El problema de la vulnerabilidad de las tecnologías “inteligentes” se está agudizando. El hacker holandés Wietse Boonstra demostró recientemente la gravedad de tales amenazas al descubrir la capacidad de apagar 4 millones de sistemas de energía solar en 150 países con solo presionar un botón. El descubrimiento confirmó la ley de Hypponen: «Si algo es inteligente, es vulnerable».
La magnitud de la amenaza es impresionante. Los paneles solares en los Países Bajos pueden producir energía comparable a la de cuarenta centrales nucleares del tipo Borssele. Sin embargo, muchos fabricantes no ofrecen suficiente protección contra los piratas informáticos.
Boonstra, investigador de seguridad de la Organización Judicial de TI (JIO), descubrió una falla grave en los sistemas de Enphase. En los últimos meses su atención se ha centrado en los dispositivos que conectan paneles solares a la red eléctrica.
Aunque el principio de funcionamiento de los paneles solares es simple: producen corriente continua, que luego se convierte en corriente alterna para alimentar la red, utiliza un inversor. En los sistemas Enphase, cada panel está equipado con su propio microinversor.
Los clientes de Enphase pueden configurar y administrar sus sistemas a través de una cuenta personal, con la capacidad de delegar el control a otros. Boonstra identificó una vulnerabilidad crítica: un error en el software permitía obtener derechos de administrador sobre las cuentas de otras personas. Probando su teoría, creó dos cuentas administrativas y descubrió que la primera podía gestionar la segunda sin permiso. Para la verificación final, creé veinte cuentas más y las administré exitosamente desde la primera.
Junto con su colega Hidde Smith, Boonstra examinó el firmware de los dispositivos Enphase y encontró seis vulnerabilidades que podrían usarse para infectar millones de sistemas solares con malware.
Esta situación es comparable al concepto de «Anillo Único» de «El Señor de los Anillos» de Tolkien: así como un anillo controlaba a los demás, la vulnerabilidad identificada permite el control de millones de sistemas a través de una sola cuenta, lo que amenaza la seguridad energética global. .
La vulnerabilidad de los Países Bajos al sabotaje de la red eléctrica va en aumento. La interconexión de los sistemas de energía solar, las estaciones de carga y las baterías administradas centralmente hace que el país sea más susceptible a tales amenazas. Los expertos advierten que la responsabilidad de la estabilidad ya no puede recaer únicamente en los operadores de red.
Los paneles solares en los Países Bajos generan unos veinte gigavatios de energía, lo que es comparable a la potencia de cuarenta centrales nucleares. Una pérdida repentina de incluso unos pocos gigavatios puede desestabilizar gravemente la red eléctrica.
Los representantes de la Infraestructura Digital del Gobierno (RDI) confirman que tal escenario amenaza la estabilidad no sólo en los Países Bajos, sino también en Europa, dada la sincronización de las redes eléctricas.
Los investigadores de Secura describieron un escenario en el que un atacante podría encender y apagar los paneles solares cada pocos segundos. Este enfoque podría desestabilizar la red si se aplicara a paneles que produzcan 3 gigavatios. Controlar esta cantidad de energía no es fácil, pero los expertos creen que es posible.
Otro posible escenario de ataque implica cambiar los parámetros de los inversores. Las redes eléctricas modernas funcionan en el rango de 240 a 253 voltios. Cuando se alcanza el límite superior, los inversores se apagan automáticamente. Un atacante puede cambiar esta configuración, lo que provocará una sobrecarga de la red eléctrica.
Una amenaza adicional proviene del hecho de que una parte importante de estos sistemas está controlada por empresas chinas. Huawei y Sungrow, los mayores proveedores de sistemas solares, suministran cada uno más de 3 gigavatios de energía a la red holandesa cada día. El país está añadiendo unos 4 gigavatios de capacidad solar cada año, aumentando su dependencia de componentes extranjeros.
Los expertos advierten sobre una creciente dependencia de las empresas chinas y posibles riesgos políticos. En caso de conflicto, Beijing podría exigir a los fabricantes que realicen cambios en los sistemas que permitirían manipular el funcionamiento de los paneles solares en otros países.
Los actores estatales podrían cortar la electricidad en los Países Bajos mediante un software inversor. Tales acciones, aunque percibidas como un acto de hostilidad, permitirían al país detrás de ellas negar cualquier participación. En condiciones de creciente tensión y aumento de los ciberataques, los expertos consideran que este escenario es bastante realista.
Los representantes de TenneT, el operador de la red de alto voltaje, enfatizan que la principal responsabilidad de prevenir este tipo de ataques recae en proveedores de energía como Essent. Sin embargo, TenneT tiene la responsabilidad general de gestionar incidentes importantes en los Países Bajos.
Los expertos afirman que a nivel europeo es posible compensar la pérdida de hasta 3 gigavatios con capacidades de respuesta rápida como baterías, centrales hidroeléctricas y centrales eléctricas de gas. Pero apagar más de 3 gigavatios de paneles solares podría tener consecuencias impredecibles.
Eliminar el riesgo en su origen es casi imposible. Los mecanismos existentes sólo nos permiten responder a amenazas emergentes, lo que crea un escenario peligroso para la sociedad.
Los expertos piden una regulación y supervisión más estrictas de la industria. Nuevas iniciativas legislativas como la Cyber Resilience Act (CRA), la directiva RED 3.3 y la directiva NIS2 pueden ayudar a aumentar la responsabilidad de los desarrolladores de software y limitar el acceso de productos inseguros al mercado holandés.
Los funcionarios reguladores confirman que la nueva legislación ayudará a combatir más eficazmente los equipos inseguros, incluidas las aplicaciones y los servicios en la nube. Está previsto aplicar medidas similares a los operadores de estaciones de carga para vehículos eléctricos.
Los expertos enfatizan la necesidad de una distribución clara de responsabilidades entre todos los participantes del mercado. El trabajo de los hackers éticos a la hora de identificar vulnerabilidades es ciertamente encomiable, pero confiar únicamente en su buena voluntad en materia de ciberseguridad es inaceptable.
Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]
Deja una respuesta