Blog KPMG Ciberseguridad

open search search

Blog KPMG Ciberseguridad

close
El otro lado de las smart grid

El otro lado de las Smart Grid

Debido a la convergencia de los sistemas de control industrial en la generación de energía y los sistemas informáticos empresariales dentro de las Smart Grid, las compañías energéticas deben ahora considerar el riesgo producido por fallos de seguridad de los sistemas informáticos tradicionales y su impacto en los sistemas de control, que hasta la fecha se encontraban centralizados y aislados.

Debido a que esta zona de vulnerabilidad es algo así como una interfaz entre dos mundos – el mundo de la informática y el mundo de los sistemas SCADA – y estos dos mundos son mantenidos por personal diferente, a menudo no hay clara rendición de cuentas.

Estas amenazas cobran especial sentido en los dispositivos dotados de servicios de telemedida, que presentan problemas de seguridad asociados, debido a que para abaratar costes se encuentran interconectados mediante tecnologías obsoletas como las redes PLC, que al igual que los Sistemas de Control Industrial fueron diseñadas sin tener en cuenta ningún mecanismo de seguridad. Esto facilita que un atacante pueda interceptar la información transmitida. Además, los problemas de privacidad son evidentes, ya que obtener los consumos instantáneos de los clientes puede llevar a descubrir rutinas y patrones de conducta.

Anteriormente, los fraudes en medidores de energía eran muy sencillos; se instalaban servicios directos, se soltaban, se corrían las anclas de tensión y se aislaban con esmalte o cinta, cuando el ancla estaba en la parte exterior del medidor. Con base en esto, se implementaron las primeras cuadrillas que con sólo inspección visual, detectaban dichos fraudes; procedían a abrir los sellos de seguridad, con el fin de intervenir internamente el medidor; ya sea la señal de tensión, los pivotes del imán de freno, puentes entre entrada y salida o el integrador; dichas empresas implementaron la prueba de tiempo-potencia, que consta de una resistencia y un cronómetro, tomando diferentes datos para con estos determinar si el medidor se encuentra frenado o intervenido.

Ahora bien, con los actuales sistemas de medición en remoto, los “hombre de la luz” no vienen a revisar los contadores o medidores, por lo que se dan multitud de casos en los que usuarios, mediante un simple código, se conectan al medidor y lo modifican a sus necesidades.

Se han encontrado multitud de casos en todo el mundo de Smart Meters hackeados para reducir la factura de energía o del agua de los usuarios. Con el avance de las tecnologías, existen numerosas aplicaciones o simples ejecutables que se pueden utilizar para modificar el software del contador o medidor, y reducir, por ejemplo, las tarifas que los usuarios pagan por la electricidad, o indicarle al contador que informe menos consumo del real a la compañía (dicha aplicación únicamente se tendría que conectar al sistema Smart Meter a través de una simple interfaz).

Se ha detectado también a usuarios que se conectan al medidor a través de un puerto infrarrojo que traen los medidores y aunque inicialmente permite tener un acceso limitado a los datos del medidor, el usuario puede llegar a adquirir privilegios de administrador, lo que le permitiría manejar el medidor a su antojo.

Esto por sí solo demuestra, una vez más, que la seguridad no es sólo una cuestión de sistemas y tecnología, sino un compromiso conjunto con los procesos de trabajo y documentación.

Además del robo de información, la mayor amenaza proviene de los ciberdelincuentes con fines terroristas. Las amenazas de ciberseguridad referentes a la Smart Grid son un problema muy importante, ya que un ciberataque podría llegar a afectar a la seguridad de plantas de generación de energía como pueden ser las plantas nucleares. Debido a este escenario, se han establecido diferentes grupos de trabajo, formados por expertos en la materia, que permiten enfocar estas amenazas con soluciones verdaderamente robustas.

En Estados Unidos y Europa es en donde la tecnología Smart Grid está a la vanguardia y donde se están realizando mayores avances, procedimentales y técnicos en materia de seguridad informática.

Los Estados Unidos, debido a su sensibilidad en relación con actividades terroristas, están a la cabeza por delante de Europa en este tema. Las normativa del NERC (North American Electric Reliability Corporation) a la que se presta mucha atención dentro del sector de la energía, o las Guidelines for Smart Grid Cyber Security del NIST (National Institute of Standards and Technology) o el trabajo del TCIPG (Trustworthy Cyber Infraestructure for the Power Grid) constituyen la base para el fortalecimiento de las directrices para los fabricantes e integradores.

Un ejemplo europeo es España, en donde trabajos conjuntos realizados por el CNPIC (Centro Nacional para la Protección de las Infraestructuras Críticas), el CCN-CERT (Equipo de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional) y empresas como Isdefe, han derivado en las guías de aseguramiento de SCADA.

El logro de una Smart Grid segura no será una tarea fácil. Como hemos visto hay una serie de posibles vulnerabilidades desconocidas o debilidades que deben ser analizados más profundamente.

La evaluación de los riesgos, asegurando procesos, así como la identificación de las brechas tecnológicas y problemas de organización son algunos de los principales retos a los que la Smart Grid se enfrentará en los próximos años. La sensibilización y el fomento de la formación y el intercambio de conocimientos entre todos los actores son las medidas urgentes necesarias para establecer el caldo de cultivo para brindar seguridad a la primera línea de acción.

Como vemos, el mundo de las Smart Grid también tiene su lado oscuro, donde si “los buenos” pueden ser Smart, “los malos” también lo son, y mucho, siendo esto lo que más nos preocupa para su exitosa implantación.

Autores: Alejandro Viana y Francisco Esteban, miembros del equipo de IT Advisory de KPMG en España

Deja un comentario


De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos de que sus datos personales facilitados en el presente formulario serán incluidos en un fichero titularidad de KPMG, S.A. denominado “BLOG” con la finalidad de gestionar su participación en el mismo, siendo este tratamiento de datos de carácter obligatorio. En cualquier momento podrá ejercitar sus derechos de acceso, cancelación, rectificación y oposición, contactando con KPMG S.A. a través del correo electrónico ES-FMderechosarco@kpmg.es o por escrito dirigido al Departamento de Asesoría Jurídica de dicha empresa en la dirección: Paseo de la Castellana, 159 C, 28046 Madrid

* Para enviar el comentario, es preciso aceptar la política de Protección de Datos de Carácter Personal.