La empresa gallega Tarlogic hace pública una herramienta que permite hackear los contadores de la luz

G. Lemos REDACCIÓN / LA VOZ

ECONOMÍA

Tarlogic

Tras alertar a las energéticas, destapa la brecha del sistema, que permitiría manipular el consumo o provocar un apagón

12 mar 2022 . Actualizado a las 05:00 h.

La empresa gallega de ciberseguridad Tarlogic liberará en los próximos días la investigación con la que reveló la vulnerabilidad de la red de contadores eléctricos inteligentes y también la herramienta PLCTool, que permite tomar el control de estos dispositivos. Así lo anunció este viernes Jesús María Gómez, investigador de la firma, durante su presentación en la RootedCON 2022, uno de los mayores congresos de ciberseguridad en lengua hispana.

La firma gallega asegura que su investigación, desarrollada durante los últimos tres años, «ha demostrado que se puede tomar el control de contadores inteligentes que usan los estándares Prime con relativa facilidad. Sin ir más lejos, desde un simple enchufe de una casa».

Una brecha de seguridad que permitiría desde provocar un apagón hasta alterar el consumo para rebajar por las bravas la factura de la luz. «Al atacar la red, se podrían dar órdenes como cortar la luz de un barrio entero, alterar la potencia de una vivienda o controlar el consumo eléctrico, por citar solo algunos ejemplos, dados los bajos o nulos niveles de seguridad que presenta parte del parque de contadores», apuntan desde Tarlogic.

Para dimensionar el problema, los autores de la investigación recuerdan que la mitad del parque de contadores eléctricos inteligentes en España emplea una pila de comunicaciones PLC basada en el estándar Prime, «de tal forma que ni se cifran los mensajes, ni se permite una autenticación segura».

Desde la empresa gallega, especializada en hacking ético (básicamente, un trabajo defensivo en el que los ciberatacantes exponen las vulnerabilidades no para aprovecharlas, sino para reforzar la seguridad del sistema), destacan que antes de desvelar públicamente estas brechas de seguridad se pusieron en contacto con las empresas del sector eléctrico y con organismos públicos para advertir de los problemas de seguridad de la red «y ayudar a mejorar su protección». «Incluso ha prestado apoyo a alguna para estudiar cómo corregir estas graves anomalías sin demasiado éxito, razón por la que pasados dos años abre al público estas herramientas de seguridad para ayudar a otros investigadores», justifican.

Aseguran que llegaron a advertir de sus hallazgos a PRIME Alliance, la corporación creada por varios de los gigantes energéticos europeos (entre ellos los españoles Iberdrola, Naturgy, Viesgo e Indra) que ha consolidado el estándar de interoperabilidad de los contadores inteligentes. «Pese a las evidencias aportadas, desde PRIME Alliance se replicó que su red de contadores inteligentes es segura», lamentan desde la firma gallega.

Fue esta «tibia respuesta» la que ha llevado a los investigadores de Tarlogic a dar el paso de liberar su herramienta para ponerlas a disposición de los investigadores interesados en auditar las redes PLC y «forzar la adopción de estándares seguros».

De hecho, al finalizar su ponencia en el evento, el investigador de Tarlogic hizo una demostración con un ataque de prueba, y se sortearon tres dispositivos creados por la empresa gallega que facilitan, junto al software PLCTool, la realización de auditorías y ataques de redes PLC.

Transición ya finalizada

La sustitución del antiguo parque de contadores analógicos comenzó a partir del 2007, con una orden que estableció que todos los equipos debían sustituirse por otros nuevos que permitiesen la discriminación horaria y la telegestión antes de finales del 2019. Un cambio que no ha salido gratis al consumidor, ya que el alquiler de los nuevos aparatos (que se abona mensualmente en la factura eléctrica) es sensiblemente más caro. Si por los antiguos había que desembolsar 0,54 euros al mes, los nuevos tienen un coste de 0,8 euros (más el IVA correspondiente).

Con estos nuevos equipos, se ha facilitado la tarificación con precios variables por horas, como la actual tarifa regulada (PVPC), y el consumidor puede conocer el detalle de su consumo, aunque no en tiempo real. A través de las aplicaciones de las distribuidoras, es posible acceder al desglose horario, generalmente con uno o dos días de retraso.

Esa comunicación entre los contadores inteligentes en los puntos de suministro (viviendas, negocios...) y la distribuidora se hace a través de un dispositivo llamado concentrador de datos, ubicado en los distintos centros de transformación, y del que Tarlogic explica que se puede tomar el control «desde el enchufe de una casa y, por tanto, dirigir y manipular un número indiscriminado de contadores inteligentes».