Las instalaciones energéticas son clave para el funcionamiento de nuestra sociedad, como quedó demostrado en el apagón del 28 de abril. Estas instalaciones se consideran infraestructuras críticas, por lo que deben ser robustas, seguras y resistentes. Son blanco habitual de ataques y su vulnerabilidad representa un problema que afecta a la seguridad nacional.
Un ejemplo de este tipo de ataques se produjo hace unos años, en 2015, y dejó sin electricidad a miles de ucranianos. Un año después, una familia de malware similar volvió a golpear Kiev. Pero si hablamos de malware para infraestructuras críticas, tenemos que hablar de Stuxnet, creado por agencias de inteligencia estadounidenses e israelíes con el objetivo de inutilizar una parte clave del programa nuclear iraní. Este malware fue el precursor que hizo que empezáramos a hablar de ciberguerra en todo el mundo.
La situación geopolítica actual nos ha llevado a un escenario similar al de hace una década, pero con una diferencia fundamental: ahora las agencias de inteligencia de todo el mundo han hecho sus deberes. No sería descabellado pensar que este tipo de accesos a infraestructuras críticas ya están en poder de estas agencias para, en caso de "necesidad", pulsar ese botón y explotar vulnerabilidades o puertas traseras en función de sus intereses particulares.
A este contexto se ha sumado el uso generalizado de plantas de generación renovable en España, lo que aumenta los puntos de exposición a un ciberataque. Si bien es cierto que esto fragmenta el impacto en caso de que una planta se vea comprometida, sigue representando un punto vital en la estrategia de seguridad nacional, especialmente ahora que las renovables están adquiriendo un mayor peso en el total de la energía generada en España.
Detalles técnicos del funcionamiento de las centrales de generación renovable
En las plantas de generación renovable, especialmente solar y eólica, es habitual encontrar un Controlador de Planta Eléctrica (CCP), que actúa como cerebro de la instalación. Su función principal es coordinar la entrega de potencia activa y reactiva, enviando instrucciones de funcionamiento a los diferentes equipos de generación (inversores o convertidores de potencia).
La comunicación entre el PPC y el equipo de generación suele realizarse a través de Modbus TCP/IP, un protocolo industrial sencillo y ampliamente utilizado. Sin embargo, carece de autenticación o encriptación, lo que permite a cualquier dispositivo con acceso a la red leer o modificar registros, siempre que conozca su dirección. Estas direcciones suelen estar disponibles en los manuales del fabricante, que suelen ser públicos.
Además, la PPC también puede recibir órdenes del sistema SCADA a través del mismo protocolo. Esto significa que cualquier actor con acceso a la red, ya sea el SCADA o la PPC, podría emitir órdenes de control válidas a la planta. Esta arquitectura hace que el PPC y el SCADA sean críticos desde el punto de vista de la ciberseguridad.
Las comunicaciones con el exterior suelen gestionarse desde un Centro de Control Autorizado (ACC), utilizando protocolos como IEC 60870-5-104 (IEC 104) o, en instalaciones más sencillas, Modbus TCP/IP. Las órdenes del ACC pueden llegar tanto al SCADA como al PPC, ampliando la superficie de ataque.
Niveles de exposición a la red
- Puerto expuesto sin filtrado ni cifrado: El puerto de protocolo es accesible desde Internet o redes compartidas. Basta con conocer la IP pública para enviar comandos. Aunque extremo, todavía existen instalaciones en este estado.
- Filtrado por origen (listas blancas de IP): Sólo se permiten conexiones desde IP autorizadas, normalmente las de la CCA. Sin embargo, la suplantación de IP o la intrusión previa en la CCA permiten controlar varias centrales.
- Túnel IPsec entre la CCA y la planta: Crea una conexión cifrada y autenticada. Actualmente es el método más recomendado. Sin embargo, dentro del túnel, si no hay autenticación adicional a nivel de aplicación, los dispositivos siguen siendo vulnerables.
Riesgo sistémico y coordinado
En un ataque coordinado, un actor malicioso podría acceder a varias centrales de una región y emitir órdenes sincronizadas para desestabilizar nodos específicos. Mientras que la red de transporte puede tolerar variaciones del 20%, en zonas aisladas, un cambio del 5% podría provocar desconexiones o colapsos.
En España, se estima que entre 10 y 12 GW de potencia renovable -principalmente solar- están gestionados por PPCs o SCADAs que utilizan Modbus TCP/IP con acceso remoto. Aunque distribuidos en pequeñas y medianas instalaciones que no siempre priorizan su securización, representan una potencia importante y un vector de ataque con consecuencias potencialmente graves.
Sofistic y la visión de QPV
Desde Sofistic, trabajamos para garantizar el mayor grado de ciberseguridad a nuestros clientes, siendo especialistas en ciberseguridad para entornos industriales y críticos. QPV es una empresa especializada en el sector de las energías renovables, que trabaja en la integración de la tecnología y la digitalización. Ambas empresas coinciden en que la seguridad de las infraestructuras críticas no debe depender del tamaño de la instalación, ya que cada punto de control conectado representa un posible punto de entrada para un atacante. La ciberseguridad debe integrarse desde la fase de diseño, evitando así que sea una solución improvisada posterior.
Para mitigar estos riesgos, proponemos una visión global basada en los siguientes pilares:
- Autenticación mutua mediante certificados digitales: Garantiza que solo los dispositivos legítimos puedan enviar contraseñas, lo que reduce drásticamente el riesgo de suplantación.
- Auditoría continua y trazabilidad de los envíos: Permite identificar patrones anómalos y tráfico malicioso desde el centro de control.
- Sistemas de detección y respuesta a las intrusiones: Detectan actividades no autorizadas en tiempo real, lo que permite respuestas rápidas y eficaces.
Migración progresiva a protocolos industriales con seguridad nativa (como OPC UA o IEC 61850 con TLS): Incorporar cifrado, autenticación y trazabilidad como parte del propio protocolo.
Segmentación de la red y política de mínimos privilegios: Limita el acceso a los sistemas críticos y minimiza el impacto de una intrusión.
Si quieres saber cómo podemos ayudarte a proteger tus infraestructuras críticas, contacta con nosotros. En Sofistic Cybersecurity y Qualifying Photovoltaics trabajamos juntos para desarrollar estrategias de ciberseguridad personalizadas, combinando la visión especializada en energía solar de QPV con la experiencia en ciberseguridad de Sofistic.
Creemos firmemente que la colaboración entre las dos empresas mejora significativamente nuestra capacidad de ofrecer soluciones sólidas y eficaces para hacer frente a los retos actuales y futuros en materia de ciberseguridad.