Guillem Alsina Gonzàlez
Los sistemas eléctricos de todo el mundo están inmersos en una transformación profunda. La convergencia entre el rápido aumento de la demanda (impulsada por los centros de datos y la electrificación) y la transición hacia energías descarbonizadas ha situado a los sistemas de almacenamiento de energía en baterías (BESS, por sus siglas en inglés) como una pieza angular para garantizar la fiabilidad de la red. Se espera que el despliegue de estos sistemas BESS crezca a un ritmo anual del 30% en los Estados Unidos, y del 45% en la Unión Europea durante el próximo lustro.
Ante este escenario, la consultora económica The Brattle Group y la firma especializada en ciberseguridad industrial Dragos han publicado un nuevo libro blanco en el que analizan los riesgos asociados a estas tecnologías de almacenamiento de energías, y proponen estrategias concretas para salvaguardar dichos activos críticos.
El informe, titulado Securing Battery Energy Storage Systems from Cyberthreats: Best Practices and Trends (Asegurando los sistemas de almacenamiento de energía en baterías frente a ciberamenazas: mejores prácticas y tendencias), destaca que los sistemas BESS no son meros componentes pasivos, sino que están centralizándose en las operaciones de la red eléctrica.
Uno de los puntos más relevantes que aborda el análisis es la intersección entre la seguridad técnica y las consecuencias económicas, adviertiendo sobre el impacto financiero directo que puede tener un incidente de ciberseguridad en estas instalaciones. Se estima que una interrupción en un solo sistema BESS de 100 MW/400 MWh podría resultar en pérdidas mensuales de hasta 1,2 millones de dólares, con daños permanentes que podrían alcanzar o superar los 10 millones de dólares. Estas cifras ponen de manifiesto que la ciberseguridad no es solo un requisito técnico, sino un imperativo para la protección de la inversión y la viabilidad del proyecto.
Además del impacto económico, el estudio identifica un incremento en la actividad de amenazas dirigidas al sector eléctrico. Actualmente, se tiene conocimiento de dieciocho grupos de ciberdelincuentes activos que tienen como objetivo este sector, incluyendo actores estatales que buscan comprometer infraestructuras críticas. Esta situación se agrava por las vulnerabilidades en la cadena de suministro, especialmente debido a la dependencia de controles y equipos procedentes de entidades extranjeras de interés (FEOC por sus siglas en inglés), lo que a menudo limita la capacidad de los operadores para inspeccionar y auditar el equipamiento.
Históricamente, las instalaciones industriales se diseñaban a medida con protocolos únicos, lo que dificultaba los ataques externos. En la actualidad, la industria ha virado hacia una homogeneización para reducir costes y complejidad, algo que si bien facilita la escalabilidad, la estandarización de los componentes ha reducido la sofisticación necesaria para organizar ciberataques, permitiendo el uso de malware específico para sistemas de control industrial capaz de manipular diversas tecnologías de forma modular.
A esto se suma que estos activos, a diferencia de la generación heredada, dependen en gran medida de controladores conectados a la nube y gestión remota, lo que abre múltiples vectores de entrada para intrusiones digitales.
El contexto regulatorio también está jugando un papel determinante en la configuración de las estrategias de ciberdefensa; en los Estados Unidos, existe una atención creciente por parte de los legisladores sobre los inversores y sistemas integrados de baterías fabricados por entidades extranjeras, lo que podría derivar en políticas más estrictas.
Se han detectado casos donde actores estatales han dirigido campañas específicas contra el sector eléctrico, utilizando vulnerabilidades en dispositivos de borde (edge) y redes privadas virtuales para infiltrarse. En ocasiones, los propietarios de los activos se encuentran atados por acuerdos contractuales que les impiden inspeccionar o monitorizar ciertos componentes, lo que pone en peligro la seguridad de sus sistemas al no poder autenticar las credenciales de ciberseguridad de los equipos adquiridos.
Paralelamente, la Directiva NIS2 y la futura Ley de Ciberresiliencia ampliarán las obligaciones de ciberseguridad para los activos BESS de todos los tamaños en Europa, marcando un cambio de paradigma regulatorio exigiendo a los operadores que demuestren que sus controles son defendibles, aunque la falta de armonización entre los Estados miembro de la UE genera vulnerabilidades en una red eléctrica altamente interconectada. La disparidad en la implementación de estas normas entre los distintos países europeos puede resultar en mayores costes de cumplimiento para los inversores y niveles desiguales de protección dentro del mercado único de la energía.
Para mitigar estos riesgos, el presente informe esboza estrategias recomendadas que van más allá de la seguridad informática convencional, abogando por prácticas robustas que incluyan el diseño seguro del sistema, una arquitectura de red segmentada y defensas específicas para entornos operativos, diferenciándolas de las medidas tradicionales de TI.
La premisa fundamental es que, dada la criticidad de estos activos para la estabilidad de la red, la seguridad debe ser proactiva y estar embebida en cada etapa del ciclo de vida del proyecto. Es imperativo exigir a los proveedores transparencia total sobre el ciclo de vida del desarrollo seguro y la procedencia de los subcomponentes.
Una de las herramientas más eficaces para combatir la opacidad de la cadena de suministro es la exigencia de facturas de materiales detalladas. La implementación de listas de materiales de hardware y software (HBOM y SBOM) verificadas es fundamental para identificar componentes de fuentes no fiables y analizar posibles vulnerabilidades ocultas en el código de terceros. Dado que muchos sistemas de gestión de baterías y conversión de potencia contienen una gran cantidad de software propietario, los operadores deben asegurarse de tener visibilidad sobre qué componentes digitales están integrados en su infraestructura y si estos provienen de proveedores fiables.
Así mismo, la arquitectura de la red debe diseñarse bajo principios de defensa en profundidad, y es crucial evitar redes planas en las que todos los activos se comunican entre sí sin restricciones. En vez de esto, se recomienda una segmentación adecuada y el establecimiento de zonas de seguridad junto a procedimientos de acceso remoto seguro que incluyan autenticación multifactor y controles basados en roles.
Finalmente, es vital establecer compromisos contractuales que definan tiempos de respuesta ante incidentes y garanticen el soporte de software durante toda la vida útil del activo, abordando problemas como la obsolescencia y la gestión de parches de seguridad, aspectos que a menudo se descuidan en los acuerdos de nivel de servicio estándar.
