Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Recomendaciones de seguridad en estaciones de carga de vehículos eléctricos

Fecha de publicación 06/02/2020
Autor
INCIBE (INCIBE)
estación

El mercado de la automoción está viviendo una revolución asociada al hecho de que algunos países planean prohibir la venta de vehículos de combustión de cara a un futuro no muy lejano. Esto implica que cada vez se van a desplegar más puntos de carga para satisfacer la demanda de vehículos eléctricos, por lo que es de vital importancia garantizar la seguridad de estos equipos.

Anteriormente, en Uso seguro de comunicaciones y protocolos en estaciones de carga se mostraron los protocolos de uso utilizados en las estaciones de carga y entre estas con los vehículos. Por ello, en esta ocasión, nos centraremos en el modo de funcionamiento y en las medidas de seguridad que deberían de implementarse, ya que si un atacante manipula estas estaciones, podría obtener información sensible sobre las características del coche que se encuentra cargando, manipular el flujo de alimentación eléctrico, cambiar parámetros de funcionamiento, etc.

Arquitectura de estaciones de carga de vehículos eléctricos

Antes de conocer las medidas de seguridad que han de implementar las estaciones de carga, es conveniente conocer la arquitectura que conforman estas estaciones y sus elementos principales, los puntos de carga (la estación en sí), los operadores del punto de carga (CPO) y los operadores de sistemas de distribución (DSO).

Las funciones que desempeña el punto de carga son:

  • Proporcionar y controlar la energía intercambiada entre el vehículo eléctrico y la estación de carga gracias al uso del componente EVSE (Electric Vehicle Supply Equipment) cuya función es la de suministrar electricidad a los vehículos.
  • Recopilar información específica sobre las medidas marcadas por el medidor en cada carga de un vehículo eléctrico.
  • Establecer los mecanismos adecuados de autenticación para identificar y autorizar a los usuarios del vehículo eléctrico la carga del mismo.
  • Activación de capacidades remotas (por ejemplo, ajuste de la energía máxima permitida por el punto de carga) al punto de carga a través del componente del controlador local mediante WAN.

El rol y funciones del CPO son:

  • Proporcionar permisos al usuario del VE para cargar.
  • Recopilar datos, procesos y medidas.
  • Controlar el flujo de energía permitido entre el punto de carga y el VE a partir de los datos proporcionados por el DSO.
  • Garantizar la estabilidad de la fuente de energía.
  • Suministrar conexión al CPO.
  • Conectar el CPO.

El rol y funciones del DSO son:

  • Pronosticar la capacidad disponible.
  • Garantizar la estabilidad de la fuente de energía.

Arquitectura estacion carga

- Arquitectura de una estación de carga. Fuente: European Network for Cyber Security. -

En la arquitectura propuesta, se puede apreciar cómo un vehículo eléctrico (EV) se conecta a la estación de carga mediante un conector específico (plug) definido por la IEC 62196. Una vez conectado, el usuario debe identificarse en el terminal de autenticación mediante una aplicación móvil (Bluetooth), con tarjetas RFID específicas, etc. Esta autenticación permitirá al punto de carga entrar en funcionamiento para suministrar y controlar la energía que se envía al coche con el objetivo de cargarlo. Para que el usuario sepa cuando el coche se encuentra cargado, se suelen utilizar paneles dentro de la propia estación de carga, notificaciones de dispositivos móviles, etc.

Recomendaciones de ciberseguridad

Si queremos garantizar la seguridad de las estaciones o puntos de carga eléctricos hemos de abordar la seguridad desde varios puntos distintos:

  • Se ha de garantizar la seguridad en las comunicaciones entre el punto de carga y el CPO, de manera que no puedan ser interceptadas ni alteradas por terceros.
  • Realizar análisis de código tanto de las aplicaciones móviles desarrolladas para interactuar con el punto de carga eléctrico como del propio software implementado en la estación que interactuará con dicha aplicación móvil.
  • Se han de asegurar los accesos físicos al dispositivo, de manera que no sea posible la extracción de ninguno de sus componentes internos, sobre todo componentes que puedan llevar microprocesador o memorias.
  • Se han de soportar actualizaciones de firmware, de manera que cualquier vulnerabilidad detectada pueda ser corregida.

Con el objetivo de garantizar los anteriores puntos de seguridad, las estaciones de carga de vehículos eléctricos deberían de seguir las siguientes recomendaciones y medidas de seguridad, tanto en sus comunicaciones como en los accesos físicos.

Comunicaciones

  • Las comunicaciones a través de la red WAN con el CPO han de realizarse implementando el uso de firmas digitales. De esta manera se garantizan varios principios de seguridad, como que el mensaje fue enviado por una entidad conocida (autenticación), que el mensaje fue enviado realmente por quien dice ser (no repudio) y que el mensaje no fue alterado por terceros (integridad).
  • Adicionalmente la información ha de ser cifrada mediante TLS para garantizar la confidencialidad de la información transmitida.
  • Si se detecta que un mensaje ha sido modificado, dicho mensaje debería ser rechazado. A su vez, el dispositivo (estación de carga) deberá permitir que las partes con las que se comunica puedan verificar la integridad de sus mensajes.

Esquema ElaadNL

- Esquema comunicación utilizando el uso de certificados y firmas digitales. Fuente: ElaadNL. -

  • El dispositivo deberá ser capaz de detectar ataques de repetición de paquetes y de rechazar dichos paquetes. Para detectar la repetición de paquetes se puede emplear el uso de un contador o del envío de un nonce de autenticación.

También se recomienda una correcta gestión de eventos del sistema de manera que:

  • Sean almacenados en el equipo eventos de seguridad del sistema de manera segura, evitando su posible alteración por usuarios malintencionados. Estos eventos pueden incluir, entre otros, actividades de los usuarios, cambios en credenciales, posibles señales de intentos de ataque y cambios y actualizaciones.
  • Los eventos serán enviados a un SIEM para su procesamiento.

Accesos físicos

  • Detección y registro de cualquier intento de manipulación física de la estación de carga. Para ello, es recomendable disponer de sensores que detecten cualquier apertura o manipulación física de los dispositivos que conforman la estación.
  • Despliegue de un sistema de vigilancia para tener evidencias de la manipulación física que han sufrido los dispositivos por parte de un atacante.

Además, es aconsejable controlar debidamente los accesos lógicos, de manera que sean correctamente gestionados los usuarios, sus roles y sus credenciales:

  • Soportar actualización de las credenciales y claves criptográficas.
  • Soportar el uso de límite de tiempo de sesión y que éste sea configurable.
  • Las contraseñas del dispositivo deberán ser almacenadas con una salt y empleando mecanismos de hash para garantizar la seguridad de las credenciales.
  • Adicionalmente, se seguirá una política de contraseñas robustas para evitar posibles ataques de diccionario o fuerza bruta.
  • Para la autenticación del usuario del vehículo eléctrico en el terminal, se debería emplear un token que haga uso del mecanismo de desafío-respuesta. Este token será identificado mediante un UID único.

También, se deberán implementar actualizaciones de firmware en el dispositivo de manera que:

  • El dispositivo deberá soportar la actualización remota de firmware.
  • Antes de instalar cualquier actualización, esta deberá ser revisada para comprobar cualquier modificación o posible malware
  • Antes de instalar cualquier actualización, se deberá comprobar que la fuente de origen es el proveedor o fabricante oficial.
  • Es recomendable que se realicen revisiones periódicas de seguridad en los dispositivos, de manera que las actualizaciones de firmware incluyan la solución a posibles vulnerabilidades descubiertas.

Por último, se recomienda que, a la hora del despliegue de la estación de carga, se siga un proceso de bastionado de la misma de manera que:

  • Sean deshabilitados todos los servicios que no sean estrictamente necesarios para el funcionamiento.
  • Se deshabiliten los servicios que posean algún tipo de vulnerabilidad conocida.
  • Se utilicen únicamente los protocolos de comunicación necesarios para el funcionamiento del equipo.
  • Los accesos remotos directos solo sean permitidos a través de la interfaz WAN del controlador local.
  • Los puertos e interfaces que no sean necesarios se han de deshabilitar. En especial, cualquier puerto de depuración del dispositivo.
  • Las cuentas por defecto, como invitado o anónimo, han de ser eliminadas. Además, cualquier cuenta de usuario del proveedor que no sea necesaria también será deshabilitada. El acceso remoto a cuentas de administrador no debe permitirse.

Conclusiones

Los coches eléctricos y sus estaciones de carga estarán cada vez más presentes en nuestras vidas, por ese motivo, es importante tener en cuenta algunos de los requisitos mínimos de seguridad comentados en este artículo.

Es aconsejable también que las recomendaciones planteadas sean valoradas en la fase de desarrollo e implementarlas, siempre que sea posible, con el objetivo de evitar grandes gastos en modificación de productos o sufrir ataques una vez desplegado el producto en producción. Todos estos consejos permiten aumentar la ciberseguridad en las estaciones de carga y reducir su exposición a posibles ataques tanto físicos como lógicos.