Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras.
Trend Micro, uno de los principales proveedores mundiales de soluciones de ciberseguridad, ha publicado un nuevo informe que examina la seguridad informática de los sistemas de energía distribuida. Los investigadores examinaron especialmente las pasarelas de red de los sistemas de energía solar, una de las formas más populares de generación de energía descentralizada. La creciente descentralización del suministro eléctrico no sólo representa un avance en la transición energética, sino que también plantea nuevas cuestiones de seguridad.
Algunos sistemas de energía solar tienen riesgos de seguridad.
El estudio de sistemas de fabricantes líderes como Enphase, Outback, Phocos, Sol-Ark y Victron se centró en cuán ciberseguros están diseñados estos sistemas. Especialmente la popularidad de los sistemas solares y fotovoltaicos está llamando la atención sobre su seguridad informática. Si bien los sistemas Outback y Phocos no tenían vulnerabilidades, los investigadores pudieron identificar diferentes riesgos de seguridad en otras instalaciones.
Además de la falta de encriptación durante la transferencia de datos y los problemas con las contraseñas estándar, también suponen un riesgo las actualizaciones de firmware potencialmente inseguras: algunos sistemas sometidos a la prueba también eran vulnerables a ataques que los desconectaban o reconfiguraban de forma remota. Dos sistemas examinados también clasificaron como fiable todo el tráfico de datos en la red local. Esto puede generar riesgos si el sistema se conecta accidentalmente a Internet. Además, la ubicación exacta de algunos sistemas de energía solar podría identificarse mediante el acceso no autorizado a sus escaneos de puntos de acceso (AP). En caso de emergencia, esto permitiría a los ciberatacantes apuntar específicamente a regiones específicas.
Seguridad de los datos y dependencia de la ubicación
Los investigadores de seguridad también consideraron cuestiones de soberanía de los datos y ubicación del almacenamiento al utilizar servicios en la nube. Dependiendo del fabricante, algunos sistemas transfieren datos, por ejemplo, a Amazon Web Services (AWS) en EE. UU. o la UE, a Microsoft Azure en Brasil, a Alibaba Cloud en China o a centros de datos en los Países Bajos. Estas transferencias requieren un alto nivel de confianza en los respectivos proveedores de servicios en la nube y sus precauciones de seguridad. La transferencia de información sensible a través de fronteras internacionales no sólo requiere confiabilidad técnica, sino también el cumplimiento de diferentes normas de protección de datos. Esto ilustra la complejidad y la naturaleza global de la seguridad de los datos en el contexto de la generación de energía descentralizada.
Es poco probable que los dispositivos individuales expuestos puedan provocar cortes generalizados en el suministro de energía distribuida. En cambio, los atacantes podrían apuntar a servicios en la nube que administran y controlan múltiples dispositivos al mismo tiempo para controlarlos con fines maliciosos. Las medidas de seguridad adoptadas por los proveedores de la nube son igualmente importantes para prevenir este tipo de ataques.
Los ciberdelincuentes pueden apoderarse de cuentas de usuarios con capacidades de administración remota mediante métodos como el phishing, la fuerza bruta de contraseñas o la explotación de vulnerabilidades de seguridad conocidas. Una vez que obtienen acceso, pueden manipular los datos existentes y controlar los sistemas de energía solar de forma remota, si los servicios en la nube lo permiten.
Recomendaciones para proteger los sistemas de energía solar.
Los investigadores de seguridad de Trend Micro brindan recomendaciones claras de acción para ayudar a los operadores y técnicos del sistema:
- Limitación de acceso remoto: Se recomienda limitar el acceso remoto a la interfaz de control. En particular, se debe evitar la exposición directa de los sistemas a Internet.
- Protección de contraseña: Cambiar las contraseñas predeterminadas y habilitar la protección con contraseña son cruciales para evitar el acceso no autorizado.
- Separación de la interfaz de red: Los investigadores también recomiendan separar la interfaz de red de los inversores de otras redes locales para reducir la vulnerabilidad a posibles ataques.
- Colaboración con expertos externos en seguridad informática: Se recomienda seguir las mejores prácticas de seguridad y considerar trabajar con expertos externos en seguridad de TI.
"Los resultados del estudio enfatizan la importancia de un enfoque equilibrado de seguridad de TI en el panorama cambiante de la generación de energía descentralizada", afirmó Udo Schneider, evangelista de seguridad para Europa de Trend Micro. “La integración de las energías renovables requiere no sólo innovaciones técnicas, sino también una cuidadosa consideración de los aspectos de seguridad para garantizar el buen funcionamiento y la confiabilidad de estos sistemas. La ciberseguridad desempeña un papel importante a la hora de garantizar un suministro energético eficiente”.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.
Artículos relacionados con el tema