Europa y Estados Unidos han emprendido una importante transformación de su infraestructura de energía eléctrica. Esta gran actualización de infraestructura, que se extiende desde hogares y negocios a plantas generadoras de energía fósil y parques eólicos; es fundamental para los esfuerzos mundiales para aumentar la eficiencia energética, la confiabilidad y la seguridad, así como la transición a fuentes de energía renovables; reducir las emisiones de gases de efecto invernadero; y para construir una economía sostenible que asegure la prosperidad futura. Estos y otros beneficios potenciales de las redes eléctricas “inteligentes” (Smart electric power grids) se están llevando a cabo en todo el mundo. En el caso de Colombia, la aplicación de las tecnologías “Smart Grid” se han dado gracias a dos iniciativas:

Smart Grids Colombia Visión 2030 – Mapa de ruta para la implementación de redes inteligentes en Colombia, el cual fue puesto a disposición del público a través de La Unidad de Planeación Minero Energética (UPME) y el trabajo cooperativo con el Banco Interamericano de Desarrollo (BID), el Ministerio de Minas y Energía y el Ministerio de Tecnologías de la Información y las Comunicaciones.

Así mismo, se han realizado pilotos y despliegues iniciales, donde EPSA, ELECTRICARIBE, EMCALI, EPM, CODENSA y ESSA, entre otras empresas, han realizado despliegues iniciales con diferentes niveles de desarrollo de infraestructura de medición avanzada que han logrado muy buenos resultados en reducción de pérdidas de energía (y consecuentemente de emisiones de dióxido de carbono) además de la adopción de modelos que aseguran la interoperabilidad de tecnologías y sistemas de información.

Es importante entender que la interconexión de sistemas informáticos empresariales con sistemas de control industrial, implica que las fallas de seguridad de los sistemas informáticos tradicionales (Windows, Linux, Unix, protocolos TCP/IP, etc.) impactarán los sistemas de control que hasta la fecha se encontraban centralizados y aislados.

Los antiguos dispositivos de control e instrumentación industrial (SCADA, EMS) no fueron diseñados para soportar medidas de seguridad tales como antivirus, detectores de intrusos, mecanismos de autenticación y de control de acceso. Anteriormente, los fraudes en medidores de energía eran muy sencillos; se instalaban servicios directos, se soltaban, se corrían las anclas de tensión y se aislaban con esmalte o cinta, cuando el ancla estaba en la parte exterior del medidor. Con base en esto, se implementaron las primeras cuadrillas que con solo inspección visual, detectaban dichos fraudes; procedían a abrir los sellos de seguridad, con el fin de intervenir internamente el medidor; ya sea la señal de tensión, los pivotes del imán de freno, puentes entre entrada y salida o el integrador; dichas empresas implementaron la prueba de tiempo-potencia, que consta de una resistencia y un cronómetro, tomando diferentes datos para con estos determinar si el medidor se encuentra frenado o intervenido.

Ahora bien, con los actuales sistemas de medición en remoto en países de Europa y en Estados Unidos, las cuadrillas no vienen a revisar los contadores o medidores, por lo que se dan multitud de casos en los que usuarios, mediante un simple código, se conectan al medidor y lo modifican a sus necesidades. Existen informes documentados que señalan la posibilidad de reprogramar un “Smart meters”, para que reporte consumos inferiores a los reales, esto sin alterar físicamente el dispositivo. Un ciberataque contra los “Smart meters” puede ocasionar manipulación masiva de información de los usuarios, fraude y denegación del servicio. Esto por sí solo demuestra, una vez más, que la seguridad no es solo una cuestión de sistemas y tecnología, sino un compromiso conjunto con los procesos de trabajo y documentación.

Desde hace más de 7 años, las amenazas cibernéticas al sistema eléctrico son una realidad. El Ejemplo claro es en 2010 cuando se descubrió un gusano informático, conocido como Stuxnet, que es capaz de reprogramar Controladores Lógicos Programables (PLC por sus siglas en inglés) y ocultar los cambios realizados. Stuxnetdemuestra que un programa malicioso puede ocasionar daño físico a algunos elementos del mundo real (sobrecargas, manipulación maliciosa de elementos robóticos o electromecánicos, alteración o falsificación de señales digitales, etc.). Es importante mencionar que en la actualidad, los sistemas SCADA suelen controlar filtros de agua, mezclas químicas, energía eléctrica, rutas de trenes, etc.

Con estos ejemplos, se demuestra que además del robo de información, la mayor amenaza proviene de los ciberdelincuentes con fines terroristas. Las amenazas de ciberseguridad referentes a la “Smart Grid” son un problema muy importante, ya que un ciberataque podría llegar a afectar a la seguridad de plantas de generación de energía, los tendidos de transmisión eléctrica, entre otros. En noviembre de 2011, un grupo de hackers destruyó el sistema de bombeo de agua potable en una ciudad de Illinois, en Estados Unidos.

En Estados Unidos y Europa es en donde la tecnología Smart Grid está a la vanguardia y donde se están realizando mayores avances, procedimentales y técnicos en materia de ciberseguridad. Las normativa del NERC (North American Electric Reliability Corporation) a la que se presta mucha atención dentro del sector de la energía, o las Guidelines forSmart Grid Cyber Security del NIST (National Institute of Standards and Technology) o el trabajo del TCIPG (Trustworthy Cyber Infraestructure for the Power Grid) constituyen la base para el fortalecimiento de las directrices para los fabricantes e integradores.

Algunos de los retos más importantes de ciberseguridad que gestionan día a día en compañías como el Grupo A3SEC Colombia para “Smart Grid” incluyen el establecer una arquitectura de seguridad para proteger la información contenida en todos los dispositivos de ésta; blindar los diversos canales de comunicación de datos; establecer medidas de protección para los antiguos sistemas de control e instrumentación industrial; crear un sistema integral de gestión de la ciberseguridad de la red inteligente que contemple técnicas de planeación, control, medición y mejoras constantes de la seguridad informática.

Por David Rojas Peralta. Director de Consultoría A3SEC en EE.UU, México y Colombia.