Los vehículos eléctricos y los electrodomésticos conectados a Internet están haciendo que la red eléctrica sea más vulnerable a los ciberataques, y ni siquiera el Departamento de Energía sabe cuál es la gravedad del problema, según un informe de marzo de la Government Accountability Office (GAO).
Mientras que los investigadores de ciberseguridad llevan años advirtiendo de la inseguridad de los dispositivos de La Internet de las Cosas, la GAO afirma ahora que, estos dispositivos podrían amenazar los sistemas de distribución de energía, es decir, la red que suministra electricidad a hogares y empresas. Los sistemas de distribución suelen ser gestionados por los estados o gobiernos locales, mientras que los dispositivos son controlados por los consumidores. Ahí radica parte del problema.
«Las empresas de distribución tienen una visibilidad e influencia limitadas en el uso y la ciberseguridad de estos dispositivos porque los consumidores suelen controlarlos, según los responsables de un laboratorio nacional», afirma el informe. El Departamento de Energía «ha elaborado planes para aplicar la estrategia nacional de ciberseguridad para la red, pero estos planes no abordan plenamente los riesgos para los sistemas de distribución.»
Pero las vulnerabilidades de las empresas locales de servicios públicos pueden amenazar a redes estatales o regionales enteras. «Otro laboratorio nacional afirma que no está claro hasta qué punto el sistema de energía a gran escala es susceptible de sufrir interrupciones por ataques a los sistemas de distribución. Por ejemplo, dijeron que no se comprende bien la escala de los impactos potenciales en el sistema de energía a granel de un ciberataque en los sistemas de distribución de la red», dice el informe.
El gran número de dispositivos conectados es una gran parte del problema, especialmente si un atacante puede engañarlos para operar de manera coordinada. En 2018, investigadores de la Universidad de Princeton demostraron la posibilidad de convertir múltiples dispositivos que consumen energía, como calentadores y aires acondicionados, en una red de bots. Este tipo de redes de bots se usan habitualmente para los ataques de denegación de servicio distribuidos que hacen caer los sitios web. Pero los investigadores de Princeton descubrieron que también podían utilizarse «para manipular la demanda de energía en la red», según el resumen de su artículo.
Un ciberataque a un sistema de distribución nunca ha provocado un apagón en Estados Unidos, algo que el Departamento de Energía señaló en su respuesta a la GAO. Pero los ataques respaldados por Rusia han provocado cortes de energía en Ucrania. El primero, en diciembre de 2015, afectó a casi 200.000 personas en pleno invierno ucraniano. Casi un año después, los ucranianos cerca de Kiev sufrieron una interrupción similar, un evento que las autoridades energéticas ucranianas creen que es un ciberataque de Rusia.
Fte. Defense One