La empresa de ciberseguridad Jakkaru ha revelado una vulnerabilidad de seguridad crítica en los microinversores fabricados por el fabricante chino AP Systems.
Según Jakkaru, la falla permitía el control total de los dispositivos a través de Internet, incluida la capacidad de apagar sistemas de forma selectiva y simultánea. AP Systems corrigió la vulnerabilidad tras ser alertada por Jakkaru.
El ataque se dirigió al microinversor EZ1-M, que también se comercializa como producto de marca blanca por empresas como Anker bajo el nombre de modelo Solix Mi80. Jakkaru identificó aproximadamente 100 000 dispositivos vulnerables a los que se podía acceder en línea. Los investigadores creen que una base de dispositivos potencialmente mayor, incluidos los sistemas de almacenamiento de energía doméstica de AP Systems, también podría haberse visto afectada. Alrededor de 600 000 instalaciones de AP Systems están en uso en todo el mundo.
Ataque a la infraestructura MQTT
Los investigadores descubrieron una puerta de enlace del mprotocolo de mensajería MQTT (iniciales en inglés de Message Queuing Telemetry Transport, Transporte de Telemetría por Cola de Mensajes) relativamente fácil de hackear dentro del sistema de comunicación de los inversores. Los dispositivos transmiten datos operativos a través de un sistema MQTT basado en la nube, y la autenticación se realiza mediante claves estáticas derivadas del número de serie del dispositivo. Dado que estos números de serie se asignan secuencialmente, son relativamente fáciles de predecir.
El equipo de Jakkaru reconstruyó el mecanismo de autenticación. En sus pruebas, utilizaron modelos de IA como Gemini Pro para realizar ingeniería inversa del firmware. Esto les permitió suplantar a un dispositivo legítimo en la puerta de enlace MQTT.
Jakkaru destacó como especialmente crítica la capacidad de activar actualizaciones de firmware a través de «mensajes retenidos» en el protocolo MQTT. Los atacantes pueden aprovechar esto para instalar firmware malicioso en los dispositivos. En una prueba de concepto, los investigadores demostraron que esto otorga un control total sobre el inversor.
«Los sistemas de IA como Gemini Pro pueden ayudar a encontrar vulnerabilidades de seguridad de forma más rápida y eficaz», afirmó Marlon Starkloff, director general de Jakkaru, en una conversación con pv magazine. «En lugar de varios días de investigación manual, los sistemas de IA ahora solo tardan unas pocas horas. Sin embargo, esto también permite a los atacantes con conocimientos limitados de TI causar daños significativos. La barrera de entrada se ha reducido».
Starkloff señaló que los hackers experimentados probablemente podrían haber descubierto la vulnerabilidad sin IA, pero Gemini simplificó el proceso. La ingeniería inversa requiere un conocimiento profundo para identificar ciertas funcionalidades, y los sistemas de IA son particularmente adecuados para esto. Estima que comprometer los inversores de AP Systems habría llevado unos tres días sin IA, y solo una hora con la ayuda de la IA.
Punto de entrada
Además del módulo de comunicación, los componentes de control de la electrónica de potencia de los inversores también podrían ser el objetivo, lo que permitiría potencialmente a los atacantes interferir en la alimentación eléctrica. Según Jakkaru, tal compromiso podría tener varias consecuencias, incluyendo el acceso a las credenciales de Wi-Fi y otra información almacenada en el dispositivo, el uso de inversores comprometidos como puntos de entrada a redes locales, la acumulación de dispositivos para ataques DDoS, el daño a dispositivos a través de firmware manipulado, o incluso la coordinación del apagado de un gran número de inversores.
Jakkaru informó de la vulnerabilidad a AP Systems en noviembre de 2025. El fabricante estimó que se tardaría aproximadamente tres meses en solucionarla, debido a los ajustes necesarios en la infraestructura de backend. Los resultados se publicaron el 4 de marzo pasado.
«AP Systems ha completado una actualización integral de la seguridad de la comunicación entre dispositivos y servidores. Gracias a numerosas mejoras técnicas, todos los productos cumplen ahora plenamente con las normas europeas de ciberseguridad. Para subsanar deficiencias como el cifrado tradicional poco seguro y las claves secretas desprotegidas, los dispositivos de AP Systems utilizan ahora una solución de autenticación de seguridad con credenciales únicas por dispositivo, lo que previene de manera eficaz los ataques maliciosos y las fugas de información», declaró un portavoz de AP Systems a pv magazine.
«Al mismo tiempo, el sistema verifica identificadores únicos, como el tipo de dispositivo y la dirección MAC, combinados con el mecanismo de verificación de firmas X-Sign, para garantizar que las solicitudes sean auténticas y confiables y mejorar aún más la seguridad de acceso a los dispositivos», continuó diciendo el portavoz. «Esta actualización marca un hito en las capacidades de ciberseguridad de AP Systems, reforzando la posición de liderazgo de la empresa en seguridad y cumplimiento normativo de los productos. Permite a los usuarios de AP Systems en Europa y en todo el mundo beneficiarse de productos y servicios más seguros, estables y confiables».
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.