El consumo eléctrico bajo control

Publicado el 06/10/2015, por INCIBE
El consumo eléctrico bajo control

 

Algunos hogares ya cuentan con estos nuevos dispositivos pero para el 2018 deberá estar cubierta la instalación al 100%, debido a la regulación existente. En este nuevo entorno en el que van a existir millones de contadores inteligentes, las distribuidoras eléctricas están poniendo especial énfasis en la ciberseguridad dado que se abren nuevos vectores de ataque diferentes a los tradicionales:

 

  • Cortar el suministro eléctrico de una persona, de un grupo de personas o de una industria de forma digital.
  • Dejar fuera de servicio el contador inteligente a través de un ataque de denegación de servicio, de tal forma que la operadora eléctrica no pueda recoger los datos de consumo.
  • Capturar los datos de los contadores inteligentes con el objeto de vender o sacar un beneficio económico de la utilización de los mismos.
  • Alterar los datos de consumo mediante técnicas de escucha de tráfico y man-in-the-middle.

Estos nuevos dispositivos capaces de mandar los datos de consumo a la operadora también pueden ser controlados de forma remota. De esta forma un posible atacante podría apagar el contador desde un ordenador dejando sin suministro eléctrico a la víctima. Sería posible cortar el suministro eléctrico de una persona, de un vecindario,… pero ¿qué cantidad económica perdería una empresa de producción industrial por unas horas sin suministro eléctrico? Ataques tradicionales como la extorsión también serían factibles, cuando el atacante dispone del control remoto del contador inteligente que suministra a una empresa industrial y solicita una cantidad de dinero por la denegación de suministro de luz. 

Otro aspecto a tener en cuenta es la privacidad de los ciudadanos, cada vez estamos más acostumbrados a compartir nuestra información en las redes sociales pero los datos que se almacenan en los contadores inteligentes son muy interesantes y quedan fuera del control del ciudadano. A las grandes empresas y fabricantes les interesa mucho esta información ya que serían capaces de perfilar a los consumidores, y ofrecer productos y/o servicios más orientados y ventajosos. Pero también, hay que tener presente la posibilidad de conocer los hábitos de una persona y/o familia, por tanto, alguien con interés en robar en nuestra casa tendría información privilegiada para cometer este delito.

Otro ejemplo es la digitalización del fraude, éste sigue desarrollándose de forma tradicional a lo largo y ancho de la red eléctrica (por ejemplo desviando el flujo eléctrico a partir de una farola), sin embargo, si el contador digital tuviera vulnerabilidades que pudieran ser explotadas, el fraude podría desarrollarse de forma digital, pudiendo extenderse dicho ataque no solo a un único contador sino a una serie completa de ellos ya que todos contarían con la misma debilidad.

En este sentido es imprescindible que el contador digital posea mecanismos de fortificación física para que, junto con las salvaguardas lógicas, sea difícil para el atacante poder manipularlo.

Los fabricantes y las compañías eléctricas están solucionando la parte física mediante el envío de eventos al centro de control, un ejemplo de estos eventos se produce al manipular la carcasa del contador, acto que se notifica al centro de control mediante un aviso por parte del contador afectado. Cabe destacar por tanto el desarrollo de salvaguardas físico-lógicos de forma conjunta ante ataques igualmente multi-vector (origen físico y lógico).

Contador inteligente monofásico

Contador Inteligente monofásico

El contador, ubicado físicamente por regla general dentro del edificio (en el hogar), está unido al concentrador, ubicado en los centros de transformación, y éste a su vez conectado con el centro de control, conformando de esta manera la arquitectura genérica de comunicaciones entre el contador, concentrador y centro de control.

Arquitectura de conexión

Arquitectura de conexión de la red inteligente

En España los protocolos utilizados entre el contador inteligente y el concentrador son, básicamente, PRIME conjuntamente con DLMS y Meters and More. Una vez que los datos están en el concentrador se envían al Centro de Control a través de servicios web habitualmente, aunque pueden utilizar otro tipo de tecnología de comunicación.

Los puntos vulnerables de la infraestructura son los puntos de acceso (el binomio contador digital - concentrador) y la red en sí. Para salvaguardar dicha infraestructura, las técnicas de cifrado son fundamentales. En un entorno donde las capacidades del sistema son limitadas en cuanto a espacio, capacidad de procesamiento, etc., comparado con las infraestructuras TI que conocemos, el cifrado no es trivial.

Los fabricantes, bajo los requerimientos de las eléctricas, deben establecer estrategias de seguridad que sean interoperables para que contadores y concentradores pueden comunicarse de forma segura con patrones de cifrado entendibles entre sí; además, han de tener en cuenta las características del entorno, en el que tienen que convivir millones de dispositivos de diferentes fabricantes. La disyuntiva en este tipo de infraestructuras es tomar la decisión sobre el tipo de cifrado a utilizar:

  • Cifrado simétrico: No se necesita infraestructura adicional, la instalación es muy rápida, pero tiene el problema de la distribución de las claves.
  • Cifrado asimétrico: Requiere de una infraestructura PKI, aporta mayor seguridad, pero la gestión de claves con millones de dispositivos resulta muy compleja.

Utilizar un cifrado asimétrico para cifrar los datos entre el contador inteligente y el concentrador supone un gran reto, ya que cada contador debería tener su propio certificado digital y dificultaría desarrollar la gestión de los mismos debido a la gran cantidad de dispositivos instalados.

Por otro lado, si se utiliza un cifrado simétrico el contador inteligente debería contar con un elemento seguro para el almacenamiento de dicha clave y el concentrador debería disponer de la clave de todos los contadores, pero la mayor pregunta es ¿cómo se distribuyen estas claves? No nos olvidemos de que la mayor dificultad del cifrado simétrico en una arquitectura como esta es la distribución de las claves y, por tanto, habría que establecer un protocolo de seguridad muy robusto en toda la cadena de valor, es decir, desde que los contadores inteligentes se fabrican hasta que llegan a campo, con la clave introducida en el elemento seguro.

A la dificultad de la gestión de una clave hay que añadir que se prevén más claves por cada dispositivo, para aspectos extras de gestión y control; por lo que estamos hablando de la gestión del doble o triple de claves que de elementos desplegados. Ante estas opciones, las eléctricas, para poder asegurar su sistema, deben decidir sobre qué nivel de cifrado van a poder desplegar en la última milla. La opción ganadora en este momento para la comunicación entre contador y concentrador es el cifrado simétrico.

En la comunicación entre el concentrador y el centro de control, el primero actúa como un pequeño ordenador capaz de hablar protocolos de nivel TCP/IP, y, por tanto, la utilización de certificados digitales se hace de forma mucho más natural. Además, hay que sumar que la cantidad de concentradores es mucho menor respecto a la de contadores (alrededor de 500 contadores por cada concentrador).

Las actuales distribuidoras eléctricas de gran tamaño están trabajando para solventar los retos que provoca el cifrado desde hace ya un tiempo. La arquitectura final si se combinan ambos tipos de cifrado la arquitectura sería la siguiente:

Arquitectura de sistemas de cifrado

Arquitectura de sistemas de cifrado

Como ejemplo a la aplicación de estas arquitecturas de cifrado, el conjunto PRIME/DLMS está valorando incorporar varias claves tanto en los contadores como en los concentradores, este último también albergaría un certificado digital para poder comunicarse de forma segura con el backend (centro de control) gobernado por un HSM (Hardware Security Module). De forma que el cifrado asimétrico sería el que asegurara la comunicación del sistema. Sin embargo, y como antes se ha resaltado, la gestión de millones de claves podría resultar costosa a la distribuidora y es algo a tener en cuenta en futuros despliegues.

Por ello, en los siguientes despliegues veremos en actuación un sistema seguro y robusto de dispositivos conectados por una red digitalmente fortificada. Pero la pregunta no es solo si la última milla será segura aplicando las medidas descritas, sino si realmente dicha seguridad podrá ser gestionada de forma productiva debido a los factores citados: despliegue de nuevos dispositivos de forma masiva, diferentes métodos de cifrado y millones de claves en uso.