La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. emitió dos avisos sobre fallos críticos que, si se explotan, permitirían a atacantes controlar a distancia equipos conectados a la red e interrumpir el suministro de energía. Las vulnerabilidades alcanzan a un programa que gestiona sistemas solares y a una marca de inversores fotovoltaicos con presencia mundial.
Los productos son de EG4 Electronics, marca fabricada en China y Estados Unidos, y Tigo Energy, líder en soluciones inteligentes de software para energía solar con presencia en España.
Inversores secuestrados a distancia
El sistema de control industrial alertó de que en los EG4 se revelaron vulnerabilidades fácilmente explotables vía Internet.
«La explotación con éxito de estas vulnerabilidades podría permitir a un atacante interceptar y manipular datos críticos, instalar firmware malicioso (sustituir el software interno del equipo por una versión manipulada que podría permitir controlarlo a distancia), secuestrar el acceso al dispositivo y obtener control no autorizado sobre el sistema», anunció la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA por sus siglas en inglés) el 9 de septiembre.
Esto significa que en modo remoto «se podría interrumpir la generación de energía o reconfigurar los ajustes del inversor», añadió la agencia.
Estos productos se han distribuido en todo el mundo y afectan a las redes de energía.
Lea también: Al menos 500 estudios chinos detallan cómo derribar redes eléctricas en Europa y EE. UU.
El aviso en cierta manera escenifica la magnitud del problema de los inversores vulnerables a actores externos y trae a la memoria el apagón masivo que sufrió España el 28 de abril de 2025, aunque se han propuesto diversas causas.
Tras la crisis de energía en España, Christoph Podewils, Secretario General del Consejo Europeo de Fabricación Solar (ESMC) dijo que los inversores con vulnerabilidades representan «importantes amenazas de ciberseguridad, incluyendo la posibilidad de interferencias deliberadas o apagones masivos», por lo que es importante que la procedencia sea local.
«Los inversores modernos deben estar conectados a Internet para cumplir con las funciones esenciales de la red o participar en el mercado eléctrico. Sin embargo, estas conexiones también permiten actualizaciones de software, lo que significa que cualquier fabricante puede alterar el rendimiento de estos dispositivos de forma remota».
El ESMC reveló a The Epoch Times que el 70 % de todos los inversores instalados en 2023 en Europa y España procedían de proveedores chinos, principalmente Huawei y SunGrow, un apuesta que en su opinión es poco segura y les «ha cedido el control remoto de una gran parte de su infraestructura eléctrica».
Según Uri Sadot, director del programa de ciberseguridad del fabricante israelí de inversores SolarEdge, «si se controla de forma remota un número suficientemente grande de inversores solares domésticos y se lleva a cabo una acción maliciosa de forma simultánea, las consecuencias para la red eléctrica podrían ser catastróficas durante un periodo prolongado».
Lea también: El peligro de los componentes chinos en energías renovables: podrían desconectarse desde Pekín
Vulnerabilidades encontradas en EG4
CISA encontró en los inversores EG4 que el tráfico de comandos entre la aplicación de monitorización y el inversor EG4 se estaba transmitiendo sin cifrado.
«Esta vulnerabilidad podría permitir que un atacante con acceso a una red local intercepte, manipule, reproduzca o falsifique datos críticos, como operaciones de lectura/escritura de voltaje, corriente y configuración de potencia, estado operativo, alarmas, telemetría, reinicio del sistema o comandos de control del inversor».
También descubrió que el servidor final que lleva el registro de productos de acceso público responde de forma diferente según el número de serie del producto, lo que permite a un atacante obtener información sobre el estado de registro de diferentes números de serie.
El producto afectado tampoco ofrece límites al número de intentos para introducir el PIN correcto de un producto registrado, lo que podría permitir que un atacante obtenga acceso no autorizado.
La puntuación que se asignó a la vulnerabilidad «alcanza un máximo de 9,2, lo que refleja la gravedad de estas fallas».
Estas vulnerabilidades afectan a todas las versiones de los siguientes modelos: EG4 12 kPV, 18 kPV, Flex 21, Flex 18, EG4 6000XP, 12000XP y
EG4 GridBoss en todas las versiones. Algunos modelos, como EG4 18kPV-12LVEG4, cuentan con un test de verificación de Intertek Shenzhen y el EG4 6000XP lleva la marca LuxPower de China, empresa con sede en ShenZhen.
EG4 reconoció las vulnerabilidades y «está trabajando activamente para solucionarlas, incluyendo nuevo hardware cuyo lanzamiento está previsto para el 15 de octubre de 2025. Hasta entonces, EG4 supervisará activamente todos los sistemas instalados y trabajará con los usuarios afectados caso por caso si se observan anomalías».
Medidas recomendadas
CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como: minimizar la exposición de la red para todos los dispositivos y/o sistema de control, garantizando que no sean accesibles desde Internet; y ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes comerciales.
Cuando se requiere acceso remoto, la agencia recomienda métodos más seguros, como las «redes privadas virtuales (VPN), teniendo en cuenta que pueden presentar vulnerabilidades y deben actualizarse», y considerando que «la seguridad de una VPN depende de los dispositivos conectados».
EG4 inaugura planta en Texas para reducir la dependencia de China
En julio, EG4 Electronics anunció que su empresa matriz, Energy Access Innovations (EAI), inauguró una planta de fabricación de 310 000 pies cuadrados en Commerce, Texas, para lograr la seguridad energética necesaria en el país, abasteciendo los hogares con soluciones locales fiables.
Construida en casi 20 hectáreas, esta planta «reduce nuestra dependencia de cadenas de suministro extranjeras, en particular de países como China, al producir componentes energéticos esenciales, como baterías y electrónica de potencia, aquí mismo en Texas», dijo EG4.
Lea también: Ciudades inteligentes en España: qué son, sus riesgos y encaje en la Agenda 2030
Vulnerabilidades de Tigo
CISA informó el 19 de agosto que se encontró una vulnerabilidad en el software de la empresa Tigo, que tiene la función de coordinar una instalación solar.
La sede de Tigo Energy, Inc., se encuentra en Estados Unidos. Sus productos están presentes en España a través de distribuidores y tiendas locales. También cuenta con oficinas en China.
El aviso técnico dice que, en el Cloud Connect Advanced, en versiones 4.0.1 y anteriores, se encontraron tres puertas mal cerradas que pueden ser aprovechadas por atacantes: una con claves fijas grabadas de fábrica (detectable por un atacante), otra que permite colar órdenes a través de un mando oculto (command injection), y una tercera que genera identificadores de sesión previsibles, de modo que un intruso puede adivinar «sesiones válidas» como quien acierta una combinación por la hora.
Estas fallas, catalogadas con gravedad muy alta (CVSS v4 hasta 9,3), son explotables a distancia, con un exploit público ya conocido para una de ellas, lo que podría dar a un atacante control administrativo, permitirle cambiar ajustes, parar la producción, interferir con mecanismos de seguridad o acceder a datos.
Tigo está trabajando en un arreglo; mientras llega, la recomendación es no exponer estos equipos a Internet, aislarlos tras un cortafuegos y usar acceso remoto solo mediante VPN actualizada (y, en general, aplicar defensa en profundidad).
Lea también: Consejo Europeo de Fabricación Solar urge a restringir a proveedores chinos de la red eléctrica
El 25 de agosto, TIGO y EG4 anunciaron su unión para producir y comercializar nacionalmente equipos solares.
«La alianza de fabricación entre Tigo y EG4 impulsará el regreso de la fabricación de energía crítica a Estados Unidos y el suministro de soluciones solares locales fiables», señala el aviso vinculando la asociación a la adquisición de una planta en Commerce, Texas.
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en España y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.