En 2018, Mathias Dalheimer, experto en seguridad de Karspersky, informó que en distintos puntos de recarga eléctrica probados había encontrado problemas de seguridad. Fallos de seguridad que permitían a un atacante desde programar distintas tarjetas de crédito para falsificar pagos hasta obtener información de todos los usuarios que previamente hubieran cargado su coche en esa estación.
Las estaciones de carga eléctrica van camino de convertirse en una infraestructura muy común y desde organismos como INCIBE alertan que se han convertido en un nuevo objetivo para los atacantes.
De la misma manera que hay que tener cuidado al recargar el móvil en puertos USB públicos, las estaciones de recarga eléctrica pueden representar un problema de seguridad. Motivo por el cual desde estos organismos públicos recomiendan a los responsables de las estaciones que hagan uso de protocolos específicos como el OCPP (Open Charge Point Protocol).
La comunicación entre el coche eléctrico con la estación de carga y el sistema de administración central está establecida para que se realice mediante el protocol OCPP, utilizado por más de 150 empresas y creado por la fundación ELaaDNL. En abril de 2018 se lanzó la versión OCPP 2.0 y desde entonces ha ido actualizándose para ampliar su compatibilidad y seguridad.
La implementación se basa en Java y el sistema central juega un papel clave. Este está programado para funcionar de manera automática, calculando los distintos parámetros de la carga y autorizando cada paso. Esta administración central también es la responsable de habilitar la transferencia de datos, cancelar reservas y otros procesos complejos.
Tenemos por tanto varios puntos donde se envía información. Procesos que pueden ser intervenidos por los atacantes ya que ahí se produce un envío e intercambio de información. Son las zonas donde puede haber un potencial ataque. En primer lugar tenemos la propia carga del coche a la estación. En segundo lugar tenemos cuando el punto de carga envía información a la nube y finalmente cuando el sistema central la recibe y procesa. Una última parte que también va a la inversa, pues la estación de carga no solo envía información, también la recibe cuando desde el sistema central se envían actualizaciones y nuevo firmware.
Cristina Alcaraz, Javier Lopez y Stephen Wolthusen, miembros del Institute of Electrical and Electronics Engineers, asociación mundial de ingenieros dedicada a la normalización y el desarrollo en áreas técnicas, publicaron en 2017 un informe donde repasan los posibles ataques y amenazas que pueden sufrir las estaciones.
El principal tipo de ataque es el conocido como Man in the Middle, donde el atacante puede interceptar mensajes y "colarse" en el punto de carga para obtener la información de lo que se está cargando o incluso llegar a distorsionarla.
El atacante podría llegar a modificar procesos y configuraciones, como por ejemplo realizar un fraude de energía, consistente en básicamente obtener electricidad ilegalmente. Sea trucando la factura o haciendo creer al punto de carga que se ha aplicado una cantidad cuando en realidad se ha efectuado otra. Otra posibilidad es la sobrecarga de la red, pudiendo llegar a causar problemas en la red de distribución y por tanto afectar a otros puntos.
Mediante ataques DDoS (ataque distribuido de denegación de servicio) se puede llegar a bloquear un punto de carga, pero los problemas de ciberseguridad también afectan a la fiabilidad de la propia infraestructura. Con el uso de una APT (Amenaza Avanzada Persistente), un atacante podría conseguir filtrar información, obtener el control de los sistemas e incluso evitar alertas de fallo. Es decir, evitar que el punto de carga informe de fallos en componentes. Finalmente, están las amenazas a través de Web/TCP-IP que utilizan protocolos inseguros.
Los coches eléctricos parecen haber llegado para quedarse y los puntos de carga previsiblemente irán aumentando en número a medida que pasen los años. Para garantizar la seguridad de las estaciones, desde INCIBE recomiendan seguir una serie de indicaciones, de manera que estos puntos no puedan ser interceptados ni alterados por posibles atacantes.
El 31 de diciembre de 2014 se publicaba el Real Decreto 1053/2014 sobre las "Instalaciones con fines especiales. Infraestructura para la recarga de vehículos eléctricos", donde se establecían las condiciones legales que debían tener estas infraestructuras. Hoy en día se disponen de varias normativas, entre las que se encuentran algunas como la SFS-EN 61851-1 (requerimientos de seguridad) y SFS-EN 62196-1 (enchufe, socket de salida, conectores, entrada).
Para afrontar estos problemas de seguridad, las recomendaciones de los expertos deben ser valoradas en la fase de desarrollo, con el objetivo de evitar posteriormente tener que modificar el punto de recarga una vez desplegado, que conlleva un coste significativamente mayor.
Recomiendan a los encargados de las estaciones que se realicen análisis de código tanto de las apps móviles para interactuar con el punto de carga como del propio software implementado en la estación. De manera relacionada, recomiendan que se realicen las oportunas actualizaciones de firmware para corregir posibles problemas. Y es que al final, mantener seguro un punto de recarga es similar al de otros dispositivos.
Además del software, los accesos físicos al dispositivo también han de ser protegidos para evitar que un posible atacante pueda manipular o extraer componentes internos clave como la CPU o las memorias. Como usuario, si un punto de recarga está en mal estado y aparentemente se puede manipular su interior con facilidad significará que posiblemente no hayan revisado su seguridad con detenimiento.
El último punto que los expertos recomiendan para hacer frente a los problemas de ciberseguridad en los puntos de recarga eléctrica es utilizar infraestructuras de clave pública con el uso de firmas y certificados digitales. Se trata de una implementación más difícil por la gestión de certificados, pero con ello se puede verificar la integridad de toda la cadena.
.