La pressa per instal·lar milions de plaques intel·ligents està creant vulnerabilitats de ciberseguretat a les xarxes elèctriques

«Un ciberdelinqüent podria infectar-los amb codi maliciós i apagar d’aquesta manera els inversors o poder activar-los quan vulgui». Aquesta és l’alerta que el pirata informàtic Vangelis Stykas va llançar fa unes setmanes al compte d’X, abans Twitter. «No són totalment segurs. Si poden ser piratejats, la xarxa elèctrica europea, que sustenta tot el nostre estil de vida, esdevé vulnerable», va advertir.

Aquest enginyer grec, que treballa per detectar vulnerabilitats als programaris de les empreses, va aconseguir introduir-se de forma no autoritzada als inversors connectats al núvol. Aquests petits dispositius són els encarregats de rebre i transformar l’energia que generen els panells fotovoltaics de corrent continu a corrent altern. A les seves proves Stykas va aconseguir apagar-los i, fins i tot, sobrecarregar-los per provocar a la xarxa elèctrica una sobretensió que podria comportar una apagada a les ciutats. «També, en un cas hipotètic de compromís, es podria fer que s’ignoressin avisos d’emergència que normalment es mostrarien en l’aplicació de gestió per causar un mal funcionament del panell que impliqués el trencament», aclareix Josep Albors, director de recerca i conscienciació d’ESET Espanya.

Les autoritats són conscients d’aquesta problemàtica: «Qualsevol sistema informàtic és susceptible de tenir vulnerabilitats», explica Héctor Lama, director tècnic de la Unió Espanyola Fotovoltaica (UNEF). Només el 2023 es van produir més de 200 incidents cibernètics al sector energètic, dels quals més de la meitat es van dirigir específicament contra Europa, segons l’Agència Europea de Ciberseguretat (Enisa, en anglès).

Experts consultats per aquest diari asseguren que contínuament es produeixen atacs dirigits contra les infraestructures crítiques dels països amb nombroses i intencions molt diferents. «Aquestes poden anar, per exemple, des de la manipulació del mercat elèctric fins al terrorisme de deixar a les fosques un país per sembrar el caos», relaten fonts del sector de la ciberseguretat.

Fa unes setmanes, a finals del mes de novembre, la companyia romanesa Electrica S.A. va patir un ciberatac que no va tenir més importància. Dies abans, al Japó, els pirates informàtics es van apoderar de monitors solars i els van utilitzar per robar comptes bancaris, segons van informar els mitjans locals. «Per evitar aquests riscos, hem d’implementar les actualitzacions de programari que ens indiquin els fabricants, que normalment es duen a terme de forma automàtica», recorda el director tècnic d’UNEF.

CONSCIENCIACIÓ TOTAL

L’Agència Internacional de l’Energia (AIE) preveu que 100 milions de llars a tot el món tindran instal·lats panells solars a les teulades per obtenir energia a finals d’aquesta dècada, xifra que quadruplica l’actual. Aquest desplegament encoratja els defensors de la transició energètica, però, alhora, preocupa els encarregats de la seguretat nacional. Un pirateig a un panell solar pot posar en risc tota la xarxa elèctrica de la Unió Europea.

Als Països Baixos, la consultora Secura BV ha identificat 27 escenaris en què un ciberatac podria afectar greument les instal·lacions solars i, en conseqüència, «afectar el sector energètic en conjunt». Al Regne Unit, Kaspersky ha documentat gairebé un centenar d’interrupcions per culpa d’atacs a aquest sector.

Per això, la Comissió Europea està treballant en noves normes per reforçar les proteccions dels dispositius solars, però donarà a les empreses fins a 18 mesos per complir-les. L’amenaça és tan greu que l’OTAN va fer un simulacre de seguretat a Suècia per trobar i reparar vulnerabilitats en els sistemes solars, eòlics i hidroelèctrics.

«Molts panells solars que s’estan instal·lant actualment a cases particulars permeten connectar-se a una xarxa wifi o fer servir un protocol de comunicació que sigui gestionat fàcilment per l’usuari», alerta Albors. «Hauríem de veure si aquesta connexió, amb l’app mòbil que normalment se sol utilitzar, disposa d’algun tipus d’identificació o credencials per defecte que permeti a un atacant atacar-los remotament i canviar-les per unes de noves i robustes», afegeix. En cas que hi hagi un atac, el portaveu d’ESET Espanya recomana aïllar aquest tipus de dispositius connectats de la xarxa.

Empreses espanyoles treballen en solucions per frenar els atacs

El desplegament ràpid dels panells solars i la baixa preocupació per la seva seguretat cibernètica ha provocat un temor important en els responsables de la protecció d’infraestructures crítiques dels països. A Espanya, un conjunt de vuit companyies s’han unit sota el projecte Sec2Grid per «descobrir de manera proactiva les possibles vulnerabilitats als dispositius que integren la xarxa elèctrica intel·ligent». S’han unit de manera col·laborativa per analitzar contínuament i d’una manera automatitzada els forats de seguretat que hi poden aparèixer.

«Això ens permet desenvolupar funcionalitats agregades orientades a la infraestructura elèctrica, de manera que compartint aquesta informació es puguin analitzar els riscos d’una manera global i adequada a tota la xarxa», detalla Imanol García, director de Projectes d’R+D a Ingeteam .

En el marc del projecte s’han desenvolupat mecanismes per mantenir vigilats els equips quan ja estan desplegats a camp, i així provar de garantir que les configuracions i el seu mode de funcionament en operació siguin els adequats i mantinguin el nivell de ciberseguretat que s’espera, perquè no puguin ser atacats de manera senzilla.

Infraestructures testades 

El projecte ha fet possible treballar en tests ràpids que s’han implementat en una infraestructura virtual ubicada a Ikerlan (Arrasate). «Tots els fabricants hem instal·lat així els nostres equips i s’han passat una sèrie de tests de ciberseguretat que han permès provar els canvis realitzats en menys temps de l’habitual. Per això, hem creat un simulador d’infraestructura d’operador elèctric, que incorpora la funcionalitat necessària per provar el que s’ha implementat i en el qual hem pogut fer proves conjuntes per a tots els participants».

A més, han desenvolupat metodologies per al desplegament de les correccions o pedaços de manera segura, tenint en compte que alguns dels vectors d’atac més comuns es basen a aprofitar les debilitats de la cadena de subministrament.