James Showalter describe un escenario de pesadilla bastante específico, si no completamente inverosímil. Alguien conduce a su casa, rompe su contraseña de Wi-Fi y luego comienza a meterse con el inversor solar montado al lado de su garaje. Esta sencilla caja gris convierte la corriente continua de sus paneles de la azotea en la corriente alterna que alimenta su hogar.
“Debes tener un acosador solar” para que este escenario se desarrolle, dice Showalter, describiendo el tipo de persona que necesitaría aparecer físicamente en tu camino de entrada con los conocimientos técnicos y la motivación para hackear tu sistema de energía doméstica.
El CEO de EG4 Electronics, una compañía con sede en Sulphur Springs, Texas, no considera que esta secuencia de eventos sea particularmente probable. Aún así, es por eso que su compañía la semana pasada se encontró en el centro de atención cuando la Agencia de Ciberseguridad de los Estados Unidos CISA publicó un asesoramiento que detalla las vulnerabilidades de seguridad en los inversores solares de EG4. Las fallas, señaló CISA, podrían permitir que un atacante con acceso a la misma red que un inversor afectado y su número de serie para interceptar datos, instalar firmware malicioso o aprovechar el control de todo el sistema.
Para los aproximadamente 55,000 clientes que poseen el modelo de inversor afectado de EG4, el episodio probablemente se sintió como una introducción inquietante a un dispositivo que poco entienden. Lo que están aprendiendo es que los inversores solares modernos ya no son conversadores de energía simples. Ahora sirven como columna vertebral de las instalaciones de energía en el hogar, monitorear el rendimiento, comunicarse con compañías de servicios públicos y, cuando hay un exceso de energía, que lo vuelve a alimentar a la red.
Gran parte de esto ha sucedido sin que la gente se dé cuenta. “Nadie sabía qué demonios era un inversor solar hace cinco años”, observa Justin Pascale, un consultor principal de Dragos, una firma de ciberseguridad que se especializa en sistemas industriales. “Ahora estamos hablando de eso a nivel nacional e internacional”.
Deficiencias de seguridad y quejas de los clientes
Algunos de los números resaltan el grado en que las casas individuales en los Estados Unidos se están convirtiendo en centrales eléctricas en miniatura. Según la Administración de Información Energética de los Estados Unidos, las instalaciones solares a pequeña escala, principalmente residenciales, crecieron más de cinco veces entre 2014 y 2022. Lo que una vez fue la provincia de los defensores del clima y los primeros usuarios se convirtieron en más incumplimientos debido a la caída de los costos, los incentivos gubernamentales y la creciente conciencia del cambio climático.
Evento de TechCrunch
San Francisco
|
27-29 de octubre de 2025
Cada instalación solar agrega otro nodo a una red en expansión de dispositivos interconectados, cada uno que contribuye a la independencia de la energía, pero también se convierte en un posible punto de entrada para alguien con intención maliciosa.
Cuando se presiona sobre los estándares de seguridad de su empresa, Showalter reconoce sus deficiencias, pero también se desvía. “Este no es un problema EG4”, dice. “Este es un problema en toda la industria”. A lo largo de una llamada de zoom y más tarde, en la bandeja de entrada de este editor, produce un informe de 14 páginas que catalogan 88 revelaciones de vulnerabilidad de energía solar en aplicaciones comerciales y residenciales desde 2019.
No todos sus clientes, algunos de los cuales recurrieron a Reddit para quejarse, son simpatizantes, particularmente dado que el aviso de CISA reveló fallas de diseño fundamentales: comunicación entre aplicaciones de monitoreo e inversores que ocurrieron en texto plano no encriptado, actualizaciones de firmware que carecían de verificaciones de integridad y procedimientos de autenticación rudimentarios.
“Estos fueron fallas de seguridad fundamentales”, dice un cliente de la compañía, quien pidió hablar de forma anónima. “Agregar insulto a la lesión”, continúa este individuo, “EG4 ni siquiera se molestó en notificarme u ofrecer mitigaciones sugeridas”.
Cuando se le preguntó por qué EG4 no alertó a los clientes de inmediato cuando CISA contactó a la compañía, Showalter lo llama un momento de “vivir y aprender”.
“Porque estamos tan cerca [to addressing CISA’s concerns] Y es una relación tan positiva con CISA, íbamos a llegar al botón ‘hecho’ y luego aconsejar a la gente, por lo que no estamos en el medio del pastel horneado “, dice Showalter.
TechCrunch contactó a CISA a principios de esta semana para obtener más información; La agencia no ha respondido. En su aviso sobre EG4, CISA afirma que “no se ha informado una explotación pública conocida específicamente a estas vulnerabilidades a CISA en este momento”.
Las conexiones con China Spark Spare Security Instals
Aunque no está relacionado, el momento de la crisis de relaciones públicas de EG4 coincide con ansiedades más amplias sobre la seguridad de la cadena de suministro de los equipos de energía renovable.
A principios de este año, los funcionarios de energía estadounidense comenzaron a reevaluar los riesgos que plantean los dispositivos hechos en China después de descubrir equipos de comunicación inexplicables dentro de algunos inversores y baterías. Según una investigación de Reuters, se encontraron radios celulares indocumentados y otros dispositivos de comunicación en equipos de múltiples proveedores chinos, componentes que no habían aparecido en las listas de hardware oficiales.
Este descubrimiento informado tiene un peso particular dado el dominio de China en la fabricación solar. Esa misma historia de Reuters señaló que Huawei es el proveedor de inversores más grande del mundo, que representa el 29% de los envíos a nivel mundial en 2022, seguido por los compañeros chinos Sungrow y Ginlong Solis. Unos 200 GW de capacidad de energía solar europea están vinculadas a los inversores realizados en China, que es aproximadamente equivalente a más de 200 centrales nucleares.
Las implicaciones geopolíticas no han escapado de aviso. Lituania aprobó el año pasado una ley que bloquea el acceso chino remoto a las instalaciones solares, eólicas y de baterías por encima de 100 kilovatios, restringiendo efectivamente el uso de inversores chinos. Showalter dice que su compañía está respondiendo a las preocupaciones de los clientes al comenzar de manera similar a alejarse de los proveedores chinos y hacia los componentes hechos por las empresas en otros lugares, incluso en Alemania.
Pero las vulnerabilidades CISA describieron en los sistemas de EG4 plantean preguntas que se extienden más allá de las prácticas de una sola empresa o cuando obtiene sus componentes. La agencia de estándares de EE. UU. NIST advierte que “si controla remotamente un número lo suficientemente grande de inversores solares en el hogar, y hace algo nefasto a la vez, que podría tener implicaciones catastróficas en la red durante un período prolongado de tiempo”.
La buena noticia (si hay alguna), es que, si bien es teóricamente posible, este escenario enfrenta muchas limitaciones prácticas.
Pascale, que trabaja con instalaciones solares a escala de servicios públicos, señala que los inversores residenciales sirven principalmente dos funciones: convertir la energía de la corriente directa a la corriente alterna y facilitar la conexión de regreso a la cuadrícula. Un ataque masivo requeriría comprometer un gran número de casas individuales simultáneamente. (Tales ataques no son imposibles, pero es más probable que impliquen atacar a los propios fabricantes, algunos de los cuales tienen acceso remoto a los inversores solares de sus clientes, como lo demuestran los investigadores de seguridad el año pasado).
El marco regulatorio que rige instalaciones más grandes no se extiende en este momento a los sistemas residenciales. Los estándares de protección de la infraestructura crítica de la Corporación de Confiabilidad Eléctrica de América del Norte se aplican actualmente solo a las instalaciones más grandes que producen 75 megavatios o más, como las granjas solares.
Debido a que las instalaciones residenciales caen muy por debajo de estos umbrales, operan en una zona gris regulatoria donde los estándares de ciberseguridad siguen siendo sugerencias en lugar de requisitos.
Pero el resultado final es que la seguridad de miles de pequeñas instalaciones depende en gran medida de la discreción de los fabricantes individuales que operan en un vacío regulatorio.
Sobre el tema de la transmisión de datos no cifrada, por ejemplo, que es una razón por la cual EG4 recibió que la golpea a la mano de CISA, Pascale señala que en entornos operativos a escala de utilidad, la transmisión de texto plano es común y, a veces, se fomenta para fines de monitoreo de redes.
“Cuando miras el cifrado en un entorno empresarial, no está permitido”, explica. “Pero cuando miras un entorno operativo, la mayoría de las cosas se transmiten en texto plano”.
Dicho de otra manera, la verdadera preocupación no es una amenaza inmediata para los propietarios individuales. En cambio, se vincula con la vulnerabilidad agregada de una red en rápida expansión. A medida que la cuadrícula de energía se distribuye cada vez más, con energía que fluye de millones de pequeñas fuentes en lugar de docenas de grandes, la superficie de ataque se expande exponencialmente. Cada inversor representa un punto de presión potencial en un sistema que nunca fue diseñado para acomodar este nivel de complejidad.
Showalter ha adoptado la intervención de CISA como lo que él llama una “actualización de confianza”, una oportunidad para diferenciar a su empresa en un mercado lleno de gente. Él dice que desde junio, EG4 ha trabajado con la agencia para abordar las vulnerabilidades identificadas, reduciendo una lista inicial de diez inquietudes a tres elementos restantes que la compañía espera resolver en octubre. El proceso ha implicado actualizar los protocolos de transmisión de firmware, implementar una verificación de identidad adicional para llamadas de soporte técnico y rediseñar los procedimientos de autenticación.
Pero para aquellos como el cliente anónimo de EG4 que habló con la frustración sobre la respuesta de la compañía, el episodio destaca la extraña posición en la que se encuentran los adoptantes solares. Compraron lo que entendieron que era una tecnología amigable con el clima, solo para descubrir que se convertirían en participantes involuntarios en un panorama cibernético nudoso que pocos parecen comprender completamente.
