Radio Valparaíso
Online

¿Quien paga ? Si los medidores eléctricos digitales reciben un ataque informático

Polémica ha generado el articulo de investigación dado a conocer por CIPER titulado “instalarán nuevos “medidores inteligentes” de electricidad: el costo de US$1.000 millones será asumido por clientes” y en la cual pone de manifiesto cómo un nuevo artículo introducido por la Ley 21.706 que modifica la Ley General de Servicios Eléctricos en su artículo139 bis. que comienza diciendo ahora “El empalme y el medidor son parte de la red de distribución y, por tanto, de propiedad y responsabilidad de la concesionaria del servicio público de distribución o de aquel que preste el servicio de distribución. Los decretos tarifarios a que se refieren los artículos 120, 184 y 190, o el que los reemplace, determinarán la forma de incluir en sus fórmulas tarifarias la remuneración de estas instalaciones, así como las condiciones de aplicación de las tarifas asociadas a ellas.

El problema radica en que actualmente la mayoría de medidores eléctricos son de dominio de los clientes y están dentro de las instalaciones de su respectiva propiedad privada, por el cual no se paga arriendo ni están incorporados dentro de los costos que definen los decretos tarifarios para fijar valor final de electricidad.

Sin embargo, a raíz de diversos factores, como tramos diferenciados de servicios eléctricos, necesidad de mejorar procesos de registros y cobros de la luz, posibilidad de ingreso de energía al sistema de distribución y su respectiva rebaja en la cuenta ( gracias a la Ley de Autogeneración Distribuida  net billing  que permite al cliente residencial inyectar sus excedentes a la red de distribución con sistemas de energías renovables como paneles) y aprovechando la moción parlamentaria que obliga a empresas eléctricas a costear instalación de empalme y medidor cuando sea haya inutilizado o destruida dichas instalaciones producto de fuerza mayor, como terremoto, salida de mar, temporal u otra calamidad, y que la autoridad competente haya decretado estado de catástrofe, de conformidad con la normativa vigente; es que se generó esta obligación de recambio de medidores eléctricos, pasando de actuales sistemas de registro “analógicos” o medidores eléctricos “digitales” o “inteligentes”.

Diferencias entre medidores eléctricos analógicos y digitales.

El inconveniente de los medidores “analógicos” (es decir, aquellos medidores característicos por contener ruedas de números que giran como los relojes de aguja) radica en que son unidireccionales, es decir:

  • son capaces simplemente de registrar el consumo de electricidad de una residencia, información o lectura debe ser recopilada manualmente por funcionarios de empresas eléctricas.
  • no poseen la capacidad de diferenciar consumo por tramo de horarios, ya sea horario punta, normal o bajo.
  • sólo es posible interrumpir el servicio eléctrico en caso de no pago del servicio en forma manual, es decir, el corte es efectuado por personal de empresas eléctricas.

Este tipo de dispositivos que están físicamente en las propiedades de clientes, pueden ser adulterados y generan lecturas  menores a las reales (generándose el hurto de energía) y las empresas sólo pueden reconocer este tipo de figuras cuando mandan a fiscalizadores a inspeccionar medidor o empalmes u observando cambios de tendencia en cobros históricos de la luz y ordenando su investigación.

Es por ello, y coincidentemente con la evolución de las tecnologías es que surgen los medidores eléctricos “digitales” o “inteligentes” que finalmente son verdaderos computadores  la cual se componen además de los medidores propiamente tal, se suma la existencia de una red de telecomunicaciones y softwares de gestión, medición y captura.

  • Así, estos nuevos medidores eléctricos “inteligentes” tienen la capacidad de integrar comunicación bidireccional, en forma remota o telemétrica.
  • tienen funcionalidades anti hurto, lo que implica que el medidor entrega señales en caso de ser intervenido o si se trató de intervenir
  • son multitarifas (permite diferenciar por horarios y consumos )
  • entregan información de la calidad de la energía, ya sea alzas de potencias en corrientes eléctricas
  • permiten corte y reposición al instante en forma remota desde la central
  • incluye módem o puertos de comunicaciones para transmitir la información de consumo en línea a central
  • ofrecimiento de otros servicios adicionales, como que los usuarios podrían observar el consumo eléctrico directamente desde sus dispositivos móviles.

Sistema de comunicación remoto o telemetría.

Respecto a este último punto, de conectividad, en general los medidores electrónicos “inteligentes” requieren de sistemas de comunicación, los que pueden ser integrados al interior del medidor o con un módulo adicional al dispositivo. Existen en general dos formas para obtener las lecturas de estos medidores: móvil o estacionaria. La primera se realiza a través de Drive-by (vehículo que pasa la calle, se comunica con equipos en forma inalámbrica y capta la información o ejecuta acciones específicas) y la segunda por medio de Fixed Network (antenas en campo para una red fija).

Según lo ha informado la empresa ENEL, La información capturada por el medidor inteligente se transmite hacia un concentrador de datos, vía alámbrica por la misma red eléctrica existente, mediante un protocolo de comunicaciones PLC (Power Line Communication).

El concentrador recibe la información que captan los medidores, y la transmite vía señal de telefonía celular al sistema central, para realizar los diferentes procesos  comerciales y técnicos a los clientes.

Afectación de empleos, ciberseguridad, privacidad y otros costos asociados a cambios de medidores eléctricos inteligentes Clic para tuitear

Tal como ocurre normalmente con la incorporación de tecnologías en procesos productivos, cuando se habla de disminuir y eliminar costos, generalmente los primeros afectados son los recursos humanos.
Así, con la incorporación de medidores eléctricos inteligentes, sucederá que ya no serán necesarios los empleados de empresas eléctricas que visitaban en forma mensual las propiedades para efectuar las mediciones. Al ser la información enviada en forma lineal y permanente, no es necesario este tipo de empleos. Por otro lado, los trabajadores relacionados con asistencia para realizar corte de suministro y reposición, o los especializados en fiscalizar, mantener y reemplazar medidores analógicos, tampoco serán necesarios con el recambio de medidores.

Lo que no se ha mencionado en la discusión en torno a los medidores eléctricos inteligentes, es en la necesidad de mantener una red segura, resiliente y con calidad en transmisión de comunicaciones y en donde la empresa efectivamente se haga responsable de la ciberseguridad y los costos asociados a ella, al ser ahora dueños del medidor, software que utilizan, red de transporte, información y antecedentes de consumo. Los que en materia informática se denomina ciberseguridad en Smart grid o redes eléctricas “inteligentes” Smart electric power grids.

Así, por ejemplo, un ataque informático podría afectar la empresa de electricidad y ordenar el corte de suministro de una propiedad, de las residencias de un sector o de todos los inmuebles de una ciudad en forma simultanea si se vulnera los protocolos y medidas de seguridad de la empresa y se ejecuta esta orden. No hablamos de corte de luz masivos en forma territorial (es decir, corte en zonas públicas como alumbrado y cortes en propiedades privadas), sino suspensión de servicios en forma absolutamente selectiva y específica. Esta situación antes descrita no ocurre con los medidores analógicos porque se tendrían que efectuar el corte de medidor en medidor para producir el mismo efecto.Por otro lado, como toda red de telecomunicaciones, puede ser vulnerada, interceptada y modificada la información transmitida por parte de terceros, afectando la calidad del dato generado.

En ciberseguridad se trataría de infraestructura crítica, infraestructura de seguridad avanzada o “Advance Metering Infraestructure” que actualmente no se encuentra regulada en la legislación nacional.

Otra posibilidad es que estos dispositivos, al contar con software de registro, gestión y control, incluyendo sus respectivos firmware, podrían ver afectado con posible sistema de virus, malware, troyano, etc., que incluso pueda permitir convertirlos en dispositivos zombies que generen ataques remotos a dispositivos, centros de información o similares.  El Ejemplo claro es en 2010 cuando se descubrió un gusano informático, conocido como Stuxnet, que es capaz de reprogramar Controladores Lógicos Programables (PLC por sus siglas en inglés) y ocultar los cambios realizados. Stuxnetdemuestra que un programa malicioso puede ocasionar daño físico a algunos elementos del mundo real (sobrecargas, manipulación maliciosa de elementos robóticos o electromecánicos, alteración o falsificación de señales digitales, etc.).

Esto se da al entender que la interconexión de sistemas informáticos empresariales se vincula con sistemas de control industrial, lo que implica que las fallas de seguridad de los sistemas informáticos tradicionales (Windows, Linux, Unix, protocolos TCP/IP, etc.) impactarán los sistemas de control que hasta la fecha se encontraban centralizados y aislados.

Los antiguos dispositivos de control e instrumentación industrial (SCADA, EMS) no fueron diseñados para soportar medidas de seguridad tales como antivirus, detectores de intrusos, mecanismos de autenticación y de control de acceso.

Es por ello que antes de operar una red eléctrica con estos dispositivos, se deberían establecer como obligatorios estándares de ciberseguridad, fijar normativa específica que exija a las empresas eléctricas establecer una arquitectura de seguridad para proteger la información contenida en todos los dispositivos de ésta; blindar los diversos canales de comunicación de datos; establecer medidas de protección para los antiguos sistemas de control e instrumentación industrial; crear un sistema integral de gestión de la ciberseguridad de la red inteligente que contemple técnicas de planeación, control, medición y mejoras constantes de la seguridad informática.

La duda final es si estos costos asociados a ciberseguridad, y que no han sido declarados o considerados dentro de costos de producción, transporte y entrega de energía (tales como auditorías informáticas, certificaciones, diseños de red, cambios tecnológicos asociados, incorporación de medidas de ciberseguridad, etc, etc), serán financiados por las empresas eléctricas, como dueñas de la tecnología y redes, o finalmente se dará, tal como lo dijo el propio Presidente de la República Sebastián Piñera, que “el usuario paga todo“.

Otro punto también relevante dice relación con la generación instantanea de infomación, ya sea de consumos, hábitos de utilización en energía, conocer cuando por ejemplo una propiedad está sin ocupantes (al no existir consumo eléctrico o al haber consumo mínimo plano), que permite sumado a otros elementos finalmente identificar o hacer identificables a persona, grupos de personas o sectores de población, y que puede ser utilizado por las empresas con fin distinto a la de facturación eléctrica, lo que podría generar algunos conflictos con elementos propios de la privacidad. Sin el debido resguardo de esta información o uso de datos en forma de minería de datos o big data, se generarían otros efectos no concebidos con este cambio de tecnología que conllevan un costo para el usuario-consumidor.

Finalmente, la intención de este artículo no es oponerse a la incorporación de tecnologías, sino más bien clarificar todos los elementos no considerados, los costos, ausencia de normativa, regulación específica, protocolos y normas técnicas, considerando que aún no está establecida la norma técnica de los medidores eléctricos inteligentes y empresas como ENEL ya están instalando medidores, confiando que sus equipos se adecuarán sin problemas a lo que dicte la autoridad regulatoria.

Un último llamado es tener atención a los puntos vulnerables de la infraestructura, que son los puntos de acceso (el binomio contador digital  concentrador) y la red en sí. Al mismo tiempo, para garantizar dicha infraestructura y la información enviada y recepcionada, las técnicas de cifrado son fundamentales. En un entorno donde las capacidades del sistema son limitadas en cuanto a espacio, capacidad de procesamiento, etc., comparado con las infraestructuras TI que conocemos, el cifrado no es trivial. Y, si se modifica la ley, en cuanto a quien corre con los gastos del equipo, formándose un monopolio en éstos, es necesario establecer que los fabricantes de equipamiento, deben establecer estrategias de seguridad que sean interoperables para que contadores y concentradores pueden comunicarse de forma segura con patrones de cifrado entendibles entre sí, tal como lo señala INCIBE, Instituto Nacional de Ciberseguridad de España. Nota realizada por Pedro Huichalaf Roa Abogado en derechos digitales.