La tecnología podría crear todo tipo de oportunidades para los atacantes, según señalan los investigadores.
El despliegue apresurado de la tecnología de la red inteligente podría provocar que las infraestructuras críticas y las viviendas particulares sean vulnerables ante los piratas informáticos. Los expertos en seguridad reunidos en la conferencia Black Hat en Las Vegas recientemente advirtieron que el hardware y el software de la red inteligente carece de las garantías necesarias para proteger contra intromisiones.
Se está animando a las compañías eléctricas a que instalen esta tecnología de red inteligente—una serie de dispositivos conectados en red para ayudar a supervisar y administrar el uso de energía—a través de la financiación procedente del paquete de estímulo del gobierno de los EE.UU. en 2009. Los sistemas inteligentes podrían ahorrar energía y ajustar automáticamente el uso en hogares y negocios. Los clientes pueden, por ejemplo, permitir que la compañía, de forma remota, apague sus aparatos de aire acondicionado en los momentos de uso máximo, a cambio de un descuento.
Sin embargo, para recibir el dinero del estímulo, las compañías tendrán que instalar nuevos dispositivos a lo largo de su base de clientes rápidamente. Los expertos en seguridad afirman que esto podría provocar problemas en el futuro—las vulnerabilidades aún desconocidas en el hardware y el software podrían crear nuevas formas de que los atacantes manipulen el equipo y tomen el control del suministro de energía.
El despliegue de la red inteligente implica la instalación de contadores inteligentes en los hogares y las empresas en todo el área de cobertura de una compañía. Estos medidores se pueden comunicar con la compañía y con otros dispositivos de red—generalmente a través de una red inalámbrica de algún tipo. Ya se conocen varias formas de apropiarse de este tipo de equipos. El año pasado, Mike Davis, consultor de seguridad senior de IOActive, creó un programa capaz de propagarse de forma automática entre el hardware de las redes inteligentes en diferentes hogares. Una vez propagado, el programa puede llegar a apagar los equipos.
La seguridad de la red inteligente fue un tema importante durante la conferencia Black Hat. La conferencia reúne a investigadores del mundo académico, la industria, el gobierno y el mundo subterráneo de los hackers.
Jonathan Pollet, fundador y principal asesor de Red Tiger Security, una firma encargada del análisis de la seguridad de las infraestructuras de importancia crítica, afirma que la red inteligente podría ser vulnerable ante una serie de ataques. Los clientes simplemente podrían averiguar, por ejemplo, cómo reducir sus facturas de electricidad mediante la manipulación de la cantidad de energía que sus contadores afirman que están utilizando. No obstante, afirma que los ataques a gran escala también son posibles. Una grave vulnerabilidad podría permitir cerrar el suministro de energía a una ciudad entera.
Los dispositivos desplegados por las compañías están destinados a durar entre 15 y 20 años. Puede ser difícil y costoso aplicar parches de seguridad en estos sistemas ya distribuidos, especialmente porque no se pueden poner fácilmente fuera de servicio para labores de mantenimiento de rutina.
Los dispositivos de red inteligente también se conectan con los equipos de control más antiguos—conocidos como sistemas SCADA (Supervisory Control and Data Acquisition)—que utilizan las compañías eléctricas. "Los sistemas SCADA son mucho menos seguros que los sistemas de IT de las empresas", afirma Pollet. Explica que a menudo están conectados a internet, pero no poseen características de seguridad tales como firewalls o protección antivirus.
Nathan Keltner, consultor del equipo de evaluación de FishNet Security, ha estado analizando la tecnología de la red inteligente para varios clientes. Señaló que la red inteligente posee "sistemas SCADA antiguos que se han remodelado de alguna forma para convertirlos en nueva tecnología".
Podría resultar particularmente difícil proteger la red inteligente, puesto que los posibles atacantes tendrán acceso físico a los componentes conectados a la red. Pollet afirma que todo lo que hace falta es que un único usuario malintencionado pueda entrar en el sistema—más tarde, la información sobre cómo entrar en un dispositivo rápidamente se compartiría por internet. "Aquellos que tengan la intención y la motivación necesarias pueden llegar a hacerlo", asegura.
Shawn Moyer, encargado de la seguridad de redes en Agura Digital Security, afirma que le preocupa que las compañías eléctricas no tengan experiencia en cuanto a la seguridad de redes. Por ejemplo, afirma que muchas compañías anuncian la oferta de encriptación en sus productos de red inteligente, aunque al llevar a cabo una inspección más detallada, se han encontrado problemas relacionados con el modo en que el cifrado se lleva a cabo.
Moyer y Keltner revelaron una prueba de concepto de un ataque a la red inteligente en Black Hat. Utilizaron parte de un equipo de radio personalizable y algunos programas disponibles de forma libre para encontrar contadores inteligentes dentro de una red y saltarse el cifrado utilizado para protegerlos. Si un atacante hiciera lo mismo, afirman, sería posible ejecutar comandos que podrían informar erróneamente sobre los datos a la compañía o interrumpir el flujo eléctrico en los hogares de algunos usuarios.
Moyer señala que las compañías han luchado contra las intromisiones durante mucho tiempo, aunque la red inteligente añade otra dimensión al problema. "El robo de servicios no es algo nuevo, la manipulación no es nada novedoso—pero sí la escala de las posibilidades", afirma.