Las prisas y la presión por reducir los costes han provocado que las redes más grandes del mundo presenten graves vulnerabilidades como la que dejó a Ucrania sin luz. Ahora, empresas y gobiernos empiezan a ser conscientes de la necesidad de hacer las cosas bien
Las redes eléctricas están cada vez más expuestas a los hackers a medida que van incorporando nuevas tecnologías como los contadores inteligentes y software analítico. Y las redes más maduras, como la europea, presentan riesgos aún mayores, según el Consejo Mundial de Energía.
Demasiado a menudo, las presiones por que los equipos, transformadores y líneas de transmisión más antiguos de las empresas eléctricas sean compatibles con equipos más nuevos y eficientes y conectados a internet al menor coste posible han dejado la seguridad en un segundo plano, según un reciente informe del Centro de Estudios Internacionales del Instituto Tecnológico de Massachusetts (MIT, EEUU).
Y eso es algo que interesa mucho a los hackers. "Por el bien de la eficiencia.... hemos creado un enorme riesgo a nosotros mismos", advierte el autor principal del informe del MIT, Joel Brenner.
La mayoría de las empresas eléctricas sufren dos o tres incidentes al año que requieren una investigación, pero la probabilidad de que a lo largo de un año se produzca un ataque "es del 100%", afirma el director global de estrategias de cibersistemas de Siemens, Leo Simonovich. Alrededor del 30% de los que se producen están dirigidos a sistemas que operan plantas físicas, tanto si se trata del conmutador como de controladores de red más antiguos que tal vez no estén conectados con las operaciones centrales. Es una subida del 5% frente a hace dos años, señala Simonovich.
Ahora, según Brenner del MIT, la gente empieza a ser consciente del peligro. El presidente de EEUU, Donald Trump, ha firmado una orden ejecutiva para acelerar la coordinación y el cumplimiento de la ciberseguridad en todas las agencias, incluidas las que supervisan la red eléctrica. La orden sigue el rumbo de otras medidas tomadas por las administraciones Obama y Bush dirigidas a mejorar la coordinación interestatal. Uno de los requisitos de la orden: un estudio de la capacidad de Estados Unidos de soportar un importante ataque a la red.
La red de Estados Unidos no es una única entidad. Antes de que la electricidad llegue a los enchufes de las casas, fluye por una red desde plantas energéticas y pasa por subestaciones, transformadores y líneas de transmisión hacia una de las cinco conexiones principales que están interconectadas con sistemas en Canadá y una pequeña zona de México. Este complejo conjunto es supervisado por ocho consejos regionales liderados por el Consejo de Fiabilidad del Servicio Eléctrico de Norteamérica, el Gobierno Federal de EEUU, 50 comisiones estatales y cinco territoriales, empresas públicas y privadas y hasta pequeños pueblos y ciudades.
La vulnerabilidad se puede manifestar de varias formas, desde un operador de campo desprevenido que haga clic sobre un software malicioso en forma de documento o vínculo adjunto a un correo electrónico hasta malware capaz de detectar vulnerabilidades en los equipos de generación y transmisión. Y los hackers también podrían, simplemente, atacar sistemas con un software desfasado. Las preocupaciones sobre los ciberataques a redes eléctricas se han disparado desde un ataque en 2015 a la red eléctrica de Ucrania. Los atacantes pasaron desapercibidos durante meses mientras se familiarizaban con el sistema del país, probaban las redes, robaban credenciales y planeaban un ataque coordinado que finalmente cortó el suministro eléctrico de 225.000 personas. Ucrania culpó a Rusia por el ataque y por un segundo ataque alrededor de un año después (ver Una ciudad a oscuras, el saldo del último ataque hacker a Ucrania), pero las empresas energéticas de Ucrania carecían de algunas prestaciones de seguridad básicas, como una autenticación de contraseñas de dos factores, y empleaban software duplicado en algunos casos, algo que conlleva una multa federal en Estados Unidos para empresas grandes.
Así que las empresas más grandes están aprendiendo la lección y han empezado a mejorar su ciberseguridad y aumentar su formación. La empresa de investigaciones de mercado IDC calcula que para 2020 las empresas energéticas gastarán unos 4.100 millones de euros anuales en hardware, software y servicios de seguridad, frente a 3.100 millones de euros de este año.
Históricamente, las tecnologías como los conmutadores y controles físicos de una planta energética se sustituían cada 15 ó 20 años. Es un ritmo mucho más lento que el del sector informático, donde las nuevas generaciones de tecnología se renuevan entre cada tres y cinco años.
Pero a pesar de ello, al profesor de ingeniería de la Universidad Estatal de Iowa (EEUU) Manimaran Govindarasu, que ha estudiado la vulnerabilidad de la red eléctrica, le preocupa el ritmo al que avanzan los hackers. "¿Cómo cerramos esa brecha?, se pregunta.
El Instituto Eléctrico Edison calcula que sus empresas miembro gastaron casi 47.300 millones de euros en modernizar las infraestructuras de transmisión y distribución en 2016, el doble de la cantidad gastada hace una década.
Empresas como General Electric, Siemens y Honeywell, cuyos sistemas y equipos sirven a empresas energéticas y operadores de red, están empezando a ofrecer nuevo software, paquetes de formación y tecnologías de captura de datos que ayudarán a identificar amenazas e impedir daños. Siemens está colaborando con Darktrace, una empresa de inteligencia artificial para diseñar un sistema que aprende lo que denomina como el "patrón vital" de las redes y los dispositivos eléctricos además de las personas que operan los equipos.
Al combinar todos estos datos y compararlos con patrones típicos, señala Siemens, puede ayudar a un operador a detectar un problema y dispensar una solución rápidamente, lo que aumentaría la capacidad de las grandes empresas energéticas para contener los ataques.
General Electric (GE), el mayor fabricante del mundo de equipos de generación eléctrica, está desarrollando un programa para reconocer los problemas incluso antes. Para ello, detectará anomalías en los datos procedentes de sensores colocados dentro de las turbinas de gas y otros equipos de generación eléctrica. Si una lectura de temperatura de una turbina se sale de la norma, los sensores alertarán a los operadores para que investiguen, explica el responsable de Desarrollo en el centro de I+D de GE, Colin Parris. Darse cuenta de que una turbina está siendo manipulada podría ayudar a evitar paradas, que resultan caras, ya que para reiniciar una turbina pueden hacer falta hasta seis semanas. A largo plazo, GE calcula que el mercado para este tipo de servicios podría superar los 11.500 millones de euros.
Dejar las cosas como están podría costar aún más. Lloyd’s of London estima que los daños a largo plazo de un ataque importante podrían rozar el billón de euros, en el caso más extremo.
Los comisionados estatales, que aprueban las subidas de tarifa, están más preocupados por cómo las empresas energéticas están gestionando los riesgos que por cumplir con un objetivo concreto de gasto, apunta el director del laboratorio de investigaciones de la Asociación de Comisionados de Regulación de Servicios Públicos de Estados Unidos, Miles Keogh. Entre las empresas energéticas, "desde luego existe la voluntad" de gastar en ciberdefensa, concluye.