La gigantesca central eléctrica no regulada en la nube

• Recientemente, un hacker neerlandés pudo controlar la instalación de 4 millones de paneles solares. No es la primera vez.
• La mayoría de los paneles solares para consumidores y empresas son gestionados de forma centralizada por un pequeño número de compañías.
• Solo en los Países Bajos, estos paneles solares generan una potencia equivalente a al menos 25 centrales nucleares medianas.
• En Europa casi no existen reglas ni leyes que regulen a estos administradores centralizados.
• Estas plataformas de gestión basadas en la nube podrían apagar todos los paneles solares al mismo tiempo debido a un hackeo o a un accidente.
• Según la reciente confirmación de hackers éticos y del operador de la red eléctrica neerlandesa TenneT, no se trata de un escenario teórico.
• Los paneles solares individuales no causan un gran daño, pero con el tiempo la cantidad de instalaciones ha crecido enormemente y su gestión se ha concentrado en unos pocos lugares.
• Debe eliminarse la capacidad de desconectar gigavatios de potencia desde un punto central, o bien regular a los administradores centralizados como si fueran empresas energéticas.
• En los Países Bajos, 15 GW de potencia están siendo controlados remotamente, y no se sabe con exactitud quiénes son los que ejercen ese control.
• La próxima directiva NIS2 de la UE ofrece una oportunidad de mejora, pero debe aclararse.
• SolarPower Europe también pide que las reglas de NIS2 se apliquen explícitamente al sector solar.

La historia más larga

• Willem Westerhof lleva intentando llamar la atención sobre este problema desde 2016.
• Willem, junto con su empleador Secura, elaboró un gran informe para el neerlandés "Topsector Energie".
• La red eléctrica sincronizada del continente europeo es un logro extraordinario que integra a gran parte de Europa y más allá.
• La red siempre debe mantenerse en equilibrio. Si entra demasiada electricidad en la red, la frecuencia sube y puede producirse sobretensión.
• Recientemente hubo un apagón internacional en Albania, Montenegro, Bosnia y Croacia.
• A los grandes proveedores de electricidad se les aplican estándares elevados. Sus plantas son supervisadas, sus equipos deben cumplir muchos requisitos y su personal debe contar con certificaciones adecuadas.
• La red europea y sus proveedores cooperan constantemente para mantenerla estable y segura.

Lo que sí regulamos

• Los paneles solares se conectan a la red mediante un inversor. Este dispositivo transforma la energía de los paneles en una forma que la red eléctrica puede procesar.
• Este dispositivo debe cumplir las normas y, en los Países Bajos, solo se pueden instalar inversores aprobados por la belga Synergrid.

Lo que no regulamos

• La mayoría de los inversores están conectados a internet. Esta configuración crea una conexión con el fabricante y sube estadísticas sobre los paneles solares y la producción de energía.
• Los propietarios de los paneles pueden conectarse con el fabricante mediante una app o un sitio web.
• El fabricante puede encender y apagar todos los paneles, y puede instalar nuevo software en los inversores.
• Si el fabricante es hackeado, un atacante puede enviar a los inversores una actualización de software maliciosa bajo su control.

Entonces, ¿qué podría pasar?

• La red eléctrica es extremadamente sensible. Debe entrar y salir exactamente la misma cantidad de energía.
• Los fabricantes de paneles e inversores solares pueden encender y apagar millones de instalaciones.
• Los hackers éticos neerlandeses Wietse Boonstra y Hidde Smit lograron modificar el software de instalaciones de paneles solares sin permiso del fabricante.

Oh, no

• Si existiera un panel de control capaz de apagar decenas de reactores nucleares al mismo tiempo, tendría que cumplir todo tipo de normas de seguridad.
• Los paneles solares domésticos y los inversores se consideran electrodomésticos de consumo "comunes", por lo que no hay inspección ni legislación específica.
• La gestión se ha concentrado en unos pocos proveedores, y estos no están regulados de manera estricta.

¿Y ahora qué?

• El reciente informe de Secura encargado por Topsector Energie de los Países Bajos es muy útil para entender qué tan grave es la situación.
• Están surgiendo nuevas leyes, y NIS2 junto con el Cyber Resilience Act podrían someter a estas partes a reglas más estrictas.
• SolarPower Europe también sostiene que las entidades de gestión centralizada deberían quedar incluidas dentro del alcance de NIS2.

Resumen de GN⁺

• Este artículo explica cómo la gestión centralizada de los paneles solares puede representar un gran riesgo para la red eléctrica europea.
• Destaca la gravedad del problema por la casi total ausencia de regulación sobre los administradores centralizados.
• Nuevas leyes como NIS2 y el Cyber Resilience Act podrían ayudar a resolver este problema.
• El artículo subraya la importancia de la gestión energética y los problemas de seguridad, y ofrece información relevante para quienes trabajan en la industria.
• Algunos productos o proyectos con funciones similares incluyen SolarEdge y Enphase Energy.