Mitos sobre los Contadores Eléctricos Inteligentes en España

Una de las infraestructuras críticas de la que nuestros ordenadores tienen mayor dependencia es el sistema eléctrico.

Cuando analizamos el riesgo de ciber-ataques contra el sistema eléctrico, podemos hacerlo partiendo de sus distintos componentes: generación, transmisión, distribución o comercialización.

Pero de estos componentes tal vez el más expuesto a ataques es el tramo final (el más cercano al usuario), ya que se encuentra distribuido por todo el país con multitud de puntos de acceso.

Este tramo final hoy en día lo componen principalmente los contadores eléctricos inteligentes o smart-meters y los concentradores de datos que emplean las compañías eléctricas para gestionarlos de forma remota.

La documentación pública disponible en España sobre la seguridad de estos dispositivos es escasa y existen múltiples mitos que complican aún más su análisis.

Si vivís en España probablemente tenéis ya en vuestra casa un contador eléctrico inteligente. Somos uno de los países europeos punteros en este tipo de tecnologías. Pero el grado de despliegue a nivel internacional aun es bajo.

Esto hace que sea difícil generalizar a la hora de hablar de seguridad a nivel de smart-meters de manera global. Y es que existe una gran variedad de tecnologías y configuraciones distintas. En cada país e incluso en cada compañía se ha optado por unos protocolos y estándares diferentes.

Incluso dentro de una misma compañía suelen encontrarse múltiples configuraciones, dependiendo del grado de despliegue. Hay que tener en cuenta que son tecnologías nuevas y los ciclos de vida son muy largos, de forma que suelen convivir distintas soluciones en un mismo proveedor según van evolucionando los sistemas (y su seguridad).

Las referencias típicas sobre la seguridad de este tipo de dispositivos suele venir de Estados Unidos. Pero si habéis leído algún artículo en inglés o visto alguna charla internacional sobre este tema, muchas de las conclusiones probablemente no sean aplicables de forma general en España.

Por lo tanto necesitamos referencias locales, ya que desde el punto de vista de la ciber-seguridad o incluso de la seguridad nacional, este tipo de dispositivos son muy relevantes.

Antes de entrar en detalles, vamos a ver la estructura típica de una red de smart-metering y sus componentes principales:

 

Un mito bastante extendido es que en España los smart-meters son accesibles mediante radio (p.e. usando Zigbee). Pero si consultamos las webs de los contadores homologados por las principales compañías eléctricas veremos que ninguno o prácticamente ninguno soportan esta posibilidad.

 

Los smart-meters en España pueden ser atacados principalmente por 3 vías:
- Acceso físico directo al hardware del contador.
- Acceso mediante el puerto óptico del contador.
- Acceso mediante la red de datos PLC.

 

En España la comunicación primaria con el contador es la realizada mediante PLC, pero tiene un alcance muy limitado (entre 100m y 200m, dependiendo de la zona) de forma que normalmente los dispositivos se configuran en forma de red mesh para conseguir comunicarse con el nodo de gestión (concentrador).

 

La comunicación PLC directa es posible desde una conexión o toma eléctrica que este en las cercanías de un contador.

 

La comunicación óptica es la secundaria y requiere conexión física directa entre la sonda y el contador (no vale estar cerca, hay que tener contacto directo).

 

Tabla resumen de la tecnología utilizada por las principales compañías españolas (puede que algunos datos estén desactualizados):

 

 

Los estándares utilizados en España son diferentes de los americanos y por lo tanto incompatibles con la mayoría de herramientas de hacking (Termineter, Optiguard) que puedan venir desde allí.

 

Principales diferencias a nivel de ciber-seguridad de los smart-meters desplegados en España respecto a los desplegados en Estados Unidos y otros países:
- No hay comunicación con los electrodomésticos vía radio (no Zigbee).
- No hay comunicación GSM (los concentrados en algún caso si la usan, pero no los propios contadores).
- La comunicación PLC se basa en estándares diferentes (Prime y Meters&More).
- La comunicación óptica también se basa en un estándar distinto (IEC62056-21).
- La gestión de claves y las medidas de seguridad son diferentes y específicas de cada compañía.

 

Este es el típico contador americano y no, no funcionaría en España:

 

 

Este es el típico contador que podemos encontrar en España:

 

 

La funcionalidad y la seguridad de cada una de las implementaciones actuales es variable y probablemente no satisfactoria para muchos. Aunque la tendencia es a mejorar, pero dependiendo de la zona y de la antigüedad de los dispositivos podemos encontrarnos niveles de seguridad distintos incluso dentro de una misma compañía.

 

La principal barrera para que un usuario malicioso aproveche estas vulnerabilidades es el relativamente alto coste (o tal vez no tanto) del hardware necesario para realizar ataques:
- Un concentrador PLC puede rondar los 1200€.
- Un modem PLC puede rondar los 500€.
- Una sonda óptica ronda los 100€ aunque podemos construirnos una por bastante menos.
- Un contador de segunda mano para “cacharrear” podemos encontrarlo a partir de 50€, pero necesitaremos un pequeño laboratorio de electrónica para analizarlo.

 

Esta última tal vez es la opción más asequible y por lo tanto la mayoría de ataques publicados van por ese camino.

 

Otra barrera es la falta de documentación específica de las distintas implementaciones, la documentación de los estándares suele ser de pago y no existen apenas publicaciones técnicas detalladas.

 

Pero tenemos que estar alerta ya que ambas “barreras de entrada” con el tiempo irán siendo menores; cada vez habrá más documentación disponible, herramientas de código libre, dispositivos de segunda mano a la venta, etc.

 

 

 



Seguridad o Seguridad

En ingles tenemos 2 términos: "safety" y "security", que nos permiten separar en 2 categorías los riesgos de seguridad a los que se enfrenta una organización.

Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.

Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.

En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.

Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.

Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).

Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.

Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.

Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.

Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.

Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.

Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:

Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.