Cómo tu techo solar se convirtió en un problema de seguridad nacional.
Image Credits: imaginima / Getty Images
James Showalter describe una pesadilla bastante específica, si no del todo inverosímil. Alguien se acerca a tu casa, rompe tu contraseña de Wi-Fi y luego empieza a manipular el inversor solar montado junto a tu garaje. Esta caja gris sin pretensiones convierte la corriente continua de tus paneles solares en la corriente alterna que alimenta tu hogar.
“Tienes que tener un stalker solar” para que esta situación se desarrolle, dice Showalter, describiendo el tipo de persona que necesitaría estar físicamente en tu entrada con el conocimiento técnico y la motivación para hackear tu sistema de energía doméstica.
El CEO de EG4 Electronics, una empresa con sede en Sulphur Springs, Texas, no considera esta secuencia de eventos particularmente probable. Sin embargo, es por eso que su empresa se encontró en el centro de atención la semana pasada cuando la agencia estadounidense de ciberseguridad CISA publicó un aviso detallando vulnerabilidades de seguridad en los inversores solares de EG4. Las fallas, según CISA, podrían permitir a un atacante con acceso a la misma red que un inversor afectado y su número de serie interceptar datos, instalar firmware malicioso o tomar el control del sistema por completo.
Para los aproximadamente 55,000 clientes que poseen el modelo de inversor afectado de EG4, el episodio probablemente les dio una sensación de inquietud al conocer un dispositivo que apenas comprendían. Lo que están aprendiendo es que los inversores solares modernos ya no son simples convertidores de energía. Ahora sirven como la columna vertebral de las instalaciones de energía doméstica, monitoreando el rendimiento, comunicándose con las compañías de servicios públicos y, cuando hay exceso de energía, alimentándola de vuelta a la red.
Mucho de esto ha ocurrido sin que nadie se diera cuenta. “Nadie sabía qué demonios era un inversor solar hace cinco años”, observa Justin Pascale, un consultor principal en Dragos, una empresa de ciberseguridad que se especializa en sistemas industriales. “Ahora estamos hablando de ello a nivel nacional e internacional”
Deficiencias de seguridad y quejas de clientes
Algunos de los números destacan el grado en que las casas individuales en los EE. UU. están convirtiéndose en pequeñas plantas de energía. Según la Administración de Información Energética de los EE. UU., las instalaciones solares a pequeña escala – principalmente residenciales – crecieron más de cinco veces entre 2014 y 2022. Lo que antes era el dominio de los defensores del clima y los primeros adoptantes se ha vuelto más mainstream debido a la caída de los costos, las incentivas gubernamentales y un mayor conocimiento del cambio climático.
Cada instalación solar añade otro nodo a una red en expansión de dispositivos interconectados, cada uno contribuyendo a la independencia energética pero también convirtiéndose en un posible punto de entrada para alguien con intenciones maliciosas.
Cuando se le pregunta sobre los estándares de seguridad de su empresa, Showalter reconoce sus deficiencias, pero también desvía la atención. “Esto no es un problema de EG4”, dice. “Esto es un problema de la industria en general”. Durante una llamada de Zoom y luego, en la bandeja de entrada de este editor, produce un informe de 14 páginas que enumera 88 vulnerabilidades de energía solar en aplicaciones comerciales y residenciales desde 2019.
No todos sus clientes – algunos de los cuales se quejaron en Reddit – son comprensivos, especialmente dado que el aviso de CISA reveló fallos de diseño fundamentales: comunicación entre aplicaciones de monitoreo y inversores que ocurría en texto plano no cifrado, actualizaciones de firmware que carecían de controles de integridad y procedimientos de autenticación rudimentarios.
“Estos fueron errores de seguridad fundamentales”, dice un cliente de la empresa, que pidió hablar anónimamente. “Para colmo de males”, continúa esta persona, “EG4 ni siquiera se molestó en notificarme o ofrecerme medidas sugeridas”
Cuando se le pregunta por qué EG4 no alertó a los clientes de inmediato cuando CISA se puso en contacto con la empresa, Showalter lo llama un “momento de aprendizaje”.
“Porque estamos tan cerca [de abordar las preocupaciones de CISA] y es una relación tan positiva con CISA, íbamos a llegar al botón ‘hecho’ y luego advertir a la gente, así que no estamos en medio del pastel siendo horneado”, dice Showalter.
TechCrunch contactó a CISA anteriormente esta semana para obtener más información; la agencia no ha respondido. En su aviso sobre EG4, CISA indica que “no se ha reportado explotación pública específica que ataque estas vulnerabilidades a CISA en este momento”
Conexiones con China despiertan preocupaciones de seguridad
Aunque no está relacionado, el momento de la crisis de relaciones públicas de EG4 coincide con una mayor preocupación sobre la seguridad de la cadena de suministro de equipos de energía renovable.
Antes de este año, las autoridades energéticas estadounidenses reportedly comenzaron a reevaluar los riesgos que representan los dispositivos fabricados en China después de descubrir equipos de comunicación inexplicados dentro de algunos inversores y baterías. Según una investigación de Reuters, radios celulares no documentados y otros dispositivos de comunicación se encontraron en equipos de múltiples proveedores chinos – componentes que no aparecían en las listas oficiales de hardware.
Este descubrimiento reportado tiene un peso particular dado el dominio de China en la fabricación solar. La misma historia de Reuters también señaló que Huawei es el mayor proveedor de inversores del mundo, representando el 29% de las envíos globales en 2022, seguido de Sungrow y Ginlong Solis. Algunos 200 GW de capacidad de energía solar europea están vinculados a inversores fabricados en China, lo que es aproximadamente equivalente a más de 200 plantas nucleares.
Las implicaciones geopolíticas no han pasado desapercibidas. Lituania pasó una ley el año pasado bloqueando el acceso remoto chino a instalaciones solares, eólicas y de almacenamiento de energía por encima de 100 kilovatios, efectivamente restringiendo el uso de inversores chinos. Showalter dice que su empresa está respondiendo a las preocupaciones de los clientes al empezar a alejarse de los proveedores chinos por completo y a dirigirse hacia componentes fabricados por empresas de otros lugares, incluyendo Alemania.
Sin embargo, las vulnerabilidades que CISA describió en los sistemas de EG4 plantean preguntas que van más allá de las prácticas de cualquier empresa o de dónde obtiene sus componentes. La agencia estadounidense de estándares NIST advierte que “si controlas de forma remota un número suficiente de inversores solares residenciales y haces algo malicioso al mismo tiempo, eso podría tener implicaciones catastróficas para la red durante un período prolongado”
La buena noticia (si es que hay alguna), es que aunque teóricamente es posible, esta situación enfrenta muchas limitaciones prácticas.
Pascale, que trabaja con instalaciones solares a gran escala, señala que los inversores residenciales sirven principalmente dos funciones: convertir la energía de corriente directa a corriente alterna y facilitar la conexión de vuelta a la red. Un ataque masivo requeriría comprometer grandes números de hogares simultáneamente. (Tales ataques no son imposibles pero son más probables que involucren el ataque a los fabricantes mismos, algunos de los cuales tienen acceso remoto a los inversores solares de sus clientes, como evidenciado por investigadores de seguridad el año pasado.)
El marco regulatorio que rige las instalaciones más grandes no se aplica actualmente a los sistemas residenciales. Las normas de Protección de Infraestructura Crítica de la Corporación de Electricidad de América del Norte actualmente se aplican solo a grandes instalaciones que producen 75 megavatios o más, como granjas solares.
Dado que las instalaciones residenciales están muy por debajo de estos umbrales, operan en una zona reguladora gris donde las normas de ciberseguridad son sugerencias en lugar de requisitos.
El resultado final es que la seguridad de miles de pequeñas instalaciones depende en gran medida de la discreción de los fabricantes individuales que operan en un vacío regulatorio.
En cuanto a la transmisión de datos no cifrados, por ejemplo, que es uno de los motivos por los que CISA le dio un golpe a EG4, Pascale señala que en entornos operativos a gran escala, la transmisión en texto plano es común y a veces se fomenta para fines de monitoreo de redes.
“Cuando miras a la cifrado en un entorno empresarial, no está permitido”, explica. “Pero cuando miras a un entorno operativo, la mayoría de las cosas se transmiten en texto plano”
La verdadera preocupación no es una amenaza inmediata para los propietarios de hogares individuales. En cambio, se relaciona con la vulnerabilidad agregada de una red en expansión. A medida que la red de energía se vuelve cada vez más distribuida, con la energía fluyendo de millones de pequeñas fuentes en lugar de unas pocas grandes, la superficie de ataque se expande exponencialmente. Cada inversor representa un posible punto de presión en un sistema que nunca se diseñó para acomodar este nivel de complejidad.
Showalter ha adoptado la intervención de CISA como lo que él llama un “mejora de confianza” – una oportunidad para diferenciarse en un mercado concurrido. Dice que desde junio, EG4 ha trabajado con la agencia para abordar las vulnerabilidades identificadas, reduciendo una lista inicial de diez preocupaciones a tres elementos restantes que la empresa espera resolver para octubre. El proceso ha involucrado actualizar los protocolos de transmisión de firmware, implementar verificaciones de identidad adicionales para llamadas de soporte técnico y rediseñar los procedimientos de autenticación.
Pero para clientes como el cliente anónimo de EG4 que habló con frustración sobre la respuesta de la empresa, el episodio destaca la posición extraña en la que se encuentran los adoptantes de energía solar. Los clientes de EG4 compraron lo que entendían como tecnología amigable con el clima, solo para descubrir que se habían convertido en participantes involuntarios en un complejo paisaje de ciberseguridad que pocos parecen comprender completamente.