Una falla en microinversores eleva el riesgo de apagado remoto en sistemas solares de azotea

Un riesgo cibernético oculto dentro del hardware de energía distribuida

Una vulnerabilidad divulgada en los microinversores de AP Systems ha puesto de relieve un problema creciente en la transición energética: la misma conectividad que hace más fácil monitorear y gestionar la energía solar distribuida también puede crear una vía para una interrupción a gran escala. Según la cobertura proporcionada por pv magazine, la firma de ciberseguridad Jakkaru encontró una falla que permitía comprometer por completo dispositivos conectados a internet, incluida la capacidad de apagar sistemas de forma selectiva y simultánea.

AP Systems corrigió el problema después de ser alertada, pero el episodio sigue siendo una advertencia. Los recursos energéticos distribuidos suelen describirse como inherentemente resilientes porque están dispersos geográficamente. Eso es cierto en algunos sentidos físicos, pero las flotas vinculadas por software también pueden crear nuevas formas de riesgo por concentración.

La magnitud de la exposición

Los investigadores identificaron alrededor de 100,000 dispositivos vulnerables accesibles en línea. El producto afectado fue el microinversor EZ1-M, que también se vende bajo marcas de etiqueta blanca, incluido como Anker Solix Mi80. Jakkaru además sugirió que una base más amplia de dispositivos, potencialmente incluidos los sistemas de almacenamiento de energía doméstica de AP Systems, también pudo haberse visto afectada. El informe señala que alrededor de 600,000 instalaciones de AP Systems están en uso en todo el mundo.

Esas cifras importan porque la preocupación no se limita a la intrusión en un dispositivo a nivel doméstico. Un ataque suficientemente coordinado contra muchos inversores a la vez podría generar una alteración más amplia de la red, especialmente si los apagados ocurrieran al mismo tiempo en zonas concentradas o durante condiciones de tensión.

Por qué los microinversores son un objetivo atractivo

Los microinversores se sitúan en el borde del sistema eléctrico, convierten la salida de paneles solares individuales y a menudo se conectan a plataformas de monitoreo. Su presencia creciente en sistemas residenciales y comerciales pequeños significa que ocupan una capa de infraestructura digital crítica en rápida expansión, aunque rara vez se les trate así en el debate público.

Eso crea un desajuste entre la velocidad de despliegue y las expectativas de seguridad. El hardware energético antes operaba en gran medida en entornos cerrados. Hoy está cada vez más conectado, habilitado por aplicaciones, administrable de forma remota y, en ocasiones, accesible directamente por internet. Cada una de esas funciones puede mejorar la facilidad de uso y, al mismo tiempo, ampliar la superficie de ataque.

De la comodidad del consumidor al problema de la red

La frase “kill switch” en el informe original resume con claridad la preocupación. Un apagado remoto y sincronizado de decenas de miles de dispositivos sería un problema para los propietarios de los sistemas, pero también podría convertirse en un problema operativo para la red. A medida que aumenta la penetración solar, los dispositivos de borde ya no son periféricos al sistema eléctrico. Son parte de él.

Por eso la ciberseguridad de los inversores está pasando de ser una preocupación especializada a una política energética de corriente principal. La red del futuro no depende solo de añadir más generación limpia, sino de confiar en las capas de control digital integradas en esa generación. Un punto débil en un dispositivo ampliamente desplegado puede convertirse así en un riesgo sistémico en lugar de un fallo aislado.

La lección más amplia para la seguridad energética

La historia inmediata termina con un parche, pero la lección más amplia es menos cómoda. Los sistemas de energía distribuida necesitan prácticas de seguridad proporcionales a su relevancia para la red. Eso significa procesos de divulgación de vulnerabilidades, mejor endurecimiento por defecto, una rendición de cuentas más clara de los proveedores y una atención más seria por parte de reguladores y operadores.

La adopción solar suele enmarcarse en torno a la economía, la descarbonización y la resiliencia. Esos objetivos siguen intactos. Pero el caso de AP Systems recuerda que la resiliencia en una red digital es inseparable de la ciberseguridad. Construir infraestructura más limpia sin asegurar sus componentes conectados simplemente traslada la vulnerabilidad a una capa más nueva del sistema.

Este artículo se basa en la cobertura de PV Magazine. Leer el artículo original.