Tras informaciones publicadas en mayo de 2025 sobre la posible presencia de dispositivos de comunicación no declarados en inversores de fabricantes chinos, un IPP español encargó a Kiwa PI Berlin el análisis de un inversor string de uno de los principales fabricantes chinos, ya instalado y en funcionamiento en un proyecto en España.
El laboratorio desmontó por completo el equipo y examinó todos sus componentes de hardware, así como los posibles sistemas de comunicación remota que pudieran interferir en la operación normal de la planta. Desde la empresa ha compartido con pv magazine que, aunque no se disponía de una lista oficial de materiales (BOM) para contrastar cada elemento, únicamente se identificaron componentes habituales en este tipo de inversores.
El estudio también revisó los métodos y protocolos de comunicación. Se detectaron tres vías de comunicación por cable, todas ellas ya declaradas por el fabricante en la ficha técnica del equipo, por lo que no se consideran sospechosas.
En cuanto a comunicaciones inalámbricas de largo alcance —necesarias para un control remoto externo, como vía red móvil—, no se encontró ninguna antena, ni integrada ni externa, tras inspeccionar placas y componentes electrónicos.
La conclusión del análisis es que el inversor solo puede comunicarse mediante conexiones cableadas. «Por tanto, si se restringe adecuadamente el acceso físico a los puertos de comunicación y se aplican medidas de ciberseguridad en el controlador de planta (PPC), como el uso de cortafuegos, el acceso no autorizado de terceros a los inversores resulta altamente improbable», ha dicho a pv magazine Garikoitz Sarriegi, Head of Converters and Storage de Kiwa PI Berlin Ibérica. La empresa ha llevado a cabo análisis en inversores de otro fabricante chino de primer nivel, y el resultado fue el mismo.
El análisis del Gobierno de EE. UU. sobre los inversores fabricados en China no ha encontrado «pruebas definitivas» de funciones inalámbricas maliciosas, según un informe al que ha tenido acceso pv magazine en el que se examina el alcance de las comunicaciones inalámbricas en los inversores y los riesgos que plantean.
Los Laboratorios Nacionales del Departamento de Energía de EE. UU. (DOE) inspeccionaron «aproximadamente 30 inversores» y han compartido su análisis con socios del sector energético, entre ellos, pv magazine. Si bien encontraron dos casos en los que las comunicaciones observadas diferían de la documentación oficial, se consideraron «no maliciosas» y «no intencionadas».
En su análisis, el DOE señaló que la documentación «tal y como se ha construido» a menudo refleja solo las funciones de comunicación activadas, lo que significa que los propietarios y operadores de inversores deben verificar los protocolos de comunicación de sus dispositivos y desactivar los que no sean necesarios. El análisis señala que los fabricantes podrían mantener el acceso por motivos de garantía o seguridad, pero esto suele especificarse en los términos del contrato «según sea necesario».
El DOE advirtió que persisten las amenazas a la cadena de suministro y que la «complejidad de las cadenas de suministro de los inversores» podría crear oportunidades para violaciones de la ciberseguridad y componentes maliciosos. El departamento señaló que las comunicaciones no documentadas o implantadas en un solo inversor «probablemente» no tendrían repercusiones en toda la red, pero que la manipulación coordinada en múltiples sitios podría tener efectos mayores, aunque un ataque de este tipo sería más difícil de ejecutar.
Según el Departamento, la gestión del riesgo de la cadena de suministro como una responsabilidad compartida entre ingenieros, fabricantes, integradores, proveedores de servicios y operadores de sistemas. El departamento destacó sus Principios de ciberseguridad de la cadena de suministro para los proveedores y sugirió a los operadores que los adoptaran para las actividades de seguridad y resiliencia.
Las recomendaciones del DOE para la gestión de riesgos en el manejo de comunicaciones inalámbricas no documentadas en inversores incluyen la adopción de un enfoque por niveles para los componentes fabricados en países considerados «entidades extranjeras de interés». Estos se clasifican en función de si existen preocupaciones sobre la propiedad, el control y la influencia extranjeros en los fabricantes e integradores asociados con la producción e instalación de los inversores. Las estrategias de mitigación para la industria estadounidense propuestas por el DOE incluyen la realización de análisis detallados del firmware y el uso de empresas con sede en Estados Unidos para llevar a cabo las operaciones y el trabajo de mantenimiento.
En el artículo publicado en mayo, Reuters informó de que los responsables de energía de EE. UU. estaban reevaluando el riesgo que suponen los dispositivos fabricados en China, citando dos fuentes anónimas. No se reveló el número de dispositivos investigados. Reuters también afirmó que una fuente reveló que se habían encontrado dispositivos de comunicación no documentados en algunas baterías de múltiples proveedores chinos.
Unos días más tarde, la organización comercial europea SolarPower Europe instó a la Unión Europea a aplicar normas estrictas de ciberseguridad para las infraestructuras solares, tras el hallazgo de componentes no documentados en equipos energéticos importados a Dinamarca.
A principios de junio, la asociación comercial danesa Green Power Denmark descartó cualquier vínculo entre los componentes sospechosos encontrados en equipos energéticos locales y los informes sobre inversores solares comprometidos en Estados Unidos, lo que redujo el alcance de una investigación de ciberseguridad en curso. Green Power Denmark afirmó que la investigación del incidente afecta a la tecnología de suministro energético en general, y no al sector solar.
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.