Abordando las crecientes preocupaciones de ciberseguridad en el sector solar

Los riesgos de ciberseguridad de una red descentralizada

Los grandes emplazamientos energéticos, como las plantas de gas y las instalaciones nucleares, llevan mucho tiempo protegidos con una rigurosa regulación de ciberseguridad. Los nuevos participantes en el mix energético, como los parques eólicos marinos y los campos de servicios públicos de energía solar, también han estado sujetos a estructuras regulatorias similares en cierta medida, debido a su gran tamaño. Sin embargo, a medida que el mundo hace la transición hacia una infraestructura energética aún más descentralizada, con millones de sistemas solares a escala de consumidor en los tejados de hogares y empresas, se ven involucrados numerosos componentes conectados a Internet, cada uno con vulnerabilidades únicas. Esto presenta desafíos de ciberseguridad muy diferentes a los de los grandes emplazamientos energéticos con los que nos hemos enfrentado en el pasado.

El inversor fotovoltaico, a menudo denominado el "cerebro" de un sistema solar, es el responsable de convertir la energía de los paneles solares en electricidad utilizable. En las instalaciones solares en tejados comerciales y residenciales, el inversor está conectado directamente a Internet, lo que lo convierte en el punto de exposición a un ciberataque a un sistema solar, con consecuencias potencialmente graves. Al obtener derechos de administrador, ya se ha demostrado que los piratas informáticos pueden obtener el control remoto de los sistemas solares instalados por un fabricante. Con este acceso, el pirata informático podría desactivar o dañar los inversores, bloquearlos para pedir un rescate o acceder a partes sensibles de la red del cliente. En el caso de las empresas, esto podría incluir bases de datos de gestión de clientes y sistemas financieros. Los piratas informáticos también pueden estar interesados ​​en los datos de consumo de energía, que revelan rutinas domésticas detalladas o el rendimiento empresarial.

Una posibilidad más preocupante es que los piratas informáticos tengan como objetivo los servidores centrales que gestionan estos sistemas solares. Se pueden controlar miles, a veces millones, de sistemas desde un único punto. Estos servidores pueden ser el objetivo de los piratas informáticos para derribar toda la red. Las redes están diseñadas para mantener constantemente el equilibrio entre la oferta y la demanda de electricidad. Si se supera el umbral crítico de la brecha entre la oferta y la demanda, algunas secciones de la red pueden entrar en un apagado de emergencia. El consenso actual entre los expertos es que la energía producida por los sistemas solares residenciales ha superado hace tiempo el umbral de brecha máxima. Con millones de instalaciones solares en todo el mundo, estas implicaciones están impulsando un mayor escrutinio sobre la ciberseguridad de la energía solar.

Los ataques dirigidos ya han comenzado

En mayo de 2024, el Consejo Europeo de Fabricación Solar (ESMC) pidió mayores esfuerzos para reforzar la ciberseguridad de los inversores. Ese mismo mes, Vangelis Stykas, un "hacker ético" cuyo propósito es exponer fallos cibernéticos para que puedan ser reparados, anunció que usando solo un teléfono móvil y una computadora portátil había obtenido acceso remoto completo a los sistemas solares de seis fabricantes globales de inversores. Esto le dio acceso a una energía agregada de más de tres veces toda la red alemana. Si bien no atacó las operaciones de la red, tuvo acceso a cantidades significativas de energía que podrían haberse utilizado para causar cortes generalizados.

En agosto, otras dos empresas solares fueron atacadas por el reconocido líder en ciberseguridad Bitdefender, lo que les dio acceso a 195 GW de energía solar, el 20% de la producción solar mundial. Mientras tanto, el grupo holandés de piratería ética DIVD reveló seis nuevas vulnerabilidades de ciberseguridad a un importante fabricante de inversores solares, dejando expuestos cuatro millones de sistemas en más de 150 países.

Pero no todos los ataques a sistemas solares fueron benignos. A principios de febrero de 2024, un grupo cibercriminal ruso obtuvo acceso a la empresa de servicios públicos lituana Ignitis. Los piratas informáticos proporcionaron pruebas en vídeo del cierre de cuentas de usuario y exigieron un rescate para cesar sus ataques. Lo hicieron atacando el software de monitorización solar y accediendo a los datos de 22 instalaciones, incluidos hospitales y academias militares.

Otro ciberataque malicioso del mundo real que llegó a los titulares tuvo lugar en Japón. Los piratas informáticos secuestraron 800 dispositivos japoneses de monitorización remota de energía solar y los utilizaron para robar cuentas bancarias. A diferencia de la mayoría de las vulnerabilidades, esta no se puede solucionar, ya que no existe un mecanismo de actualización remota, lo que deja la vulnerabilidad abierta de forma permanente.

DERSec es una empresa de ciberseguridad que publicó recientemente una revisión de 54 ciberataques y vulnerabilidades de energía solar en sistemas a nivel de consumidor. El informe concluyó que es probable que la tendencia creciente de los ciberataques continúe, ya que los actores de amenazas buscan penetrar e interrumpir la infraestructura crítica en todo el mundo. Esto ha llevado a un despertar entre los organismos de la industria y los gobiernos, proporcionando una prueba de que los riesgos de ciberseguridad a través de la energía solar son muy reales.

La respuesta de los organismos de la industria y los gobiernos

A la luz de estos acontecimientos, SolarPower Europe –la principal asociación solar de Europa– declaró recientemente que la UE debe actuar ahora para imponer altos estándares de ciberseguridad a los fabricantes de inversores solares con el fin de proteger la seguridad energética. Esto también fue repetido por el Consejo Europeo de Fabricación Solar. En los Estados Unidos, el FBI también advirtió recientemente sobre piratas informáticos que atacan infraestructuras críticas y, específicamente, el suministro de energía renovable vulnerable, citando la creciente dependencia de las energías renovables y la falta de protocolos y regulaciones de ciberseguridad suficientes.

Los gobiernos están ahora a la defensiva y necesitan abordar este problema urgentemente desde cero. En los EE. UU., la Oficina del Director Nacional de Ciberseguridad (ONCD) de la Casa Blanca publicó recientemente una hoja de ruta que describe las tecnologías críticas que necesitan ciberseguridad a medida que se acelera la transición a la energía limpia. Identificó categorías de productos específicos, como inversores solares y cargadores de vehículos eléctricos, que requieren atención especial. Otros, como la agencia gubernamental holandesa RDI y la firma de investigación SECURA, o la Cooperativa Australiana de Ciberseguridad en su informe Power Out también han identificado este riesgo.

En algunas zonas hemos visto cómo toma forma la primera regulación que aborda los recursos energéticos distribuidos (DER). Por ejemplo, la regulación de los puntos de carga inteligentes del Reino Unido exige la incorporación de temporizadores de retardo de hardware integrados en los cargadores de vehículos eléctricos para evitar cortes masivos y permitir que la red se ajuste en caso de que se inicie un ciberataque. Sin embargo, aunque esto podría mitigar el peor de los casos, no evita que los DER sean atacados en primer lugar.

La Comisión Europea está intentando abordar este problema mediante una regulación más sólida, pero para algunos puede ser demasiado tarde. Lituania es un excelente ejemplo, el primer país que ha tomado el asunto en sus propias manos. Poco después del ciberataque a la empresa de servicios públicos lituana en febrero, el Parlamento local tomó la decisión de prohibir a las naciones clasificadas como amenazas a la seguridad nacional de Lituania el acceso remoto a dispositivos solares, eólicos y de almacenamiento. Esto significa que los inversores solares de naciones consideradas adversarias por la ley lituana estarán prohibidos a partir del 1 de mayo de 2025, y las instalaciones existentes deben desconectar los inversores que no cumplan con las normas antes de la misma fecha el año siguiente.

¿Cómo podemos resolver esto?

En ausencia de una regulación sólida, los fabricantes de inversores solares deben darse cuenta de que están construyendo una infraestructura crítica y tratarla como tal priorizando la inversión en tecnologías de ciberseguridad por sobre la reducción de costos y mayores márgenes, para ayudar a garantizar la estabilidad y seguridad futuras de la industria solar.

Además, las empresas que invierten en energía solar deben ser conscientes de los riesgos cibernéticos y evaluar las medidas de ciberseguridad de los diferentes proveedores para garantizar la seguridad de sus sistemas. Por ejemplo, hacer preguntas al instalador como quién tiene acceso remoto a mi sistema solar, dónde se almacenan mis datos y cómo se protegen, si es una marca con un buen historial de ciberseguridad, de lo contrario, puede encontrarse con un sistema inoperante o con un sistema solar que pronto dejará de cumplir con las normas y que deberá reemplazarse mucho antes del período de retorno de la inversión.

Mientras nos apresuramos a implementar tecnologías de energía limpia, es fundamental incorporar la ciberseguridad desde el principio. La rápida implementación de Internet hace tres décadas trajo consigo importantes compromisos de ciberseguridad que todavía estamos pagando hoy. Para evitar cometer los mismos errores del pasado, la lección es clara: es mejor prevenir que curar.

Uri Sadot* es ciberconsultor principal de la junta de la principal asociación solar europea, Solar Power Europe*