James Schoruter explica un escenario bastante específico, si no un escenario de pesadilla completamente increíble. Alguien conduce a su hogar, rinde su contraseña de Wi -Fi, luego comienza a jugar con el inversor solar montado junto a su garaje, una modesta caja gris que convierte las corrientes directamente desde su panel de la azotea para alternar las corrientes que impulsan su hogar.
«Necesitamos acosadores solares» para que este escenario se desarrolle, dice Showalter. Describe a las personas que necesitan manifestarse físicamente en sus entradas, tanto con conocimientos técnicos como de motivación para piratear los sistemas de energía doméstica.
Showalter, CEO de EG4 Electronics, una compañía con sede en Sulphur Springs, con sede en Texas, no considera que la serie de eventos sea particularmente probable. Aún así, esta es la razón por la cual su compañía encendió el centro de atención la semana pasada cuando la agencia de ciberseguridad de EE. UU. CISA publicó un asesoramiento que detalla las vulnerabilidades de seguridad en el inversor solar de EG4. Según la CISA, el defecto puede interceptar a los atacantes y sus números de serie que tienen acceso a la misma red que el inversor afectado, interceptar datos, instalar firmware malicioso y aprovechar el control sobre todo el sistema.
Para los aproximadamente 55,000 clientes que poseen modelos de inversores influenciados por EG4, este episodio probablemente se sintió como una introducción inquietante a un dispositivo que apenas entienden. Lo que están aprendiendo es que los inversores solares modernos ya no son conversadores de energía simples. Ahora están actuando como una columna vertebral que llega a la instalación de energía en el hogar, monitoreando el rendimiento, la comunicación con las compañías de servicios públicos y regresando a la red cuando hay un exceso de energía.
Mucho de esto sucedió sin que la gente se diera cuenta. «Nadie sabía lo que estaban haciendo los inversores solares hace cinco años», dijo Justin Pascare, un consultor líder en Dragos, una compañía de seguridad cibernética especializada en sistemas industriales. «Estamos hablando de eso a nivel nacional e internacional ahora».
Deficiencias de seguridad y quejas de los clientes
Algunos números resaltan hasta qué punto las casas individuales de EE. UU. Se convierten en centrales eléctricas en miniatura. La generación de energía solar más pequeña (principalmente casas) aumentó más de cinco veces entre 2014 y 2022, según la Administración de Información de Energía de los Estados Unidos.
Cada instalación solar agrega otro nodo a la creciente red de dispositivos interconectados, cada uno de los cuales contribuye a la independencia de la energía, y también se convierte en un posible punto de entrada para aquellos con intención maliciosa.
Eventos de TechCrunch
San Francisco
|
27-29 de octubre de 2025
Cuando se presiona para los estándares de seguridad de su empresa, Showalter admite sus deficiencias, pero él también lo desvía. «Este no es un problema de EG4», dice. «Este es un problema en toda la industria». En la llamada de zoom, y luego en la bandeja de entrada de este editor, produjo un informe de 14 páginas para la catalogación de divulgaciones de 88 vulnerabilidades de energía solar en aplicaciones comerciales y residenciales desde 2019.
Especialmente dado que CISA Advisory reveló fallas de diseño básicas, todos sus clientes (que fueron a Reddit para quejarse a Reddit) no comprenden la comunicación entre los inversores que ocurrieron en texto plano, falta de verificaciones de integridad y comunicación entre los procedimientos de autenticación básicos.
«Estas fueron revocaciones de seguridad básicas», dice un cliente de la compañía que pidió hablar de forma anónima. «Agrega humillación a una lesión», continúa el individuo.
Cuando se le preguntó por qué EG4 no advirtió de inmediato a los clientes cuando CISA contactó a la compañía, Showalter lo llama un momento de «vivo y aprendizaje».
«Estamos muy cerca de lidiar con las preocupaciones de CISA, por lo que somos una relación positiva con CISA, por lo que aconsejaremos a las personas una vez que llegue al botón ‘Hecho’.
TechCrunch contactó a la CISA a principios de esta semana para obtener más información. La agencia no ha respondido. En su aviso EG4, CISA declaró que «la explotación pública dirigida a estas vulnerabilidades no se ha informado a CISA en este momento».
Los lazos con China plantean preocupaciones de seguridad
No relacionado, el momento de la crisis de relaciones públicas EG4 coincide con unas más amplias sobre la seguridad de la cadena de suministro de equipos de energía renovable.
A principios de este año, los funcionarios de energía estadounidense comenzaron a reevaluar los riesgos que plantean los dispositivos hechos en China después de descubrir varios inversores y equipos de comunicaciones de causa desconocida en las baterías. La radio celular indocumentada y otros dispositivos de comunicación se encontraron en equipos de múltiples proveedores chinos, según una investigación de Reuters. Este es un componente que no apareció en la lista oficial de hardware.
Este hallazgo informado tiene un peso particular dado la dominación de China en la generación solar. Esa misma historia de Reuters señaló que Huawei es el proveedor de inversores más grande del mundo, representando el 29% de la carga en todo el mundo en 2022, seguido por los compañeros chinos Sungrow y Ginlong Solis. La capacidad solar europea de aproximadamente 200 GW se asocia con inversores realizados en China. Esto corresponde a más de 200 centrales nucleares.
El significado geopolítico no se ahorra notificación. El año pasado, Lituania aprobó una ley que bloquea el acceso remoto a las instalaciones de energía solar, eólica y de batería de más de 100 kilovatios, restringiendo efectivamente el uso de inversores chinos. Showalter dijo que su compañía ha estado respondiendo a las preocupaciones de los clientes, ya que ha comenzado a mudarse de los proveedores chinos, incluidos Alemania, hacia los componentes creados por otras compañías.
Sin embargo, las vulnerabilidades CISA descritas en el sistema EG4 plantean preguntas que se extienden más allá de las prácticas de una sola empresa o la adquisición de componentes. La agencia de estándares de EE. UU. NIST advierte que «si controla suficientes inversores solares en el hogar de forma remota y hace algo espeluznante a la vez, puede tener un significado devastador para la red durante un largo período de tiempo».
La buena noticia (si las hay) es que, aunque es teóricamente posible, este escenario enfrenta muchas limitaciones prácticas.
Cabe señalar que Pascale, que funciona en instalaciones solares a escala de servicios públicos, ofrece dos características principales de los inversores residenciales. Los ataques masivos requieren que el número explosivo de casas individuales se rompa simultáneamente. (Aunque estos ataques no son imposibles, algunos de ellos tienen acceso remoto a los inversores solares de sus clientes, como lo demuestran los investigadores de seguridad el año pasado).
El marco regulatorio para administrar grandes instalaciones actualmente no se extiende a los sistemas residenciales. Los estándares clave de protección de la infraestructura de la Corporación de Confiabilidad Eléctrica Americana se aplican actualmente solo a grandes instalaciones que producen más de 75 megavatios, como las granjas solares.
Las instalaciones residenciales van muy por debajo de estos umbrales y operan en una zona gris regulatoria donde los estándares de ciberseguridad siguen siendo propuestas en lugar de requisitos.
Sin embargo, el resultado final es que la seguridad de miles de pequeñas instalaciones depende en gran medida de la discreción de los fabricantes individuales que operan en un vacío regulado.
Por ejemplo, con respecto al tema de la transmisión de datos no cifrado, por una razón por la cual EG4 fue entregado de la CISA, Pascale señala que la transmisión simple de texto es común en los entornos de producción a escala de utilidad y se puede alentar para el monitoreo de la red.
«Cuando ves cifrado en un entorno empresarial, eso no está permitido», explica. «Pero al mirar el entorno de producción, la mayoría de las cosas se envían en texto plano».
Dicho de otra manera, la verdadera preocupación no es una amenaza inmediata para los propietarios individuales. En cambio, está vinculado a la vulnerabilidad general de la red en rápida expansión. A medida que la cuadrícula de energía se distribuye cada vez más, la superficie de ataque se expande exponencialmente a medida que la potencia fluye de millones de fuentes pequeñas en lugar de docenas de grandes fuentes. Cada inversor representa un punto de presión potencial para un sistema que no está diseñado para acomodar este nivel de complejidad.
Showalter acepta la intervención de CISA como lo que él llama «una actualización de confianza». Esta es una oportunidad para distinguir su empresa en un mercado ocupado. Él dice que EG4 ha estado trabajando con agentes para abordar las vulnerabilidades identificadas desde junio, y en octubre redujo la primera lista de 10 inquietudes a los tres artículos restantes. Este proceso incluye actualizar el protocolo de transmisión de firmware, implementar la verificación de identidad adicional para llamadas de soporte técnico y rediseñar el procedimiento de autenticación.
Pero para las personas como un cliente anónimo de EG4 que habló en descontento sobre la respuesta de la compañía, el episodio subraya la extraña posición que se encuentran los empleadores solares. Compraron lo que entendieron como una tecnología amigable con el clima.
Source link
