Smartgrids: ¿privacidad asegurada?

El 13 de julio de 1977 prácticamente toda la ciudad de Nueva York se quedó a oscuras y la electricidad no regresó hasta el día siguiente. A diferencia de otros apagones, como los ocurridos en el Noreste de los EEUU en 1965 y 2003, el de 1977 se centró en la ciudad de Nueva York y en esta ocasión se produjeron importantes saqueos e incendios provocados.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Todo empezó a las 8:37 pm de ese día con la caída de un rayo en una subestación eléctrica, lo que destrozó dos de sus interruptores de control. A continuación se produjeron otros incidentes, cayeron otros rayos y todo el sistema continuó desestabilizándose hasta que a las 9:36 pm todo el sistema eléctrico se vino abajo. Se inició la restauración del servicio a las 10:26 pm, pero esa operación requirió un día entero para completarse.

Años mas tarde, la noche del 4 de noviembre de 2006, zonas de Alemania, Francia, Italia, Bélgica, España y Portugal, sumando un total de quince millones de clientes, se quedaron sin suministro eléctrico después de una secuencia de caídas eléctricas.

La causa del apagón estuvo en una sobrecarga del sistema causada por la compañía alemana E.ON al desconectar una línea de potencia eléctrica sobre el río Ems para dejar pasar un barco. Con este acto, la red europea se descompuso en tres redes independientes durante un periodo de dos horas y la falta de balanceo entre la generación y la demanda de cada sección dio como resultado los apagones que percibieron los abonados ¹.

Está claro que la sociedad occidental avanzada no está preparada para sufrir apagones imprevistos.

Los modernos sistemas de generación y distribución eléctrica están diseñados para ser resistentes a breves desajustes entre la demanda y la oferta, así como a disminuir la probabilidad de procesos en cascada en esa misma escala de tiempo. Sin embargo, como no hay beneficios económicos inmediatos en prever fallos a gran escala, hay cierta tendencia empresarial a no cuidar la capacidad de recuperación de las redes, y solo se hace después de que se hayan producido grandes y sonadas caídas del servicio.

La generación y distribución de la energía eléctrica es uno de los componentes más críticos de las denominadas Infraestructuras críticas. Cuando el suministro eléctrico se detiene, también lo hace todo lo que de él depende. Los apagones debidos a la climatología normalmente se resuelven en horas o en pocos días, pero aquellos con periodos de restauración mas largos causan desastres económicos. En 1996 se produjo un apagón de seis semanas en el distrito de negocios de Auckland, Nueva Zelanda, y este obligó a 60.000 de sus 74.000 empleados a trabajar desde sus casas o en oficinas reubicadas fuera de la zona afectada.

El caso que más cerca ha estado de un apagón intencionado y de origen terrorista lo encontramos en 1996 cuando el IRA planeó volar los transformadores de tres de las subestaciones que dan electricidad a la ciudad de Londres ². El atentado falló porque uno de los comandantes del IRA era un agente infiltrado británico y pudo avisar antes. Si los atacantes hubiesen tenido éxito, un puñado de hombres habría arruinado el servicio eléctrico para una gran parte de la ciudad de Londres durante semanas o meses, afectando así a millones de personas y a negocios que suponen un tercio del PIB británico.

Las redes de distribución eléctrica que conocemos tienen su origen a finales del siglo XIX en los diseños de Nikola Tesla, y algunas de aquellas decisiones de diseño están todavía en pleno uso después de haber transcurrido mas de cien años. Durante los últimos cincuenta años las redes eléctricas no han sido capaces de atender a retos como (1) las amenazas a su seguridad respecto a proveedores o ciberatacantes, (2) la posibilidad de integrar fuentes alternativas de generación de potencia eléctrica cuya intermitencia hace mas difícil mantener la estabilidad de la red, o (3) la posibilidad de incluir artefactos controlados digitalmente que permitan alterar la naturaleza de la demanda eléctrica.

Redes digitales de distribución

Una smartgrid es una red digital de distribución eléctrica que obtiene, distribuye y actúa según la información de la que disponga en cada momento sobre el comportamiento de todos los agentes involucrados en ella (generación, distribución y demanda) en aras a mejorar la eficiencia, fiabilidad, economía y sostenibilidad de los servicios eléctricos prestados por ella ³.

Las sociedades modernas dependen enteramente de la distribución de energía eléctrica y ésta se está informatizando como todo lo demás. En los últimos años, los diseñadores de sistemas de control industrial se han dado cuenta de que es más rentable abandonar sus sistemas cerrados y propietarios, y pasar a utilizar redes IP idénticas a las que usa la telemática de consumo. Sin embargo, esta migración tecnológica también abre la puerta a importantes vulnerabilidades. Los protocolos industriales carecen de autenticación, por lo que, en principio, cualquiera puede conectarse a un sensor y leerlo, y cualquiera puede darle órdenes a un actuador, que éste diligentemente las atenderá.

Como parte de la necesaria renovación de las redes de distribución eléctrica tanto los EEUU como Europa están desplegando a gran escala los que se han dado en llamar contadores inteligentes (smartmeters). Para la administración Obama, las smartgrids son parte de su política general a través del Energy Independence and Security Act de 2007 y, para el Parlamento Europeo, es una ley ⁴ de 2009 por la comunique en el año 2022 serán absolutamente obligatorios esos contadores inteligentes en todas partes ⁵.

Hasta ahora, los contadores de electricidad, gas y agua medían la cantidad de energía o materia consumida con un mismo precio o dos (tarifas nocturnas); sin embargo, los nuevos contadores proporcionan mucha mas información y control. Un contador inteligente tipo ofrece medidas de consumo cada pocos minutos, de modo que el proveedor puede cambiar los precios según el momento del que se trate. Conocer el consumo en tiempo real permite, entre otras cosas, diseñar tablas de precios y ofertas que inviten a cada consumidor a hacer uso del servicio cuando le conviene a la compañía suministradora (disciplinado de la demanda), pero no es esta la única posibilidad que se abre.

Hasta el momento, para resolver aquellos casos en los que un cliente se retrasa repetidamente en el pago es necesario iniciar un costoso e incomodo proceso que pasa por los tribunales de justicia, y por personarse en los inmuebles. La idea de las compañías es que, cuando todos los contadores sean inteligentes, ellas puedan cambiar, libremente y a distancia, los modos de funcionamiento de los contadores, de modo que, no pagar equivalga a ser desconectados de la red eléctrica de forma cómoda, inevitable y remota.

La eficiencia energética y comercial de las redes eléctricas requiere poder dirigir la demanda, pero es difícil cambiar el comportamiento del cliente. Los expertos tienen la esperanza de poder conseguir esa gobernanza (1) exponiendo más a los usuarios a los encantos del “mercado” mediante precios más dispares y detallados, pero también (2) habilitando tecnológicamente que esas decisiones de consumo realmente las tome un autómata en su nombre.

Como es lógico, la mayoría de los usuarios no querrán estar mirando sus contadores para decidir si ponen en marcha sus electrodomésticos de modo que, en un principio, el usuario exigirá un modo de establecer su propia política energética que determine cuando se encienden o apagan ciertos electrodomésticos. Para ello, los contadores inteligentes tendrán puertos de comunicación tanto con la empresa distribuidora como con redes dentro del hogar. Si el control de los contadores permanece en la compañía eléctrica, el volumen y calidad de los datos que ésta obtendría en su monitorización supondría un riesgo muy serio para la intimidad y seguridad de los que habitan en esos hogares ⁶.

Se ha comprobado que disponiendo de datos de consumo energético suficientemente precisos, es posible conocer ^7,8 qué electrodomésticos se utilizan en cada momento, y así deducir ciertos detalles sobre el estilo de vida de los usuarios. Ya hay en Europa sentencias judiciales que consideran un atentado contra el derecho a la intimidad y a la seguridad de los ciudadanos la recolección de esos datos detallados de consumo eléctrico.

El no-pago es la única razón para poder autorizar la desconexión de un servicio público que en muchos casos se considera un derecho esencial del ciudadano. Mientras en EEUU los contadores son propiedad de la compañía eléctrica, en el Reino Unido su control (y posible monitorización) se lo reserva el Departamento de Energía ⁹. Aunque no son situaciones idénticas, sí resultan excesivamente parecidas y la intimidad sigue estando innecesariamente en riesgo.

Pongámonos a imaginar, pensemos en un país que instala decenas de millones de contadores inteligentes –probablemente todos serán iguales o muy parecidos–, controlados desde un solo punto y sin el adecuado diseño previo en el que haber identificado y previsto posibles ataques.

En ese escenario, alguien podría colarse en ese punto único y mandar mensajes a todos los contadores accesibles indicándoles que deben interrumpir el servicio. Esa interrupción puede hacerse irreversible si, además, se la acompaña con comandos de mantenimiento que, por ejemplo, borrasen las claves previas que habilitaban sus comunicaciones. De hecho, el atacante podría poner sus propias claves criptográficas y hacerse con toda la red de distribución eléctrica.

En este caso, el apagón afectaría a decenas de millones de hogares y la restauración tardará tanto como tarden los electricistas en ir de casa en casa cambiando el contador hackeado, o lo que tarden los clientes en "puentear", ilegal pero justificadamente, dichos contadores. El modelo de negocio de la industria eléctrica se derrumba si se destruye su infraestructura de contadores, y su recambio supondría años.

Los candidatos a ser ese tipo de atacante van desde estados nacionales, organizaciones terroristas, activistas medioambientales usualmente reprimidos a porrazos en sus manifestaciones, secuestradores que se hagan con los contadores para luego amenazar con sembrar el caos si no se les paga un rescate... Aquí también pueden estar bandas del crimen on-line, o un ex-empleado cabreado (con razón o sin ella). Tampoco hay que dejar de lado ataques mucho más persistentes que solo persigan el robo mediante la intermediación no autorizada y el establecimiento de tarifaciones distintas a las de la empresa distribuidora.

La posibilidad de apagar los contadores inteligentes no es segura y las compañías nunca aceptaran un botón de encendido de emergencia para el caso de los ataques por denegación de servicio, por lo que… ¡Tenemos un problema!

La mera existencia de la posibilidad de cortar el suministro a través de los contadores inteligentes es un problema de seguridad a una escala sin precedentes y a la que nunca antes nos hemos enfrentado. El ataque perfecto sería dejar sin luz a todos los hogares de una ciudad, una nación o un continente consiguiendo un resultado que se parecería al de un pulso electromagnético asociado con un ataque nuclear ¹⁰, después del cual la electricidad no fluye y sin ella nada se mueve. Los contadores inteligentes cambian el tablero de juego y los comandos que se habiliten en ellos, el software que ejecuten y las claves criptográficas que los autentiquen y permitan la actualización de su software, crean una nueva vulnerabilidad estratégica. Aquél que se haga con el control de los contadores inteligentes tendrá en sus manos el poder de apagar naciones, y un error de software también podría hacerlo.

Quizás los contadores inteligentes que permiten mucho detalle pueden ser útiles otorgando al usuario información y poder sobre sus pautas de consumo, pero ese otorgamiento no debe extenderse a la compañía eléctrica. Es necesario clarificar qué datos son realmente necesarios, en dónde se deben registrar y quién los va a poseer. Los datos los obtiene el contador pero deben ser propiedad del usuario y, por defecto, solo deberán salir hacia la compañía comercializadora los datos agregados que sean precisos para la facturación.

Hay que establecer públicamente una arquitectura de seguridad y comunicaciones que fije la comunicación entre los contadores inteligentes situados en los hogares y las compañías eléctricas. La conexión entre los contadores y las futuras redes de área local de los hogares debe ser la mínima y segura, de modo que el flujo de información desde estas y hacia el exterior sea nulo. Los cambios, diseños, infraestructuras y equipos deberían someterse a un intenso escrutinio público, universal y especializado si se quiere que la resultante pueda tener visos de ser segura.

Es absolutamente necesario eliminar la capacidad de apagado remoto y hay que preservar los intereses de los consumidores salvaguardando su intimidad y su capacidad real de elegir el servicio que quieren utilizar.

Hace años hubiese parecido del todo imposible hacerse con datos personales de millones de subscriptores, pero hoy ya lo hemos visto en más de una ocasión; así pues, las desconexiones masivas quizás sigan la misma senda.

Si los gobiernos europeos quieren que los contadores inteligentes estén instalados en nuestros hogares en 2020 y que ello no suponga una brecha imposible de cerrar en la seguridad de todo el sistema, es mejor que abandonen los planes actuales de que sean las compañías eléctricas, ellas y solo ellas, las que hagan todo el trabajo. No hacerlo así puede acarrear desastres y un largo rosario de procesos legales, reingenierías y retiradas de equipos que supongan enormes pérdidas, todavía hoy evitables.

Documento en PDF