Ingeteam, el grupo empresarial especializado en la conversión de energía eléctrica, lidera el proyecto Sec2Grid, en fase de finalización. Un proyecto Hazitek 2022 financiado por el Gobierno vasco, que cuenta con un presupuesto de 6,4 millones de euros y en el que han sumado fuerzas, de forma colaborativa, compañías en algunos casos competidoras. Estas son: Ingeteam, Arteche, Barbara, Ormazabal, PwC, Zigor, ZIV, Ikerlan y el Clúster GAIA, con el objetivo de abordar la gestión del ciclo de vida de las vulnerabilidades en los dispositivos electrónicos. El responsable de ciberseguridad de OT en el área de ‘smart grids’, Imanol García, explica el proyecto y los próximos retos de la compañía en ciberseguridad.

¿Cuándo comienza Ingeteam a prestar especial atención a la ciberseguridad? 
El área de ‘smart grids’ es la punta de lanza en ciberseguridad industrial de la compañía. Hace unos 12 años desde diferentes operadoras comenzaron a emanar requisitos en torno a esta materia. No solo desde la parte de controles de seguridad físicos, sino englobando la ciberseguridad existente en los dispositivos y redes de la subestación eléctrica. Ese momento coincidió con una serie de ataques con gran impacto, como el de la red eléctrica de Ucrania en 2015. Antiguamente, los dispositivos de protección y control estaban muy enfocados a sus funcionalidades críticas -funcionar siempre y hacerlo bien, durante un largo periodo de tiempo-. Considerar la ciberseguridad implicaba que, operar en una subestación o en un centro de transformación, complicaba los procedimientos habituales, por ejemplo, con la gestión de claves para ejecutar ciertas tareas...

Y en 2022 deciden liderar el proyecto Sec2Grid ¿cuál es el objeto?
El proyecto trata de abordar cómo gestionamos el ciclo de vida de las vulnerabilidades en los dispositivos electrónicos, es decir, cómo actualizamos unos equipos que, de la manera clásica, son difícilmente actualizables en un corto intervalo de tiempo. Cuando colocamos un equipo industrial en el mercado, este ha pasado una serie de homologaciones, procesos de certificación... pero ¿qué sucede cuando tengo que cambiar una parte del ‘firmware’ equipo porque he descubierto una vulnerabilidad y debo corregirla? Debería pasar por todos esos procesos antes de volver a colocarlo en el campo, garantizando que la funcionalidad del dispositivo no se ha visto afectada. Pero durante ese tiempo, y hasta que se genera una nueva versión que corrige la vulnerabilidad y se homologa en el cliente, hay una ventana de explotación muy grande para el atacante.

¿Cuál es la característica diferencial de Sec2Grid?
Que atendemos a toda la problemática, desde que una vulnerabilidad puede aparecer hasta que se resuelve ya en campo e intentamos acortar este espacio de tiempo para disminuir la ventana de explotación del atacante. Además, intentamos automatizar procesos de detección dentro de cada una de las empresas participantes y operadoras eléctricas, de manera que puedan vigilar la aparición de esas posibles vulnerabilidades antes de que se hagan públicas.

“LA RED ELÉCTRICA ES UN COMPENDIO DE MUCHÍSIMAS TECNOLOGÍAS, NO SOLAMENTE DE DIFERENTES PROVEEDORES, SINO TAMBIÉN DE DISTINTAS ÉPOCAS”

Se apuesta por la proactividad frente a la reacción.
Sí. Actuamos de manera proactiva más que reactiva. No solamente se trata el riesgo que puede tener una vulnerabilidad en el dispositivo electrónico, sino qué riesgo tiene dentro de la infraestructura que lo contiene. Y es que, otra de las claves del proyecto es que afecta a toda la cadena de valor. Ingeteam, Arteche, Ormazabal, Zigor y ZIV, somos fabricantes de dispositivos electrónicos, PwC se ocupa del análisis de riesgos a nivel de infraestructura, Barbara trabaja con equipos ‘edge’... y, además, hemos desarrollado tecnologías que nos permiten generar infraestructuras virtuales de detección y pruebas rápidas que van a estar desplegadas en Ikerlan, donde se están montando en la actualidad.

Y una vez que el proyecto termine, ¿pasará a implantación en las empresas o quedará en la teoría de un proyecto de innovación?
Desde Ingeteam, todo lo que estamos desarrollando lo estamos implantando en paralelo y cada participante puede hacerlo también. Sucede que lo desarrollado al comienzo del proyecto ya está desplegado en una fase inicial como el análisis de vulnerabilidades de manera proactiva, la identificación de las mismas, las actualizaciones seguras dentro de los dispositivos y la infraestructura virtualizada... Disponer de esa infraestructura en Ikerlan es importante porque nos permite ser más ágiles en las pruebas y probar la interoperabilidad de todo lo que estamos haciendo.

¿Se puede considerar, por tanto, un proyecto relevante?
Tratamos de dar respuesta al ciclo de vida del tratamiento de las vulnerabilidades dentro de los equipos electrónicos de las redes eléctricas. Es un tema complejo. Creo que es un proyecto que va a aportar soluciones necesarias y aplicables en campo. Además, mucho de lo desarrollado va a ser necesario con la llegada de normativas como Ley de Ciberresiliencia (CRA) o la NIS2.

A partir de aquí, ¿cuáles son los próximos pasos a dar desde Ingeteam en ciberseguridad?
Debemos seguir avanzando en la ciberseguridad de las redes eléctricas, aplicando medidas que respeten las normativas a la vez que permitan trabajar con los equipos de una manera coordinada y segura. El avance tecnológico presenta constantemente nuevos retos, por ejemplo, la computación cuántica está dando signos de poner en riesgo los mecanismos de cifrado actuales. En agosto se aprobaron en el NIST los nuevos algoritmos poscuánticos y este es uno de los retos al que nos vamos a enfrentar en un futuro cercano.

¿Es compleja la red eléctrica?
Tenemos muchísimas problemáticas que no son tan futuristas, por ejemplo, la protección de los equipos antiguos que están desplegados en la red eléctrica. La red es un compendio de muchísimas tecnologías, no solamente de diferentes proveedores, sino también de diferentes épocas. Y otro gran reto es la propia digitalización. Ampliamos el número de servicios que ofrecemos a los clientes, lo que nos abre nuevas oportunidades, pero hemos pasado de una arquitectura lineal, a una red mallada y digitalizada. Integramos dispositivos cada vez más inteligentes y la superficie de exposición a vulnerabilidades también es mayor.