La energía solar fotovoltaica es ahora un elemento esencial de la infraestructura de red en todo el mundo. A medida que la tecnología ha pasado de los primeros usuarios residenciales a la corriente principal de los recursos de generación de servicios públicos, ha aumentado el perfil de la energía solar como objetivo de quienes dañarían o explotarían las redes eléctricas por motivos delictivos, políticos u oportunistas.
Un informe reciente de Forescout Research-Vedere Labs, filial de Forescout Technologies, con sede en San José (California), señala que los elementos en red de las instalaciones de energía solar, centrados principalmente en el inversor y sus sistemas de supervisión y gestión, pueden constituir un medio para el acceso no autorizado.
Daniel dos Santos, director senior y responsable de investigación de seguridad de Forescout, afirma que las infraestructuras solares residenciales e incluso comerciales pueden no contar con la cantidad de disposiciones de ciberseguridad que justifica su condición de vulnerabilidad.
«En primer lugar, que todo el mundo tenga en cuenta que los inversores forman parte de infraestructuras críticas», dijo dos Santos. «Aunque estén en las casas de la gente y no en grandes parques solares, los requisitos de seguridad deberían ser mayores que los del ‘Internet de las cosas’ de uso general. No es lo mismo una cámara IP que una luz inteligente o algo así. Es algo que está conectado directamente a la red».
Según la investigación en la que se basa el informe de Forescout, los incidentes de ciberataques documentados en la infraestructura de energía solar ilustran cómo la debilidad en la seguridad está permitiendo la interrupción en el mundo real de los servicios de red. Los ejemplos citados incluyen un ataque de denegación de servicio en marzo de 2019 que causó que sPower perdiera visibilidad sobre 500 MW de generación eólica y solar en todo Estados Unidos; el hackeo de sistemas de monitoreo en Japón en mayo de 2024; el compromiso de dispositivos similares por un presunto grupo de hackers con sede en China a lo largo de 2024; y un ataque a instalaciones solares lituanas operadas por Ignitis Group en septiembre de 2024 por presuntos hackers prorrusos.
Aunque la investigación de Forescout identificó componentes y sistemas de software potencialmente vulnerables, señaló que los piratas informáticos no han causado hasta ahora una interrupción significativa de los servicios de energía solar o inestabilidad de la red. Sin embargo, dado que los fenómenos naturales y los accidentes han provocado interrupciones de este tipo, todo apunta a que los ciberataques podrán causarlas con diversos fines, desde el rescate hasta la guerra asimétrica.
Uno de los aspectos de la vulnerabilidad es que cualquier instalación solar, desde las residenciales hasta las de servicios públicos, puede dar a los piratas informáticos una vía de acceso a la red, donde podrían desencadenar una serie de escenarios dañinos. El informe de Forescout destaca algunos productos específicos por proveedor en los que ha encontrado tales vulnerabilidades y posibles recetas para cerrar estas aperturas.
Según dos Santos, el impacto de un ataque a la red depende de la capacidad de generación que puedan controlar los atacantes, de la rapidez con que se produzca la toma del control y de la capacidad de emergencia de la red.
«Ha habido otros estudios que han modelado el impacto en la red basándose en lo que se llama ‘ataques de motor de carga’, aumentando la demanda o disminuyendo la generación a gran escala a través de botnets», dijo. «Muchos de ellos son en realidad trabajos académicos, y los citamos en nuestro nuevo informe».
Los usuarios de ordenadores saben desde hace tiempo que los hackers son una de las razones por las que no podemos tener cosas bonitas sin tomar precauciones. Los proveedores de energía solar y los operadores de red también están llegando a esta conclusión.
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.