Puntos de recarga de VE, el próximo objetivo de los ciber atacantes

La electrificación y la digitalización de la economía están conllevando la aparición de nuevos escenarios de ciberseguridad: ya se tiene constancia de un primer ataque realizado contra los puntos de recarga de los vehículos eléctricos. Aunque el incidente no supuso nada más que la aparición de mensajes contra Vladimir Putin en las pantallas de este mobiliario urbano, el suceso pone de relieve que estos puntos de recarga son susceptibles de ser atacados y de provocar ciertos problemas, tanto a usuarios como plataformas y administraciones.

Digitalización eléctrica

«El sistema eléctrico siempre ha sido un sistema muy cerrado, con muchas capas de seguridad para asegurar la disponibilidad y la consistencia en la entrega continua de suministro», explica a esta redacción Agustín Valencia, Responsable de Desarrollo de Negocio Seguridad OT para España y Portugal en Fortinet. Sin embargo, con la creciente adopción de los vehículos eléctricos, este sistema está experimentando un cambio de paradigma.

Uno de los principales desafíos que Valencia destaca es el riesgo asociado con la conectividad de los puntos de recarga de los vehículos eléctricos. Estos puntos de recarga están conectados a la red eléctrica, a los dispositivos móviles de los usuarios, a los sistemas de pago y a terceros. Esta conectividad amplia y diversa puede ser explotada por los ciberdelincuentes para llevar a cabo una variedad de ataques.

Valencia detalla que los ataques más probables son las brechas de datos, que pueden ser causadas por configuraciones incorrectas o fallos humanos. Sin embargo, los ataques más peligrosos podrían ser aquellos que apuntan a la disponibilidad de los equipos. «Si soy capaz de atacar a la disponibilidad de los equipos vía ransomware o simplemente formas DDoS (ataques de denegación de servicio, con los que puedo «controlar» la disponibilidad o no del sistema), podamos estar hablando de un efecto contra la red eléctrica», explica Valencia.

Javier Lázaro, Director Comercial de XCharge en España (empresa que se dedica a comercializar este tipo de cargadores para vehículos eléctricos) reconoce que el peligro es real, puesto que los puntos de recarga son máquinas conectadas a Internet y, por lo tanto, susceptibles a ataques. Sin embargo, asegura que existen medidas para mitigar estos riesgos.

Valencia, sin embargo, considera que es urgente aplicar una mayor seguridad en la infraestructura de los vehículos eléctricos. «Es cuestión de tiempo y de masa crítica que empiece a parecer apetecible y fácil para el atacante», vaticina. Por eso, señala que la seguridad debe ser una consideración clave en el diseño y la implementación de los puntos de recarga.

¿Son los puntos de recarga un peligro?

Sin negar este punto de vulnerabilidad (al ser máquinas están conectadas a servidores), Lázaro considera también que en países como España, donde la infraestructura de recarga aún está en desarrollo, un ataque a la ciberseguridad en estaciones de recarga no tendría tanto impacto. Pero en países como Holanda y Noruega, más avanzados en ventas de vehículos eléctricos e infraestructura de carga, un ataque de seguridad podría ser «devastador».

Para mitigar estos posibles riesgos, Lázaro explicó que los fabricantes de cargadores deben implementar protocolos de comunicación seguros y asegurarse de que sus estaciones de recarga estén certificadas por la OCA (Open Charge Alliance) y tengan un perfil de seguridad de nivel dos. Este perfil permite un encriptado y una autentificación de la información entre el cargador y la plataforma.

Aunque la seguridad total no existe y siempre hay un riesgo de ataques, Lázaro aseguró que es muy complicado que suceda si se aplican las medidas oportunas. «Es muy complicado porque hay una autentificación en los sistemas de comunicación, tanto del equipo de carga hacia la red eléctrica como hacia el vehículo. Si la autenticación falla en uno de los dos sentidos, no hay comunicación y no se permite la carga», explica.

Qué puede pasar

Las consecuencias de un ataque a los sistemas de recarga pueden ser muy diversas, en función de si el afectado es la red eléctrica en sí y las compañías operadoras del servicio o si la vulnerabilidad afecta más al usuario final.

Por hacernos una idea, los dos expertos consultados por La Razón explican que un ciberataque podría conllevar que el punto de recarga suministrara más cantidad de energía o con mayor potencia que la que el vehículo realmente necesita o que cobrase por una cantidad no proporcionada en realidad.

Los atacantes también podrían utilizar el punto de recarga para desactivar por completo la carga eléctrica del vehículo, remitiéndola de nuevo a la red eléctrica, con el consiguiente peligro de saturación.

«El punto de recarga siempre depende de lo que la red y el vehículo le comuniquen», asegura Lázaro, quien declara que, en este sentido, el punto de recarga sólo hace lo que los otros dos extremos (red y vehículo) le dicen qué hacer. Por eso, «todos los mensajes que enviamos estén encriptados para así evitar posibles problemas», reforzando la seguridad entre el cargador y una plataforma.

WiFi de casa

Aunque el ataque contra los cargadores eléctricos conocido ha sido de los que están en la calle, los particulares que instalan las personas en sus hogares también son vulnerables.

A medida que más dispositivos del Internet de las Cosas (IoT) se conectan a nuestras redes, la vulnerabilidad aumenta. «Pensemos que si un malo encuentra en nuestra WiFI un agujero, puede saltar a cualquier dispositivo», explica Agustín Valencia.

No obstante, este mismo experto de seguridad destaca que no debemos caer en el error de asociar lo digital con lo inseguro. «Creo que sería erróneo poner un foco en que porque es digital es inseguro», afirma, sobre todo porque los planes de digitalización han llevado asociada una parte importante de ciberseguridad desde hace mucho tiempo.

En el contexto del vehículo eléctrico, Valencia señala dos objetivos principales para los ciberdelincuentes: las grandes infraestructuras y el usuario final o consumo doméstico. «Es tan IoT el punto de recarga que hay en medio de la calle como la cajita pequeñita que se instale en tu casa. Es cuestión de tiempo y de masa crítica que empiece a parecer apetecible y fácil para el para el atacante», advierte.

La seguridad no debe ser una preocupación para grandes empresas eléctricas sino también para los particulares. Un ataque podría resultar en brechas significativas de datos o incluso afectar físicamente a los equipos conectados a estas redes.

Por eso, Valencia enfatiza la necesidad urgente de preparación y prevención. «Estamos a tiempo», augura, aunque las previsiones de AEDIVE (Asociación Empresarial para el Desarrollo e Impulso de la Movilidad Eléctrica) son de un crecimiento hasta 2030, que si se cumplen, estaríamos hablando de que la capacidad instalada de puntos de recarga estaría alrededor de entre 20 y 30 gigavatios.

Los 3 GW de resistencia europea

Según la Red Europea de Gestores de Redes de Transporte de Electricidad (ENTSO-E), la zona sincronizada del sistema eléctrico continental europeo se ha diseñado para soportar un desequilibrio máximo de potencia de 3 gigavatios (GW). Pero, tal y como señala el Foro Económico Mundial, sin las medidas adecuadas, las consecuencias de un desequilibrio de potencia de 3GW podrían ser inmensas, incluido el apagón total del sistema.

Los riesgos de ciberseguridad convencionales pueden ser mitigados por los gestores de redes de transporte y los gestores de redes de distribución mediante el despliegue de diferentes medidas, pero ataques coordinados y simultáneos contra la demanda o el suministro de energía a través de los dispositivos IoT de los consumidores son más difíciles de controlar. A medida que aumenta la potencia de las unidades de recarga de VE (muchas de ellas superiores a 20 kW), es necesario manipular menos unidades de carga para provocar un desequilibrio de 3 GW.