Un 'hackeo' en los paneles solares puede provocar un apagón en toda Europa

Este ingeniero griego, que trabaja para detectar vulnerabilidades en los softwares de las compañías, consiguió introducirse de forma no autorizada en los inversores conectados a la nube. Estos pequeños dispositivos son los encargados de recibir y transformar la energía que generan los paneles fotovoltaicos de corriente continua a corriente alterna. En sus pruebas Stykas consiguió apagarlos e, incluso, sobrecargarlos para llevar a la red eléctrica a una sobretensión que podría llevar a un apagón a las ciudades. «También, en un caso hipotético de compromiso, se podría hacer que se ignorasen avisos de emergencia que normalmente se mostrarían en la aplicación de gestión para causar un mal funcionamiento del panel que implicase su rotura», aclara Josep Albors, director de investigación y concienciación de ESET España.

Las autoridades son conscientes de esta problemática: «Todo sistema informático es susceptible de tener vulnerabilidades», explica Héctor Lama, director técnico de la Unión Española Fotovoltaica (UNEF). Solo en 2023 se produjeron más de 200 incidentes cibernéticos en el sector energético, de los cuales más de la mitad estaban dirigidos específicamente contra Europa, según la Agencia Europea de Ciberseguridad (Enisa, por sus siglas en inglés).

Expertos consultados por este periódico aseguran que continuamente se producen ataques dirigidos contra las infraestructuras críticas de los países con numerosas y muy diferentes intenciones. «Estas pueden ir, por ejemplo, desde la manipulación del mercado eléctrico hasta el terrorismo de dejar a oscuras un país para sembrar el caos», relatan fuentes del sector de la ciberseguridad.

Hace unas semanas, a finales del mes de noviembre, la compañía rumana Eléctrica S. A. sufrió un ciberataque que no tuvo mayor importancia. Días antes, en Japón, los piratas informáticos se apoderaron de monitores solares y los utilizaron para robar cuentas bancarias, según informaron los medios locales. «Para evitar estos riesgos, debemos implementar las actualizaciones de software que nos indiquen los fabricantes, que, normalmente, se llevan a cabo de forma automática», recuerda el director técnico de UNEF.

La Agencia Internacional de la Energía (AIE) prevé que 100 millones de hogares en todo el mundo tendrán instalados paneles solares en los tejados para obtener energía a finales de esta década, cifra que cuadruplica a la actual. Este despliegue alienta a los defensores de la transición energética, pero, a su vez, preocupa a los encargados de la seguridad nacional. Un jaqueo a un panel solar puede poner en riesgo toda la red eléctrica de la Unión Europea.

En los Países Bajos, la consultora Secura BV ha identificado 27 escenarios en los que un ciberataque podría afectar gravemente a las instalaciones solares y, en consecuencia, «afectar al sector energético en su conjunto». En Reino Unido, Kaspersky ha documentado casi un centenar de interrupciones por culpa de ataques a este sector.

Por ello, la Comisión Europea está trabajando en nuevas normas para reforzar las protecciones de los dispositivos solares, pero dará a las empresas hasta 18 meses para cumplirlas.

La amenaza es tan grave que la OTAN realizó un simulacro de seguridad en Suecia para encontrar y reparar vulnerabilidades en los sistemas solares, eólicos e hidroeléctricos.

«Muchos paneles solares que se están instalando actualmente en casas particulares permiten conectarse a una red WiFi o usar un protocolo de comunicación para ser gestionado fácilmente por el usuario», alerta Albors. «Deberíamos ver si esta conexión, con la app móvil que normalmente se suele utilizar, dispone de algún tipo de identificación o credenciales por defecto que permita a un atacante atacarlos remotamente y cambiarlas por unas nuevas y robustas», añade. En el caso de que se produzca un ataque, el portavoz de ESET España recomienda aislar este tipo de dispositivos conectados de la red.