Medidores de energía inteligentes fáciles de hackear
Millones de medidores inteligentes conectados a la red instalados en toda España podrían ser fácilmente atacados por hackers ya que carecen de una ciberprotección suficiente.
Los expertos en seguridad Javier Vázquez Vidal y Alberto García Illera dijeron en una entrevista el lunes que los llamados medidores inteligentes instalados por una empresa eléctrica española para cumplir con los objetivos de eficiencia energética del gobierno carecen de garantías básicas para frustrar los piratas informáticos.
Los investigadores dijeron que el código defectuoso en los chips de memoria reprogramables les permite apagar de manera remota la energía a hogares individuales, cambiar las lecturas de los medidores a otros clientes e insertar "gusanos" de red que podrían causar apagones generalizados.
"Puedes simplemente tomar el control del hardware e inyectar tus propias cosas", dijo Vázquez Vidal, refiriéndose a la amenaza de que los piratas informáticos puedan insertar código malicioso en una caja y usarlo para controlar los medidores cercanos, y de ese modo lanzar un ataque en cascada a través de la red.
Tradicionalmente, las empresas de energía han mantenido las plantas de energía y los contadores mecánicos de electricidad a salvo del ataque cibernético al mantenerlos aislados de la Internet abierta. Los contadores inteligentes se conectan a través de redes de líneas eléctricas para brindarles a los clientes y servicios públicos datos instantáneos sobre cuándo, dónde y cuánta energía usan los hogares, permitiendo a los proveedores de energía monitorear y ajustar los flujos de energía.
Vázquez Vidal y García Illera dijeron que los medidores utilizan un cifrado simétrico AES-128 relativamente fácil de descifrar. La seguridad limitada parecía estar diseñada en gran parte para evitar la manipulación de los sistemas de facturación por los estafadores, dijeron.
Una vez superado este primer nivel de seguridad, dijeron que podían tomar el control total de la caja, cambiando su identificación única para hacerse pasar por otras cajas de clientes o convirtiendo el medidor en un arma para lanzar ataques contra la red eléctrica.
La Unión Europea quiere que más de dos tercios de los usuarios de electricidad en Europa tengan medidores inteligentes para 2020, una iniciativa que espera reduzca el uso de energía en un tres por ciento.
Durante la última década, la mayoría de los países de Europa han ordenado que se instalen medidores inteligentes en hogares y negocios. Pero a medida que los despliegues a nivel nacional han tenido lugar en Italia y Suecia y ahora están en marcha en Francia, España y el Reino Unido, los expertos han comenzado a descubrir las amenazas de seguridad cibernética planteadas por algunos medidores.
Los dos investigadores se negaron a identificar la utilidad o el fabricante de hardware europeo de los medidores inteligentes que se consideran vulnerables a los ataques. Discutirán sus hallazgos en la conferencia de piratería de Black Hat Europe en Amsterdam la próxima semana.
"No estamos publicando los detalles exactos; no vamos a decir cómo lo hicimos ", dijo García Illera. "Este problema debe ser resuelto".
Las principales empresas eléctricas de España son Endesa, Iberdrola y E.ON. Colectivamente, se han instalado 8 millones de medidores inteligentes, o el 30 por ciento de los hogares.
Los investigadores dijeron que habían identificado fallas de seguridad solo en cajas de un fabricante de medidores. Vázquez Vidal dijo que cree que la utilidad puede solucionar el problema de forma remota, sin tener que enviar personal de reparación para actualizar físicamente cada caja.
Un experto de los mercados y el regulador de competencia de España, que supervisa el mandato del medidor inteligente, dijo que la agencia estaba terminando un estudio sobre la amenaza del pirateo de medidores y que no había encontrado evidencia de que estuviera ocurriendo o en riesgo de ocurrir.
Mike Davis, un importante investigador de seguridad de la firma de consultoría de ciberseguridad IOActive, identificó amenazas similares en los dispositivos inteligentes de medición de Estados Unidos hace cinco años.
"Fue extraño. Casi ninguna de las utilidades que desplegaban medidores inteligentes en ese momento consideraba los medidores como parte de su problema de amenaza ", dijo Davis.
La divulgación de sus hallazgos fue una llamada de atención para los servicios públicos de los EE. UU., Lo que llevó a un mayor escrutinio gubernamental y a la acción de la industria para proteger mejor los dispositivos contra los ciberataques.
Davis dijo que las vulnerabilidades descritas por el equipo de investigación español parecían factibles dada la lenta respuesta de los servicios públicos y los fabricantes de medidores para revisar la seguridad de sus medidores.
Sin embargo, un experto de los mercados españoles y el regulador de competencia, que supervisa el mandato del medidor inteligente, dijo que la agencia estaba terminando un estudio sobre la amenaza del pirateo de medidores y no había encontrado evidencia de que estuviera ocurriendo o en riesgo de ocurrir.
Tradicionalmente, las empresas de energía han mantenido las plantas de energía y los contadores mecánicos de electricidad a salvo de los ciberataques al mantenerlos aislados de la Internet abierta.
Los contadores inteligentes se conectan a través de redes de líneas eléctricas para brindarles a los clientes y servicios públicos datos instantáneos sobre cuándo, dónde y cuánta energía usan los hogares, permitiendo a los proveedores de energía monitorear y ajustar los flujos de energía.
La Unión Europea quiere que más de dos tercios de los usuarios de electricidad en Europa tengan medidores inteligentes para 2020 en un intento por mejorar la eficiencia energética en un tres por ciento.
Durante la última década, la mayoría de los países de Europa han ordenado que se instalen medidores inteligentes en hogares y negocios. Pero como los despliegues a nivel nacional se han llevado a cabo en Italia y Suecia y ahora están en progreso en Francia, España y el Reino Unido, los expertos han comenzado a descubrir las amenazas de seguridad cibernética planteadas por la tecnología.
Tips
BTC: 1GVnCraoq5iXhTPt2zUSCrLPMdSLyEavgf
ETH: 0x8c98E0792dAe837cC20b051Fb07EB5D9267B387C
LTC: LLUosZGm1xj66x5NCxq48j8vyLyEekYhe4
NANO: xrb_1sxjpay7nuagz73deuwunqyaxc3nu58c6rs13x7mcsdzrwbcbxbqdd69s1z
BCN:227ibRLjWZHBMoBjN6tNEhDJdNZuJnDt94hNykunbjm4Xvsctrrs1JufNCezqRpKfLJf5dmANoy6uA2bGtZ3uT5fJGViwni