I’ve been obsessed with an idea for months that initially sounded far-fetched: what if the energy patterns of IT infrastructure could reveal a cyberattack before any log, any SIEM, or any agent?
Yesterday I posted on LinkedIn asking people to call me crazy. But today I’m explaining it in detail.
It all started with an intuition
At ZeroNet, we monitor IT infrastructure. We collect energy, performance, and behavioral data from hundreds of devices in real time. One day, while analyzing a client’s data, I noticed something odd: an energy pattern that didn’t match what should have been happening on that network at that hour.
It wasn’t a massive power spike, it was something subtler: a change in the shape of the curve, a different frequency, a behavior that didn’t fit the device’s usual profile.
What if this isn’t a glitch? What if it’s a signal?
Energy as a silent witness
Every device on a network — servers, switches, APs, firewalls — has a predictable energy pattern. It follows usage cycles: more activity during business hours, less at night, spikes at specific moments.
But when something anomalous happens, the pattern breaks.
An unauthorized crypto-mining process alters the CPU profile and with it the entire energy behavior of the device. A data exfiltration attack generates unusual traffic reflected in network interfaces. A port scan or lateral movement wakes up components that should be at rest.
⚡ An attacker can delete logs, encrypt traffic, disable agents. But they cannot hide the energy pattern of what they’re doing. Physics can’t be hacked.
Why traditional approaches leave blind spots
Current cybersecurity relies heavily on three pillars:
- 🛡️ Endpoint agents (EDR/XDR): require installation on every device, ongoing maintenance, and don’t cover IoT, OT, or pure network infrastructure.
- 📡 Traffic analysis (NDR): requires TAPs, port mirrors, complex configurations, and can be bypassed with encryption.
- 📋 SIEM/Logs: depend on devices generating logs correctly, proper configuration, and someone reviewing them.
All these solutions are valuable, but they all require intrusion, complexity, and cost, and they still leave gaps.
Power Defense doesn’t come to replace any of them, but to cover what they can’t see.
How Power Defense works
ZeroNet’s advantage is that we’re already there. We already monitor the infrastructure, already collect energy and performance data through manufacturer APIs (Cisco Meraki, HPE Aruba, Fortinet…), without agents or additional hardware.
What we’ve added is an intelligence layer on top of that data:
- 📊 1. Baseline: We establish normal energy behavior for each device, not just how much, but how: curves, frequencies, correlations.
- 🔍 2. Detection: We identify when the pattern deviates from expected: anomalies in shape, metric correlations, and timing.
- 🔔 3. Correlation: We cross-reference anomalies with other indicators to generate actionable alerts, not noise.
What types of threats we detect
🔴 Unauthorized crypto-mining
An employee installs a miner on a development server. The CPU goes from 15% to 95% sustained. The device’s energy pattern changes completely. Power Defense detects it in minutes, not weeks later when the electricity bill arrives.
🟠 Lateral movement
An attacker compromises a workstation and starts scanning the network. Each connection attempt generates activity. Power Defense sees a station that “wakes up” outside hours with a pattern that doesn’t match any legitimate use.
🟡 Data exfiltration
Massive data transmission from a server generates a detectable change in network interface patterns. If it happens at 2:00 AM on a Sunday, Power Defense raises the alert before the SIEM has logs to process.
⚪ Compromised ioT/OT devices
A sensor or IoT device starts behaving anomalously. It has no agent installed, doesn’t generate useful logs. But its energy pattern has changed. Power Defense sees it.
Power Defense vs. traditional solutions
| Power Defense | Traditional solutions |
|---|
| Agent installation | ❌ Not needed | ✅ Required per endpoint |
| IoT/OT coverage | ✅ Full | ⚠️ Partial or none |
| Encryption evasion | ✅ Impossible (energy can’t be encrypted) | ⚠️ Vulnerable |
| Deployment cost | ✅ Included in ZeroNet | ⚠️ High (licenses + hardware) |
| Blind spot detection | ✅ Additional layer | ⚠️ Depends on stack |
From “call me crazy” to “this works”
When I first brought up this idea with the team, there was skepticism. Fair enough. It sounds odd to say you can detect a cyberattack by looking at energy patterns.
But the data proved us right. And yesterday, in a meeting with a client, seeing their face when they understood the concept, and even more when they saw it already working, confirmed we’re on the right path.
Power Defense isn’t the future, it’s already here, and it’s just the beginning.
Llevo meses obsesionado con una idea que al principio sonaba descabellada: ¿y si los patrones de energía de una infraestructura IT pudieran delatarnos un ciberataque antes que cualquier log, cualquier SIEM o cualquier agente?
Ayer publicaba en LinkedIn que me llamaran loco. Pero hoy lo cuento con más detalle.
Todo empezó con una intuición
En ZeroNet monitorizamos infraestructura IT. Recogemos datos de energía, rendimiento y comportamiento de cientos de dispositivos en tiempo real. Y un día, analizando datos de un cliente, vi algo que me pareció raro: un patrón de energía que no encajaba con lo que debería estar ocurriendo en esa red a esas horas.
No era un pico de consumo brutal, era algo más sutil: un cambio en la forma de la curva, una frecuencia diferente, un comportamiento que no cuadraba con el perfil habitual de ese dispositivo.
¿Y si esto no es un fallo? ¿Y si es una señal?
La energía como testigo silencioso
Cada dispositivo en una red — servidores, switches, APs, firewalls — tiene un patrón energético predecible. Sigue ciclos de uso: más actividad durante el horario laboral, menos por la noche, picos en momentos concretos.
Pero cuando algo anómalo ocurre, el patrón se rompe.
Un proceso de cryptomining no autorizado altera el perfil de la CPU y con ello todo el comportamiento energético del equipo. Un ataque de exfiltración de datos genera un tráfico inusual que se refleja en los interfaces de red. Un escaneo de puertos o un movimiento lateral enciende componentes que deberían estar en reposo.
⚡ Un atacante puede borrar logs, puede cifrar tráfico, puede desactivar agentes. Pero no puede ocultar el patrón de energía de lo que está haciendo. La física no se hackea.
Por qué los enfoques tradicionales dejan puntos ciegos
La ciberseguridad actual depende en gran medida de tres pilares:
- 🛡️ Agentes en endpoints (EDR/XDR): requieren instalación en cada equipo, mantenimiento continuo, y no cubren dispositivos IoT, OT o infraestructura de red pura.
- 📡 Análisis de tráfico (NDR): necesitan TAPs, mirrors de puertos, configuraciones complejas, y pueden ser eludidos con cifrado.
- 📋 SIEM/Logs: dependen de que los dispositivos generen logs correctamente, de que alguien los configure bien, y de que un analista los revise.
Todas estas soluciones son valiosas, pero todas requieren intrusión, complejidad y coste, y aun así dejan huecos.
Power Defense no viene a reemplazar nada, sino a cubrir lo que las demás no ven.
Cómo funciona Power Defense
La ventaja de ZeroNet es que ya estamos ahí. Ya monitorizamos la infraestructura, ya recogemos datos energéticos y de rendimiento a través de APIs de fabricante (Cisco Meraki, HPE Aruba, Fortinet…), sin agentes ni hardware adicional.
Lo que hemos añadido es una capa de inteligencia sobre esos datos:
- 📊 1. Baseline: Establecemos el comportamiento energético normal de cada dispositivo, no solo cuánto, sino cómo: curvas, frecuencias, correlaciones.
- 🔍 2. Detección: Identificamos cuando el patrón se desvía de lo esperado: anomalías en la forma, correlación entre métricas, y timing.
- 🔔 3. Correlación: Cruzamos las anomalías con otros indicadores para generar alertas accionables, no ruido.
Qué tipo de amenazas detectamos
🔴 Cryptomining no autorizado
Un empleado instala un miner en un servidor de desarrollo. La CPU pasa del 15% al 95% de forma sostenida. El patrón energético del equipo cambia por completo. Power Defense lo detecta en minutos, no en semanas cuando llega la factura de la luz.
🟠 Movimiento lateral
Un atacante compromete una estación de trabajo y empieza a escanear la red. Cada intento de conexión a otros dispositivos genera actividad. Power Defense ve una estación que “despierta” fuera de horario con un patrón que no coincide con ningún uso legítimo.
🟡 Exfiltración de datos
La transmisión masiva de datos desde un servidor genera un cambio detectable en el patrón de las interfaces de red. Si ocurre a las 2:00 AM de un domingo, Power Defense levanta la alerta antes de que el SIEM tenga logs que procesar.
⚪ Dispositivos comprometidos en ioT/OT
Un sensor o un equipo IoT que empieza a comportarse de forma anómala. No tiene agente instalado, no genera logs útiles. Pero su patrón de energía ha cambiado. Power Defense lo ve.
Power Defense vs. soluciones tradicionales
| Power Defense | Soluciones tradicionales |
|---|
| Instalación de agentes | ❌ No necesario | ✅ Requerido por endpoint |
| Cobertura IoT/OT | ✅ Total | ⚠️ Parcial o inexistente |
| Evasión por cifrado | ✅ Imposible (la energía no se cifra) | ⚠️ Vulnerable |
| Coste de despliegue | ✅ Incluido en ZeroNet | ⚠️ Alto (licencias + hardware) |
| Detección de puntos ciegos | ✅ Capa adicional | ⚠️ Depende del stack |
Del “llámame loco” al “esto funciona”
Cuando empecé a hablar de esta idea dentro del equipo, hubo escepticismo. Es normal. Suena raro decir que puedes detectar un ciberataque mirando patrones de energía.
Pero los datos nos han dado la razón. Y ayer, en una reunión con un cliente, ver su cara al entender el concepto, y más aún al ver que ya lo tenemos funcionando, me confirmó que vamos por el camino correcto.
Power Defense no es el futuro, ya está aquí, y es solo el principio.
