Las inversiones en contadores inteligentes y en equipamiento para la red eléctrica inteligente siguen aumentando en todo el mundo ya que los países tratan de lograr que sus sistemas de suministro eléctrico sean más eficientes. Sin embargo, pese a la importancia crítica de la infraestructura de suministro eléctrico, normalmente no está protegida y por tanto está sujeta a posibles ataques. Este artículo describe el concepto de seguridad del ciclo de vida, es decir, la idea de que el equipamiento instalado en la red inteligente deba incorporar una seguridad diseñada para toda la vida del producto, incluyendo al subcontratista. También se comentan los aspectos relativos a la seguridad del ciclo de vida para el equipamiento instalado en la red inteligente. Se analizan las amenazas potenciales así como las soluciones potenciales que mitigan los riesgos que representan tales amenazas.

La seguridad es un aspecto cada vez más importante en la red eléctrica inteligente. Ante los ataques que periódicamente sufre la infraestructura de la red inteligente, existe una clara amenaza y el suministro estable de electricidad en todos los países corre el riesgo de verse comprometido por fuerzas enemigas. A modo de respuesta, se presta gran atención a la seguridad TI; así, muchas soluciones se basan en el criptografiado de extremo a extremo entre los dispositivos dedicados a la recogida de datos en la red inteligente y los sistemas de control de supervisión y adquisición de datos (supervisory control and data acquisition, SCADA) que analizan y reaccionan en función de los datos. Esta atención centrada sobre la seguridad TI es sin duda fundamental ya que se han de proteger los datos “en  camino” mediante criptografía basada en estándares. No obstante, incluso con el criptografiado más potente de extremo a extremo hay puntos débiles en la seguridad de la red inteligente: el propio dispositivo instalado es muy vulnerable a los ataques.

¿El criptografiado es seguridad, verdad?
Si bien las herramientas de criptografiado son fundamentales para asegurar la privacidad y autenticidad de los datos y las instrucciones transmitidas, es importante destacar que se trata tan sólo de una parte de la solución. El mayor valor que aporta el criptografiado es la protección de los datos cuando están en circulación o bien almacenados con el fin de evitar el descifrado o la falsificación. Si bien algunos piensan que una portadora RF compleja o una portadora de la línea eléctrica basada en salto de frecuencia ofrecen la seguridad suficiente para “ocultar” los datos, es una protección que los atacantes pueden violar con facilidad. Imaginemos que un atacante pueda crear una instrucción arbitraria para abrir el interruptor de desconexión remota en un contador inteligente: el servicio eléctrico podría verse interrumpido para un gran número de personas y la compañía de suministro se vería desbordada por las quejas. Esto no solo daría como resultado una caída significativa de la facturación y un grave contratiempo para los afectados, sino que podría arriesgar la propia vida en regiones en las que el aire acondicionado es una necesidad.

¿Pero qué les sucede a los datos antes de entrar en el conducto y después de  salir? Existen claves de criptografiado a ambos lados de los conductos de comunicación que criptografían, descriptografían, autentican o validan los datos transmitidos. Si bien el criptografiado de los datos en el conducto tiene una importancia crítica para proteger la información mientras pasa del sensor instalado al sistema de control, la protección de las claves secretas utilizadas en el criptografiado es aún más importante. Si estas claves se ven comprometidas, la seguridad de la red también puede verse en compromiso. Los puntos finales instalados en la red inteligente deben tener en cuenta la seguridad de la clave para ofrecer una solución más completa de seguridad. La tecnología de los terminales financieros seguros asigna una gran importancia a la protección de claves y utiliza varias capas de protección para proteger las claves secretas en el chip frente a ataques físicos y analíticos.

La validez de los datos y de las instrucciones que circulan por la red inteligente no es el único origen de ataques que afecten al suministro de electricidad. Virus más avanzados como Stuxnet han demostrado el peligro de ataques que cambian el comportamiento fundamental del equipamiento instalado de una forma difícil de detectar. Un tipo de ataques denominado “ataques de día cero” aprovecha aquellos sistemas que se puedan borrar o reprogramar, violando así el sistema de forma indetectable. No solo hemos de preocuparnos por el equipamiento cuando se pone en marcha, sino siempre que sea vulnerable a una programación inadecuada, por ejemplo durante su fabricación.

¿Pero qué podría  ir mal?
Diseñar teniendo en cuenta la seguridad resulta difícil, ocupa mucho tiempo y exige conocimientos especializados sobre seguridad. ¿Vale realmente la pena la inversión? Pensemos por un momento en un contador inteligente ya instalado. Debido a que los contadores generalmente no están protegidos ya que se encuentran en nuestros hogares, resulta fácil que pueda acceder un extraño. Si se emplea un microcontrolador convencional para el proceso de aplicaciones y comunicaciones en ese contador, es probable que haya una vía de ataque a través del interfaz de programación, de manera que el atacante podría reprogramar el contador o incluso leer su contenido. Con los recursos y el tiempo suficientes, alguien podría incluso crear un programa que se comporte exactamente como el programa del contador anterior, pero con virus ocultos que recojan los datos de la clave o alteren los informes sobre consumo de electricidad.

Los contadores instalados deben protegerse para garantizar que sus funciones no se vean alteradas. No obstante, si miramos hacia atrás en el tiempo se observa un momento en el cual el contador es incluso más vulnerable: la planta de fabricación. Siempre existe la posibilidad de que la “ingeniería social” pueda proporcionar a los atacantes el acceso a su IP y al ciclo de fabricación. Con apenas unos pocos miles de dólares el atacante podría adquirir su software, aplicar ingeniería inversa, alterarlo y entregar un nuevo programa al ciclo de fabricación. Además, el atacante podría vender el software a un competidor, suministrando de este modo a otra compañía un beneficio desleal obtenido de sus gastos en investigación y diseño.

¿Cómo proteger el ciclo de vida?
Un diseño concienzudo del ciclo de vida tendrá en cuenta las amenazas en cada fase de desarrollo y fabricación del producto, y determinará si tales amenazas garantizan contramedidas. Para implementar un ciclo de vida seguro es preciso valorar estos aspectos:

Asegúrese de adquirir un silicio válido. La compra a través de canales autorizados o directos puede ayudar a cumplirlo, pero también existen técnicas criptográficas. Maxim Integrated vende microcontrolador seguros y productos para la red eléctrica inteligente que se pueden preprogramar con la clave o certificado de un cliente, garantizando así que solo el cliente en cuestión pueda desbloquear y programar el CI.

Proteja su IP. Proporcione un código firmado y criptografiado a su departamento de fabricación. Esto exige la incorporación de un cargador inicial seguro al microcontrolador del sistema para descriptografiar y autenticar el software una vez introducido en el chip. El criptografiado ofrece protección frente a la ingeniería inversa o el clonado.

Ejecute únicamente el código que estaba previsto ejecutar. Un cargador inicial seguro puede utilizar la firma digital en su software para validar la autenticidad del código antes de cargar o ejecutar la aplicación.

Comuníquese con confianza. Las nuevas configuraciones, actualizaciones de firmware e instrucciones deben criptografiarse y firmarse para validar que se envíen desde una fuente de confianza.

Proteja sus claves en el entorno. No almacene claves de criptografiado en un CI separado del lugar donde utilice la clave, como una EEPROM externa. Si tiene un microcontrolador seguro separado del procesador de aplicaciones, mantenga las claves en el chip seguro y no las envíe nunca a ningún otro punto. Para un atacante resulta sencillo extraer las claves transmitidas por las pistas de la placa de circuito impreso.

Proteja sus claves dentro de su compañía. Utilice claves de desarrollo para ingeniería con el fin de añadir funciones de seguridad a sus productos. Proteja el acceso a las claves de producción exigiendo a los diversos usuarios que autoricen el uso de claves de producción. Un modulo de alta seguridad (high-security module, HSM) puede ser de ayuda para implementar algunas de estas medidas.

No confíe en un solo punto de fallo. Si un atacante solo necesita extraer las claves de un contador para violar el sistema, aún puede invertir más tiempo y dinero en el ataque si sabe que puede violar el sistema por completo. Los atacantes sofisticados podrían incluso decapsular el CI y acceder a las memorias mediante microsondas en busca de las claves. Utilice claves únicas o bien técnicas criptográficas asimétricas como firmas digitales de curva elíptica.
Con la especial atención que se presta hoy en día a la seguridad únicamente de las TI, estamos dejando a los atacantes una gran oportunidad para que exploten la red eléctrica inteligente. Al asegurar el ciclo de vida de este equipamiento instalado mejoraremos la seguridad de la red y dificultaremos enormemente a los atacantes que traten de perturbar el suministro de electricidad.

Acerca del autor
Kris Ardis es el Director de Negocio de productos para la Red Eléctrica Inteligente en Maxim Integrated. Trabaja en Maxim desde hace 15 años y es Licenciado en Ciencias Informáticas por la Universidad de Texas.

Más información o presupuesto