46 Fallos Críticos Encontrados en Modelos de Inversores Solares de Marcas Líderes

Los investigadores de seguridad de Forescout Vedere Labs han identificado 46 vulnerabilidades críticas en inversores solares fabricados por tres de los principales fabricantes de sistemas de energía solar: Sungrow, Growatt y SMA, que podrían llevar a medidas de emergencia o posibles apagones.

Análisis y Hallazgos de Forescout

Forescout analizó seis de los principales proveedores globales de sistemas de energía solar: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe y SMA. Descubrieron 46 nuevas vulnerabilidades que afectan a diferentes componentes en tres proveedores: Sungrow, Growatt y SMA.

Estas vulnerabilidades recién descubiertas mencionadas en la investigación SUN:DOWN de Forescout Vedere Labs han sido corregidas por los proveedores afectados.

Estos fallos podrían haber permitido potencialmente a actores maliciosos ejecutar comandos arbitrarios en dispositivos o en la nube del proveedor, habilitar la toma de control de cuentas, impactar la estabilidad de la red y la privacidad del usuario, obtener acceso a la infraestructura del proveedor y tomar control de los dispositivos de los propietarios de inversores.

“El impacto colectivo de los sistemas solares residenciales en la fiabilidad de la red es demasiado significativo para ignorarlo: los hospitales podrían perder acceso a equipos críticos, las familias podrían quedarse sin calefacción en invierno o sin aire acondicionado en una ola de calor, y las empresas podrían cerrar”, dijo Barry Mainz, CEO de Forescout.

“Los actores maliciosos apuntan cada vez más a la infraestructura crítica, lo que hace esencial tomarlos en serio y asegurar los sistemas de inversores solares antes de que las vulnerabilidades lleven a interrupciones en el mundo real.”

Según los investigadores, en promedio, se han divulgado más de 10 nuevas vulnerabilidades cada año durante los últimos tres años. De las 93 vulnerabilidades divulgadas anteriormente, el 80% se clasifica como de alta o crítica gravedad, con un 32% de estas teniendo una puntuación CVSS de 9.8 o 10, lo que sugiere que los atacantes podrían potencialmente obtener control total sobre un sistema afectado.

Los componentes más comúnmente afectados son los monitores solares, que representan el 38% de las vulnerabilidades reportadas, seguidos por los backends en la nube con un 25%. En contraste, los inversores solares en sí mismos se ven afectados directamente en solo el 15% de los casos.

Los investigadores también encontraron que el 53% de los fabricantes de inversores solares, el 58% de los sistemas de almacenamiento y el 20% de los fabricantes de sistemas de monitoreo están basados en China, lo que genera preocupaciones sobre el dominio de los componentes de energía solar fabricados en el extranjero.

Escenarios Potenciales de Ciberataques en Redes Eléctricas

Un posible escenario de ataque implica que actores maliciosos obtengan nombres de usuario de cuentas, utilizando la función de restablecimiento de contraseña para secuestrar cuentas, y luego utilizando las cuentas secuestradas para enviar comandos que cambien la configuración de los inversores.

Si los atacantes toman control de estos inversores, pueden cambiar sus configuraciones de salida de energía o encenderlos y apagarlos de manera coordinada como un botnet. Cuando múltiples inversores son secuestrados a la vez, produce un gran efecto en la generación de energía en una red. La magnitud del daño depende de cuánta energía de respaldo tenga la red y cuán rápido se pueda activar.

En el contexto de la red eléctrica europea, investigaciones anteriores indican que obtener control sobre 4.GW de generación de energía solar podría reducir la frecuencia de la red a 49Hz, desencadenando la necesidad de reducción de carga.

Dado que Europa tiene 270GW de capacidad de energía solar instalada, tomar control de solo el 2% de los inversores podría ser suficiente para interrumpir la red para los atacantes en un mercado dominado por Huawei, Sungrow y SMA.

“Los sistemas de energía solar se están convirtiendo rápidamente en elementos esenciales de las redes eléctricas en todo el mundo, pero los fallos de seguridad persistentes amenazan tanto la estabilidad de la red como la seguridad nacional”, dijo Daniel dos Santos, jefe de investigación en Forescout Vedere Labs.

Implicaciones para la Industria

La identificación de estas vulnerabilidades subraya la necesidad de mejorar las medidas de seguridad dentro de la industria de la energía solar.

Forescout recomienda que los fabricantes de dispositivos implementen prácticas seguras de ciclo de vida de software, realicen pruebas de penetración regulares, implementen estrategias de seguridad en profundidad utilizando cortafuegos de aplicaciones web y utilicen auditorías de terceros de los enlaces de comunicación basadas en estándares, como ETSI EN 303 645, Directiva de Equipos de Radio (RED) y Ley de Ciberresiliencia (CRA).

Recomendaciones para los Consumidores

Para mitigar cualquier vulnerabilidad potencial asociada con el equipo de inversores de energía solar, se recomienda a los usuarios que actualicen regularmente el firmware de sus inversores, monitoreen el rendimiento de su sistema y mantengan una comunicación abierta con los fabricantes, lo que puede ayudar a mitigar riesgos.