El creciente uso comercial y las escasas defensas incorporadas convierten a los drones en un objetivo atractivo para los agentes maliciosos.
Los operadores de infraestructuras críticas, las fuerzas de seguridad y todos los niveles de la administración pública están ocupados incorporando drones a sus operaciones cotidianas. Los drones se están utilizando para apoyar una serie de aplicaciones para la infraestructura tradicional, así como para la agricultura, los servicios públicos, la fabricación, el petróleo y el gas, la minería y las industrias pesadas.
Los fabricantes de drones y los usuarios finales de la industria están empezando a reconocer que todos los elementos de sus empresas tienen lo que Jono Anderson, director de estrategia e innovación de KPMG, denominó “sólidas capacidades que abarcan los drones individuales, las flotas conectadas de drones, las capacidades de la nube y la comunicación entre ellos”.
Los drones son “computadoras voladoras” y un vector de ataque
A pesar de sus potenciales vulnerabilidades, muchos sistemas de drones no utilizan arquitecturas de seguridad de alto nivel. Según Anderson, “en un sistema conectado de drones, la creciente ‘niebla’ en las comunicaciones internas y entre drones crea múltiples vectores de ataque que podrían exponer los sistemas críticos de un dron individual o de toda la flota y, potencialmente, toda la nube y la empresa”.
Aunque los drones ofrecen beneficios probados a los operadores, también plantean graves riesgos de ciberseguridad. Un dron es esencialmente una computadora voladora y, al igual que los computadoras están plagadas de potenciales ciberamenazas. Joshua Theimer, director senior de Consultoría Tecnológica de EY, afirmó que “gran parte de lo que las organizaciones están haciendo se centra en garantizar que los drones operen de acuerdo con las regulaciones externas a nivel estatal y federal”. Dado que muchos de los drones que se adquieren actualmente son propiedad del fabricante, Theimer sostuvo que es fundamental contar con una “estrategia de seguridad organizativa fundamental” que proporcione la seguridad adecuada en torno al ecosistema en el que se utiliza el dron.
“Las empresas deben centrarse en mejorar la seguridad del producto, especialmente en relación con el software de la plataforma a bordo del dron, y las comunicaciones desde y hacia el dron, para mitigar el potencial de toma de control o la pérdida de mando”.
Rik Parker, director de servicios de ciberseguridad de KPMG
La ciberseguridad no ha sido históricamente una prioridad importante para los fabricantes de drones, ni para los usuarios de los mismos. La evaluación de Theimer es que las vulnerabilidades de los drones siguen siendo “muy bien conocidas por los expertos del ecosistema”. Por ejemplo, quienes se dedican a la ingeniería inversa de drones tienen un conocimiento general de las vulnerabilidades de una gran variedad de drones y fabricantes.
Cuando se teme que el malware entre en el entorno corporativo, Theimer observó que “las organizaciones implementan una brecha” entre los drones y los dispositivos asociados con el soporte de éstos y el resto de la red corporativa, para garantizar que el equipo nunca se conecte a la red corporativa.
“Los drones presentan amenazas de ciberseguridad para una organización y conllevan el riesgo de que los datos se vean comprometidos”, dijo Samuel Rostrow, un especialista en programas de seguridad de infraestructura de la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA). CISA emitió una alerta industrial en 2019 a la comunidad de infraestructuras críticas advirtiendo de la amenaza que los drones fabricados en el extranjero podrían suponer para la información sensible de una organización. La información y recomendaciones de la alerta fueron reafirmadas el pasado mes de julio por la Declaración del Departamento de Defensa sobre los sistemas DJI.
Cómo los atacantes ponen en peligro los drones
A David Armand, experto en seguridad de sistemas integrados de Orange, le preocupa que las inversiones en seguridad de drones “sigan siendo bajas en comparación con el costo del producto. Los drones son objetivos deseados, ya que los ataques cuestan mucho menos que el valor de un dron profesional o de entretenimiento. Las amenazas se dividen en dos familias: ataques a un dron y ataques realizados con un dron”.
La extracción de información del propio dron es un punto de vulnerabilidad. Los sistemas son vulnerables durante las comunicaciones entre el operador y el propio dron. Theimer apuntó a aquellas “vulnerabilidades que permiten observar, interrumpir o tomar el control del enlace de mando a control”.
La investigación de Armand muestra que comprometer el software o el hardware de un dron, o incluso el controlador (por ejemplo, un teléfono móvil) puede lograrse mediante un ataque a la cadena de suministro. Ofrece dos ejemplos:
- Manipulando el archivo de diseño de la hélice de una impresora 3D, lo que permite que el dron vuele a gran altura antes de que la hélice se rompa.
- Reuniendo la información recogida en el teléfono (ID de la red celular y ubicación GPS del usuario y del dron), permitiendo a los atacantes realizar “actualizaciones forzadas” y ejecutar un código sin control del usuario.
A Theimer le preocupa que “muchos fabricantes hoy en día heredan y utilizan paquetes de software desarrollados por comunidades que no siempre están diseñados o analizados teniendo en cuenta la seguridad”. A medida que los drones sean más capaces y complejos, la oportunidad de que proliferen las vulnerabilidades no hará más que aumentar.
Al igual que con la mayoría de las consideraciones de seguridad en torno al uso de la tecnología emergente, un modelo de amenaza y un análisis de riesgo asociado al uso de drones en línea con la postura de riesgo de la organización es generalmente el mejor enfoque. El objetivo de Theimer para el sector es “garantizar que el riesgo asociado a la utilización de drones y la preparación cibernética estén en consonancia con la postura de seguridad de la organización”.
Los proveedores de drones deben centrarse en la seguridad
El mercado comercial de las soluciones cibernéticas centradas en los drones es aún incipiente, ya que el número de ataques denunciados es todavía relativamente pequeño. Por lo tanto, la demanda para priorizar la seguridad de los drones es baja. “Pocas organizaciones están realizando inversiones significativas en ciberseguridad. Aunque algunos de los principales fabricantes de drones han realizado inversiones significativas e intencionadas, posiblemente como resultado del publicitado escrutinio del gobierno estadounidense, muchos drones siguen siendo inseguros”, afirmó Theimer.
“Las empresas deben centrarse en mejorar la seguridad del producto, especialmente en relación con el software de la plataforma a bordo del dron, y las comunicaciones hacia y desde el dron para mitigar el potencial de toma de control del dron o la pérdida de mando”, dijo Rik Parker, director de servicios de ciberseguridad de KPMG. “Por ejemplo, las vulnerabilidades potenciales pueden extenderse a la cadena de suministro, donde a menudo hay varios puntos de custodia y pueden depender del código de fuente abierta. Esto puede llevar a depender de un proceso de desarrollo por parte de terceros de un código seguro para una pieza crítica de hardware que, si se ve afectada, podría conducir a la pérdida de datos sensibles, inteligencia o incluso la pérdida potencial de vidas”, comentó.
Dada la sensibilidad del despliegue de drones, Parker sugirió que los proveedores añadan una capa de cobertura para la supervisión del acceso y el análisis del comportamiento para identificar posibles riesgos o amenazas. Esto proporcionaría indicadores de riesgo antes o durante una brecha.
Orange realizó una evaluación de seguridad de un producto de Parrot Corp. Armand reveló que “tuvieron un interesante intercambio técnico con ellos a través de la Comunidad de Expertos en Seguridad de Orange”. Parrot abordó la ciberseguridad en diferentes niveles para los drones profesionales:
- Protección contra el redireccionamiento del GPS mediante el uso de constelaciones de múltiples satélites.
- Protección contra las interferencias mediante el cálculo de la posición a través de la medición de la deriva utilizando técnicas de odometría.
- Uso de conectividad celular, en lugar de Wi-Fi, para un protocolo de radio más seguro para la gestión de drones.
- Autenticación del dron mediante un certificado único del dispositivo almacenado de forma segura en un elemento seguro.
Armand cita empresas como Regulus, InfiniDome y Septentrio, que disponen de productos comerciales para la detección, mitigación y notificación de ataques de redireccionamiento del GNSS. Señala que empresas mucho más grandes, como Thales e Intel, también se dedican a la seguridad de los drones.
Michael Robbins, vicepresidente ejecutivo de la Asociación Internacional de Sistemas de Vehículos No Tripulados, consideró que tanto el sector comercial como el de defensa se centran en “garantizar el almacenamiento y la transferencia de datos, la retención y la eliminación de los mismos, la seguridad del enlace de datos para las operaciones de los drones y la supervisión de las brechas o malwares”. Señaló que las diferencias entre el sector comercial y el de defensa radican en “el tipo de ciberataques de los que se defienden, los datos y la información que aseguran y los requisitos legales en torno a la seguridad, las operaciones y los informes“.
Los reglamentos y marcos de control para la seguridad de los drones son necesarios
Un coro cada vez más numeroso de expertos consideró que es necesario mejorar la normativa para afrontar el reto de la ciberseguridad de los drones. Por ejemplo, Parker consideró que los productos para drones “deberían regirse por controles estrictos de ciberseguridad que protejan la plataforma de software para los servicios previstos por el dron y los mecanismos de comunicación y control”. Consideró que son necesarios nuevos marcos de control.
De hecho, se está avanzando en la elaboración de reglamentos y marcos. La Casa Blanca emitió la Orden Ejecutiva 13981 en 2021, que ordena a las entidades federales a evaluar y limitar el uso federal de drones “cubiertos” (según la definición de la OE). CISA ha estado recomendando buenas prácticas de ciberseguridad para mitigar los riesgos y está presionando a la industria para que se centre en los drones compatibles con Blue UAS, que están certificados por el DoD, para cumplir con las normas federales de ciberseguridad.
La mayoría de los expertos consultados para este artículo ven un aumento del interés por la ciberseguridad de los drones. Hablando del mundo más amplio de la ciberseguridad, Anderson, de KPMG, mencionó que “ya no puede considerarse únicamente un reto empresarial. Es un reto de ingeniería, producción y operaciones mucho más amplio y complejo. Requiere de nuevos enfoques que tengan en cuenta las posibles vulnerabilidades, como la infiltración en el software y la electrónica, la modificación de las comunicaciones enviadas desde y hacia el dron, y su plataforma informática en la nube o en la empresa”.
-Gordon Feller, cio.com
