede segura
- Segmentação de rede: Separar ambientes de utilizador, administração e serviços críticos para conter falhas.
- Política Zero Trust: Verificação contínua de identidade e dispositivo antes de conceder acesso, mesmo dentro da rede corporativa.
4.2 Proteção de dados
- Encriptação de ponta a ponta: AES-256 para repouso e TLS 1.3 para trânsito, garantindo confidencialidade se os sistemas ficarem expostos.
- Gestão de chaves e RBAC: Armazenamento de chaves em HSM (Hardware Security Modules) e controlo granular de permissões por função.
4.3 Monitorização e resposta automatizada
- SIEM e SOAR: Correlação em tempo real de logs de rede e aplicações, com playbooks automáticos de contenção e mitigação de incidentes.
- Simulacros Red Team/Blue Team: Testes periódicos de ataque e defesa para melhorar os tempos de deteção e resposta.
5. Manutenção, auditorias e cultura de segurança
5.1 Atualizações e patches
Automatizar a aplicação de patches críticos em sistemas operativos, bases de dados e dispositivos de rede para fechar vetores de ataque conhecidos.
5.2 Auditorias e conformidade
Programar auditorias trimestrais de vulnerabilidades e análises de conformidade segundo ISO 27001, NIST CSF ou GDPR para identificar riscos e corrigi-los.
5.3 Formação e sensibilização
- Capacitação contínua: Cursos e simulacros de phishing para colaboradores, com métricas de cumprimento e melhoria.
- Protocolos claros: Guias de escalonamento e comunicação interna para reportar incidentes de imediato.

O apagão de 28 de abril de 2025 foi um lembrete contundente da nossa dependência do fornecimento elétrico e da interconexão digital. Empresas e organismos devem apostar em infraestruturas redundantes, planos de DRP sólidos e políticas avançadas de cibersegurança. Só assim poderemos garantir a continuidade de serviços críticos e a proteção de dados perante eventos de elevada incerteza.
Para mais informações, consulta o resto dos nossos artigos em consultoriaehero.com ou segue-nos em LinkedIn, Facebook, Instagram, YouTube e X.
