¿Hackear el sol en 5 minutos? Con un solo «admin» basta — y los sistemas de plantas solares quedan en tus manos

La transición mundial hacia fuentes de energía renovable está acelerando con rapidez los riesgos cibernéticos que antes rara vez se consideraban. Las plantas solares, los complejos de baterías y los sistemas de monitorización han dejado de ser meros objetos de ingeniería: ahora se han convertido en puntos de entrada potenciales para ataques. La digitalización generalizada de la infraestructura hace que el sector sea vulnerable a intervenciones que pueden causar interrupciones en el suministro eléctrico y minar la confianza en la transición hacia la energía «verde».

Hasta hace poco las amenazas en la energía solar permanecían en la periferia de la atención, pero la situación ha cambiado. Ya en julio de 2024 el FBI advirtió a las empresas del sector sobre el aumento de riesgos cibernéticos en los sistemas de generación renovable. La magnitud del problema queda patente frente a las previsiones: para 2030 la proporción de energía «limpia» en la generación mundial crecerá del 30% al 46%, siendo el sol y el viento los principales protagonistas.

En este contexto, los incidentes en el sector energético generan cada vez más resonancia. La reciente avería en la Península Ibérica, aunque no fue consecuencia de un ciberataque, volvió a poner a los expertos a hablar de los riesgos para la resiliencia de las redes. Según Anjos Naik, director de la Red Europea de Ciberseguridad (ENCS), las infraestructuras conectadas —desde plantas solares hasta redes de recarga de vehículos eléctricos— pueden convertirse en origen de fallos en cascada. Cualquier intervención en su gestión, ya sea un intruso o la explotación de vulnerabilidades en la cadena de suministro, supone una amenaza para la estabilidad del sistema energético.

En la práctica las vulnerabilidades ya han dado lugar a consecuencias. El investigador estadounidense Aditya Sud obtuvo sin dificultad acceso a una planta solar en el estado indio de Tamil Nadu aprovechando credenciales estándar. En Japón los atacantes hackearon cientos de dispositivos de monitorización remota en una instalación de generación solar, utilizando la conocida vulnerabilidad CVE-2022-29303 (puntuación CVSS: 9.8) en Contec SolarView 6.0. Los dispositivos se emplearon en un esquema de robo de fondos bancarios, y los atacantes incluso publicaron en la red instrucciones para explotar la vulnerabilidad. También es conocido el ataque del grupo Just Evil al sistema de monitorización del grupo lituano Ignitis Group.

El componente más vulnerable de una planta solar sigue siendo el inversor, el equipo que convierte la corriente continua de los paneles en alterna para inyectarla a la red. Los modelos modernos incorporan interfaces Wi‑Fi, móviles y en la nube que facilitan la gestión remota, pero son precisamente esos canales los que se convierten en la vía principal de intrusión. Si se comprometen inversores pueden producirse interrupciones en la generación, desequilibrios de potencia e incluso cortes de suministro. Investigadores ya han detectado 46 nuevas vulnerabilidades en sistemas de energía solar que podrían permitir la toma de control de parques enteros de inversores.

Riesgos adicionales provienen de la dependencia de suministros desde China, que lidera la producción de módulos fotovoltaicos. Los equipos importados a menudo generan inquietud por componentes integrados y canales de comunicación no evidentes. Expertos de Bitdefender en 2024 encontraron vulnerabilidades en plataformas de gestión de plantas solares que podrían haber permitido acceso remoto a sistemas conectados. Y en algunos inversores chinos se han identificado módulos de comunicación ocultos que se conectan directamente a redes móviles, sorteando así los cortafuegos corporativos. Estas «cajas negras» pueden permitir a terceros cambiar configuraciones del equipo o interferir en el funcionamiento de la infraestructura de red.

Para reducir los riesgos, el sector se apoya en una serie de estándares internacionales. Entre ellos figuran el Marco de Ciberseguridad del NIST, ISO 27001 e IEC 62443, que describen enfoques para evaluar amenazas, segmentar redes y proteger los canales de comunicación entre inversores y sistemas de control. En Estados Unidos, el Departamento de Energía presentó el Cybersecurity Implementation Plan 2024, orientado a reforzar la seguridad de fuentes de energía distribuidas y sistemas de almacenamiento; en la UE están vigentes las directivas NIS2 y Critical Entities Resilience, que endurecen los requisitos de protección de cadenas de suministro y operadores de infraestructuras energéticas. El Laboratorio Nacional de Energías Renovables (NREL) también desarrolló su propio marco de evaluación de riesgos cibernéticos para recursos distribuidos.

Aplicar estos estándares ya en la fase de diseño ayuda a prevenir incidentes, acelerar la recuperación tras ataques y reducir riesgos regulatorios en un contexto de crecimiento de la generación solar. Sin embargo, las metodologías por sí solas no bastan: la protección exige un enfoque integral que incluya arquitectura de red, control de accesos, actualización de firmwares y preparación para la respuesta.

Para mejorar la resiliencia, los expertos recomiendan aislar los segmentos de control de las redes corporativas, emplear pasarelas entre los niveles IT, OT y la nube, aplicar autenticación multifactor y eliminar contraseñas compartidas o de fábrica. Igualmente importante es mantener el software actualizado, verificar la autenticidad de las actualizaciones y usar equipos con arranque seguro. Los fabricantes deben garantizar soporte prolongado, la publicación de vulnerabilidades y el almacenamiento seguro de claves de cifrado.

Por último, la preparación para incidentes desempeña un papel crucial. Para ello las organizaciones elaboran planes de respuesta, designan responsables para aislar sistemas, mantienen imágenes de respaldo, realizan ejercicios periódicos y actualizan los procedimientos tras cada suceso. La energía solar ya forma parte del sistema energético global, y su conectividad digital es a la vez una ventaja y una fuente de nuevas amenazas. Sin un control adecuado de los dispositivos de red y de los proveedores, la resiliencia de la infraestructura «verde» puede verse comprometida.