Puntos de vista

Grandes preocupaciones: comprender la amenaza a la seguridad que representan los drones

Kevin Townsend, 1 octubre 2019

Son susceptibles a todas las amenazas cibernéticas que enfrenta el Internet de las cosas, y pueden ser secuestrados con fines no deseados.

Los drones, el nombre popular para vehículos aéreos no tripulados (UAV), son un nuevo juguete para aficionados, una herramienta para el comercio y un dispositivo multiusos para los militares. 

En un extremo de la escala, tienen solo unos pocos pies de diámetro y pueden transportar cargas útiles como una cámara o una pequeña computadora Raspberry Pi; en el otro extremo tienen una envergadura de 20 metros y pueden transportar bombas guiadas por láser de 500 libras o misiles Hellfire.

En la mayoría de los casos, en última instancia, son dispositivos IoT de rango libre, alojados en una máquina voladora más pequeña que una cortadora de césped, con comunicaciones inalámbricas. Como dispositivos inalámbricos de IoT, son susceptibles a todas las amenazas cibernéticas que enfrenta el Internet de las cosas , y pueden ser secuestrados para fines no deseados.

Drones: hobby, comerciales y militares.

Cuando aparecieron los drones de afición, eran poco más que un juguete para los ricos o un pasatiempo para los entusiastas. Pero el mercado se ha expandido, la tecnología ha mejorado con una mayor maniobrabilidad y cámaras incorporadas, y el precio ha bajado. Es un mercado en auge. La FAA predice que habrá entre 1.3 millones y 1.7 millones de aviones no tripulados en los EE. UU. Para 2023. 

El mercado de más rápido crecimiento, aunque más pequeño que el mercado de pasatiempos, es el de los drones comerciales, con los que muchas empresas están experimentando. Los ejemplos más conocidos incluyen el transporte de carga para entregas que ha sido explorado por Amazon y Domino's Pizza. Esta aplicación ha sido retrasada por las regulaciones, ya que muchos ven los drones como un peligro y un ruido molesto; pero esas regulaciones pueden ser relajadas en los próximos años. Una propuesta (sitio en inglés) del Departamento de Transporte de los EE. UU. A principios de este año permitiría que los drones volaran sobre las personas y por la noche sin necesidad de permisos especiales o exenciones, lo que podría abrir los servicios de entrega de drones en el futuro.

Hay menos drones militares, pero este también es un mercado en expansión. Los drones militares permiten que un atacante alcance casi cualquier objetivo en cualquier ubicación sin riesgo para el personal. Sus casos de uso se están expandiendo. Según Steve Durbin, director gerente del Foro de Seguridad de la Información (sitio en inglés), se está desarrollando tecnología de drones que podría ampliar el uso militar de armas directas a herramientas sofisticadas de espionaje. Varias organizaciones de terceros están desarrollando drones que pueden aprovechar o interferir con los sistemas de comunicaciones, interceptar datos y autodestruirse si son capturados. Los drones militares portadores de armas son fabricados por los EE. UU., Israel, China, Rusia e Irán, entre otros países.

Los drones también tienen aplicaciones menos conocidas pero más específicas que no son hobby, comerciales ni militares. Los drones montados en cámara se pueden usar para monitorear la infraestructura, partes difíciles de alcanzar de monumentos antiguos, incendios forestales o ganado, mientras que los sensores especializados se pueden usar para estudios geológicos. 

Todas estas categorías de drones conllevan riesgos de seguridad. Solo el avión no tripulado militar puede considerarse relativamente seguro: el resto está sujeto a secuestro y uso indebido con fines malos como cualquier otro dispositivo IoT . Esos malos propósitos incluyen amenazas a nuestra privacidad, a la ciberseguridad e incluso a nuestra seguridad física.

Amenazas a drones

Hay dos amenazas cibernéticas principales para los drones: secuestro y cadenas de suministro.

Secuestro

Los drones no militares pueden ser secuestrados con relativa facilidad. En 2017, el experto en seguridad Jonathan Andersson fabricó un dispositivo (lo llamó Icarus) que le permitió sintonizar la frecuencia de comunicación del dron. Aunque el canal de comunicación saltó cada 11 milisegundos, Icarus esperó en un canal, y en los 11 milisegundos disponibles pirateó el cifrado del dron y secuestró el dispositivo.

Cadena de suministro

La amenaza de la cadena de suministro existe porque los drones se fabrican en gran medida en el extranjero (como en China) o se ensamblan a partir de componentes fabricados en el extranjero. Con las tensiones geopolíticas contemporáneas, siempre existe la preocupación de que dichos dispositivos puedan contener una puerta trasera oculta para los gobiernos extranjeros.

Una preocupación asociada es que los drones hobby de hoy en día casi siempre vienen con una cámara de video. Los piratas informáticos podrían obtener datos grabados secuestrando el dispositivo y robando los datos. Pero muchos drones cargan automáticamente los datos grabados en tiempo real para su almacenamiento en la nube. 

Esto genera inquietudes incluso para imágenes obtenidas de forma inocente: si un piloto de dron registra accidentalmente algo sensible, esos datos están inmediatamente en línea y son vulnerables al robo si el servicio de almacenamiento no está asegurado adecuadamente. El gobierno de EE. UU. Está tan preocupado por el almacenamiento de datos de drones que a principios de este año, el Departamento de Seguridad Nacional de EE. UU. Emitió una alerta de que los drones fabricados en China pueden ser un "riesgo potencial para la información de una organización" y podrían enviar datos de vuelo de regreso a sus fabricantes.

Amenazas de drones

Existen tres amenazas principales de los drones no militares: a nuestra privacidad, a nuestra ciberseguridad y a nuestra seguridad física.

Intimidad

El problema de la privacidad es evidente. Los drones pueden llevar una cámara y pueden grabar imágenes, y voz, desde lugares inaccesibles para un espía humano. Las variantes utilizadas por la policía podrían vincularse a los sistemas de reconocimiento facial y monitorear en silencio a las multitudes, las reuniones al aire libre y los peatones. Los activistas militantes podrían usarlos para mapear los establecimientos que desean atacar. Y los voyeurs podrían tener un apogeo.

Usados ​​por la policía, ofrecen un nuevo nivel de control civil. Usados ​​por civiles, son casi imposibles de controlar. Es probable que los datos civiles se almacenen en la nube, posiblemente con o sin el conocimiento de los usuarios, y con o sin la seguridad adecuada.

La seguridad cibernética

Incluso los drones hobby pueden transportar pequeñas computadoras Raspberry Pi. Estos se pueden programar para detectar señales de Wi-Fi. Han sido utilizados por investigadores de sombrero blanco para probar la seguridad de los establecimientos remotos de infraestructura crítica, como las centrales eléctricas, a los que no se puede acceder directamente desde Internet.

Son utilizados legítimamente por probadores de penetración, que realizan simulaciones de ataque controlado, en circunstancias similares. En una prueba, se le pidió a una compañía de investigación que probara la ciberseguridad de una plataforma petrolera en alta mar. Esto fue difícil sin acceso físico a la plataforma. Entonces, un pequeño bote fue contratado y "amarrado" a cierta distancia de la plataforma. Luego, la Raspberry Pi fue programada para detectar señales de Wi-Fi, sobrevolar la plataforma petrolera y los investigadores pudieron escuchar las comunicaciones de la plataforma.

Si los investigadores están haciendo esto, puede garantizar que los piratas informáticos y quizás los estados nacionales estén haciendo lo mismo. Los objetivos no tienen que ser instalaciones remotas y aisladas; ataques similares podrían dirigirse a cualquier edificio en cualquier lugar. Y a medida que los drones pasatiempos crecen en popularidad, la visión de uno cerca de las oficinas probablemente no genere preocupaciones.

Seguridad fisica

La amenaza de los drones para nuestra seguridad física abarca desde daños accidentales a través de errores de cálculo hasta ataques dirigidos.

El daño accidental proviene de un dron que está fuera de control. La causa podría ser el propietario legítimo que pierde el control, un pirata informático que pierde el control o un mal funcionamiento de hardware o software dentro del dispositivo. Cualquiera sea la causa, un dron que se estrella del cielo y golpea a un ser humano causará daños, y cuanto más grande sea el dron, mayor será el daño.

El daño por error de cálculo podría ocurrir cuando el vuelo de un avión no tripulado resulta más peligroso de lo considerado. En el Reino Unido, el grupo activista ambiental Extinction Rebellion ha estado haciendo campaña contra la construcción de una tercera pista en el aeropuerto de Heathrow. Una de sus herramientas de protesta ha sido volar drones dentro de la zona de exclusión de 3 millas de Heathrow para interrumpir los vuelos. Extinction Rebellion no desea dañar a nadie, pero un simple error de cálculo podría ser catastrófico.

Es probable que los ataques dirigidos aumenten en los próximos años. La intención será dañar a los humanos, y podría resultar de cualquiera de los controladores existentes para causar daño humano, ya sea personal o ideológico. Hasta ahora, el daño real a los humanos por los drones hobby ha sido en gran medida accidental y no demasiado grave. Todavía no hemos experimentado un dron de pasatiempo o un dron comercial secuestrado dirigido específicamente a una persona específica.

Los eventos recientes en Arabia Saudita ponen un énfasis diferente en las cosas. Aquí, una flota de drones "militares" fue atacada con éxito a la producción de petróleo de Arabia Saudita. Los rebeldes yemeníes Houthi se atribuyeron la responsabilidad, pero la mayoría de la gente piensa que no podría haberse logrado sin la ayuda de Irán. Los drones mismos eran casi con certeza de origen iraní. Se sabe que Irán vende sus aviones no tripulados militares a aliados y países simpatizantes. China venderá sus drones militares a casi cualquier comprador.

Los drones militares están cada vez más disponibles. Matt Rahman, el director de operaciones de la firma de seguridad IOActive, sigue de cerca la situación de los drones. "La intención de usar drones como agentes kamikaze con ojivas nucleares adjuntas no es nada nuevo", dijo a este blog; "Pero verlo ejecutado en Irán fue algo que no pensamos que sucedería tan pronto".

El futuro

Todavía estamos en los primeros días del desarrollo de drones. Sus capacidades se expandirán en los próximos años; y la sociedad y la policía deben ser conscientes de las amenazas que esto podría generar. Los dispositivos desarrollados por buenas razones pueden ser malversados ​​con malos propósitos.

Como ejemplo, considere los últimos desarrollos que vendrán de China: un dron con energía solar que pronto será capaz de realizar un vuelo permanente. Agregue a esta moderna tecnología de cámara de alta potencia y reconocimiento facial, y el resultado es un dron que puede volar indefinidamente hasta que reconozca un objetivo preprogramado. Con una pequeña ojiva, que no requeriría un dron de calidad militar, el objetivo específico podría ser localizado y eliminado automáticamente. Puede sonar a ciencia ficción, pero hoy es posible.

El mayor problema es que los drones no están suficientemente regulados. Ninguna agencia por sí sola ha reclamado la autoridad general para entregar la regulación necesaria para evitar que los drones se conviertan en una seria amenaza dentro de la sociedad.