El análisis del gobierno de EE. UU. sobre los inversores fabricados en China no ha encontrado «pruebas definitivas» de funciones inalámbricas maliciosas, según un informe al que ha tenido acceso pv magazine, en el que se examina el alcance de las comunicaciones inalámbricas en los inversores y los riesgos que plantean.
El Departamento de Energía de EE. UU. (DOE, por sus iniciales en inglés) ha compartido su análisis con socios del sector energético tras las noticias aparecidas en los medios de comunicación que indicaban la presencia de comunicaciones inalámbricas no documentadas en inversores fabricados en China, reveladas por primera vez por Reuters en mayo de 2025.
Los Laboratorios Nacionales del DOE inspeccionaron «aproximadamente 30 inversores» y encontraron dos casos en los que las comunicaciones observadas diferían de la documentación oficial, pero se consideraron «no maliciosas» y «no intencionadas».
En su análisis, el DOE señaló que la documentación «tal y como se ha construido» a menudo refleja solo las funciones de comunicación activadas, lo que significa que los propietarios y operadores de inversores deben verificar los protocolos de comunicación de sus dispositivos y desactivar los que no sean necesarios. El análisis señala que los fabricantes podrían mantener el acceso por motivos de garantía o seguridad, pero esto suele especificarse en los términos del contrato «según sea necesario».
El DOE advirtió que persisten las amenazas a la cadena de suministro y que la «complejidad de las cadenas de suministro de los inversores» podría crear oportunidades para violaciones de la ciberseguridad y componentes maliciosos. El departamento señaló que las comunicaciones no documentadas o implantadas en un solo inversor «probablemente» no tendrían repercusiones en toda la red, pero que la manipulación coordinada en múltiples sitios podría tener efectos mayores, aunque un ataque de este tipo sería más difícil de ejecutar.
El DOE describió la gestión del riesgo de la cadena de suministro como una responsabilidad compartida entre ingenieros, fabricantes, integradores, proveedores de servicios y operadores de sistemas. El departamento destacó sus «Principios de ciberseguridad de la cadena de suministro» para los proveedores y sugirió a los operadores que los adoptaran para las actividades de seguridad y resiliencia.
Las recomendaciones del DOE para la gestión de riesgos en el manejo de comunicaciones inalámbricas no documentadas en inversores incluyen la adopción de un enfoque por niveles para los componentes fabricados en países considerados «entidades extranjeras de interés». Estos se clasifican en función de si existen preocupaciones sobre la propiedad, el control y la influencia extranjeros en los fabricantes e integradores asociados con la producción e instalación de los inversores. Las estrategias de mitigación para la industria estadounidense propuestas por el DOE incluyen la realización de análisis detallados del firmware y el uso de empresas con sede en Estados Unidos para llevar a cabo las operaciones y el trabajo de mantenimiento.
En el artículo publicado en mayo, Reuters informó de que los responsables de energía de EE. UU. estaban reevaluando el riesgo que suponen los dispositivos fabricados en China, citando dos fuentes anónimas. No se reveló el número de dispositivos investigados. Reuters también afirmó que una fuente reveló que se habían encontrado dispositivos de comunicación no documentados en algunas baterías de múltiples proveedores chinos.
Unos días más tarde, la organización comercial europea SolarPower Europe instó a la Unión Europea a aplicar normas estrictas de ciberseguridad para las infraestructuras solares, tras el hallazgo de componentes no documentados en equipos energéticos importados a Dinamarca.
A principios de junio, la asociación comercial danesa Green Power Denmark descartó cualquier vínculo entre los componentes sospechosos encontrados en equipos energéticos locales y los informes sobre inversores solares comprometidos en Estados Unidos, lo que redujo el alcance de una investigación de ciberseguridad en curso. Green Power Denmark afirmó que la investigación del incidente afecta a la tecnología de suministro energético en general, y no al sector solar.
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.