El ascenso vertiginoso de la energía solar en los últimos años destaca cómo esta se ha convertido en un componente esencial en la combinación energética renovable, capaz de ahorrar en las facturas eléctricas de todos, desde el ciudadano común hasta las empresas, al tiempo que permite a los operadores de red gestionar un flujo energético distribuido para apoyar la red. A finales de 2022, se instalaron más de 1.300 TWh de energía fotovoltaica a nivel mundial, lo que representa menos del 5% de la producción global de electricidad. Una serie de factores ha acelerado aún más la difusión de la energía solar, cuya tasa de instalación se ha más que duplicado cada año, convirtiéndola de facto en la tecnología de producción de energía de más rápido crecimiento.
La demanda de energía de la red nunca ha sido tan alta y probablemente aumentará con la transición de los combustibles fósiles a la electrificación u otras aplicaciones que requieren energía, como la digitalización, los centros de datos y el crecimiento de la inteligencia artificial, o incluso la difusión masiva de vehículos eléctricos y bombas de calor. Los gobiernos de todo el mundo están intensificando sus iniciativas de sostenibilidad para alcanzar los objetivos "cero neto". Mientras tanto, la invasión de Ucrania ha contribuido a una toma de conciencia colectiva sobre la fragilidad de la seguridad energética, especialmente cuando se depende de suministros fósiles fuera de las fronteras nacionales.
Estos son todos factores que han contribuido al crecimiento exponencial de las fuentes de energía alternativa, como la solar, en primera línea en las futuras estrategias de seguridad energética. Sin embargo, con la transición de las fuentes fósiles (petróleo y gas) a las renovables, cabe preguntarse hasta qué punto puede ser seguro este suministro energético. ¿Qué tan seguros son desde el punto de vista informático los sistemas fotovoltaicos conectados a hogares, empresas e infraestructuras de red? ¿Y quién más puede acceder a ellos?
Nuevos riesgos para la seguridad informática
El desarrollo de amenazas a la seguridad informática en el sector solar refleja fielmente lo que hemos visto con la llegada de Internet hace tres décadas. Si en 1995 nos hubiéramos detenido a diseñar los protocolos básicos de Internet para que fueran seguros desde el punto de vista informático, la industria habría ahorrado cientos de miles de millones de dólares en intervenciones retrospectivas. En retrospectiva, la industria de la energía solar también debería diseñar sus productos teniendo en cuenta la seguridad informática como estándar, antes de que su difusión masiva obstaculice la prevención de un evento informático catastrófico o genere costes exorbitantes para implementar medidas de seguridad informática después del hecho. Desafortunadamente, hoy en día hay pocos requisitos o autoridades para imponer a los fabricantes de tecnología solar la adopción de estas medidas.
La complejidad de los ataques informáticos ha aumentado enormemente en los últimos años, al igual que los ataques basados en inteligencia artificial, las botnets y los ataques 0-day, así como las agresiones patrocinadas por otros Estados como herramienta de ofensiva geopolítica, ya que las redes energéticas e infraestructuras de red son un objetivo potencialmente paralizante. Eventos recientes, como el ataque informático a una importante empresa de comunicaciones satelitales durante el conflicto en Ucrania, llevaron a la desconexión de 11 GW de turbinas eólicas alemanas. Ataques similares han apuntado a otras fuentes de energía renovable y subestaciones de red, como demuestran los incidentes en Ucrania, donde varias subestaciones fueron atacadas, causando interrupciones generalizadas de energía en Kiev.
Más recientemente, un "hacker ético" holandés, conocido como Jelle Ursem, tuvo acceso a 40.000 hogares en los Países Bajos a través de sus sistemas fotovoltaicos en el tejado, gracias al sistema de monitorización desde remoto desarrollado por un fabricante chino, que le permitió ver los datos personales de los propietarios de la casa, crear nuevos clientes y eliminar usuarios existentes. También pudo acceder a la cantidad de electricidad generada por los paneles solares de los clientes a través de las coordenadas GPS y descargar, ajustar y cargar el firmware de los inversores.
Amenazas a la seguridad informática en la energía solar
El inversor fotovoltaico es el componente fundamental de una instalación, que convierte la energía producida por los módulos en electricidad utilizable por la red. También es el dispositivo que se conecta tanto a la red eléctrica de un hogar o empresa como a la red eléctrica nacional. Dado que muchos países se están moviendo hacia una generación eléctrica distribuida para respaldar la estabilización de la red eléctrica, si la seguridad informática no se toma en serio, se podría dar acceso a un potencial acto de piratería contra el inversor, lo que podría llevar tanto al control remoto del suministro de energía como a su exposición. Ya sea un propietario de casa, una empresa o un operador de red, siempre es una buena práctica considerar quién tiene acceso a estos inversores y verificar la seguridad informática de la tecnología de los fabricantes.
En los últimos años, hemos sido testigos del impacto devastador de los fallos en la red eléctrica debido a eventos meteorológicos extremos, como la helada en Texas en 2021 y la ola de calor en California en 2022, con interrupciones generalizadas y prolongadas que han afectado a millones de hogares y empresas, desestabilizando la vida cotidiana de las personas. Cuando la red colapsa, la restauración puede llevar varios días. Si se trata de un ataque informático, los tiempos pueden ser aún más largos, ya que los operadores de red deben identificar primero la causa y el origen del problema antes de liberar el sistema de intrusiones. Solo entonces se puede iniciar un proceso de arranque en negro para restaurar gradualmente la red y volver a poner en funcionamiento cuidadosamente los activos para mantener el equilibrio entre la oferta y la demanda. Si se describen las consecuencias de un ataque informático a la red en estos términos, el 5% de la producción global de energía por parte de la fotovoltaica se vuelve repentinamente más significativo, resaltando la necesidad de dar absoluta prioridad a la seguridad informática.
¿Qué se debe hacer para hacer que la energía solar sea más segura desde el punto de vista informático?
Para defenderse de los actuales ataques informáticos altamente sofisticados y automatizados, es necesario en primer lugar una mayor conciencia por parte de los propietarios de viviendas, empresas, operadores de red y gobiernos de que la seguridad informática de los componentes de las instalaciones solares varía considerablemente de un fabricante a otro. Comprendiendo el riesgo que esto conlleva para la seguridad energética, es necesario cambiar la mentalidad en toda la cadena de valor energético, adoptando un enfoque del tipo "prevenir es mejor que curar", no diferente de las sólidas medidas de seguridad informática integradas de serie en los teléfonos o automóviles.
Comenzando por los propios fabricantes, que actualmente determinan de forma autónoma los niveles de seguridad de sus productos sin regulación alguna, lo que resulta en disparidad de estándares. Esto equivaldría a permitir a los fabricantes de automóviles decidir de forma independiente sus propios estándares de seguridad. Las capacidades tecnológicas para mejorar la seguridad informática durante el desarrollo de los productos existen, por lo que es imperativo que los fabricantes prioricen la inversión en estas tecnologías sobre la reducción de costes y el aumento de márgenes. La seguridad informática no debería ser negociable, al igual que la seguridad contra incendios o la seguridad eléctrica.
La regulación por parte de los gobiernos es esencial para hacer cumplir este aspecto, estableciendo estrictos estándares de calidad para la seguridad informática y obligando al sector a seguirlos. Se podría comenzar imponiendo estándares básicos de ciberseguridad para todos los dispositivos conectados, incluidos los recursos energéticos distribuidos (DER), así como requiriendo a los fabricantes de la industria solar participar en la implementación de medidas de seguridad física, de software y de capacidad de monitorización de ciberseguridad, además de planes de mitigación en caso de posibles ataques informáticos.
La reciente introducción del estándar de ciberseguridad PSTI por parte del Reino Unido ha sentado un precedente a nivel global, exigiendo el cumplimiento a todos los fabricantes de dispositivos de consumo conectados, incluidos los inversores solares, en cuanto a la seguridad de las contraseñas, el soporte y la documentación técnica. En Europa, se espera que el Cyber Resilience Act de la Comisión Europea, que debería finalizarse para fines de año, imponga una lista más extensa de requisitos de ciberseguridad a partir de 2027. El proyecto de ley abarca miles de productos de IoT, incluidos los inversores solares. Si bien es un buen punto de partida, la mejora de la seguridad informática en la energía solar requiere una categoría legislativa separada y una atención prioritaria, especialmente en una región donde la energía solar se considera una de las fuentes energéticas clave para reducir la dependencia del petróleo y el gas extranjeros. Algunas tendencias positivas se observan en los Estados Unidos, donde las asociaciones del sector y los laboratorios de certificación de productos han dado los primeros pasos para establecer estándares de certificación.
Para concluir
Ya sea energía solar, eólica u otras fuentes renovables, es evidente que la abundancia de energía limpia es fundamental para mejorar nuestras vidas y la salud de nuestro planeta. Sin embargo, con el aumento de la difusión de fuentes energéticas alternativas a las fósiles, es imprescindible mejorar la seguridad que subyace a la tecnología, salvaguardar la energía y la infraestructura de red de posibles amenazas antes de que sea demasiado tarde. Aunque la probabilidad de que ocurra es baja, es imperativo mitigar las posibles consecuencias negativas en caso de que ocurra un evento similar. Aunque los gobiernos están tomando conciencia de esto, la seguridad informática en las energías renovables no funcionará sin una colaboración internacional, especialmente en Europa, donde el comercio de electricidad entre países es predominante. La legislación debe ir acompañada de presiones de abajo hacia arriba, exigiendo tanto a los propietarios de viviendas como a las empresas que invierten en energía solar altos estándares de ciberseguridad como requisito previo. Siempre se vuelve a la sabiduría atemporal: invertir en la prevención es mejor que invertir en la cura.