Un vehículo aéreo no tripulado o RPA (Remotely Piloted Aircraft) es, en términos generales, una aeronave que vuela sin un piloto a bordo. La aeronave es controlada por un piloto en tierra o por un computador embarcado. El propio hecho de que el piloto no se encuentre a bordo nos obliga a disponer de otros mecanismos técnicos para suplir esa carencia, tales como un enlace de comunicaciones o un sistema de navegación. Estos dos sistemas suponen la principal vulnerabilidad de los RPAs.
Muchos medios de comunicación han publicado diversas noticias haciéndose eco de sucesos que ponen de manifiesto las vulnerabilidades de los RPAs. En 2009 se descubrió que un grupo terrorista Iraquí había conseguido capturar el vídeo procedente de un UAV de Estados Unidos empleando SkyGrabber, un software comercial ruso para descargar vídeo por satélite. Otro de los incidentes destacados en el marco de los ataques cibernéticos a UAVs es el caso del RQ-170, un drone estadounidense que fue capturado por Irán en el 2011 mientras sobrevolaba su espacio aéreo. La televisión iraní difundió un vídeo que muestra a varios mandos militares iraníes inspeccionando el avión Sentinel RQ-170, lo que significa que el drone había sido capturado sin haberlo derribado. Aunque no es un hecho demostrado, fuentes especializadas indican que se empleó un ataque de “GPS Spoofing” para conseguir capturar el RQ-170. Ya como anécdota, un año más tarde, en 2012, Irán afirmó que había logrado replicar el RQ-170 mediante ingeniería inversa.
Principios básicos de los UAS
Antes de analizar las vulnerabilidades de los UAS, es importante entender que los sistemas aéreos no tripulados (UAS) no solo están compuestos por la plataforma de vuelo (UAV) sino también del segmento terrestre donde se sitúa la estación de control. En la figura se muestra un modelo general de los componentes de un UAS estándar.
El segmento aéreo (UAV) está formado por tres componentes principales:
- La plataforma engloba la estructura, motores, servomotores, tren de aterrizaje, etc.
- La aviónica está formada por todos los sistemas electrónicos que permiten el vuelo autónomo del UAV: el enlace de comunicaciones, el controlador de vuelo o el sistema de navegación.
- La carga de pago está compuesta por uno o varios sensores necesarios para ejecutar la misión del UAV, la carga de pago más común son las cámaras pero pueden existir otras como radares, lidares, sensores ambientales, etc.
Modelo general de los componentes de un UAS estándar.
La aviónica a su vez está compuesta por:
- El sistema de navegación, que permite el vuelo autónomo del UAV, determinando tanto su posición como actitud para volar siguiendo la ruta preestablecida.
- Los enlaces de comunicaciones permiten la comunicación inalámbrica entre el UAV y la estación de control en tierra. Es común que existan enlaces de comunicaciones diferenciados para el mando y control (comúnmente conocido como enlace de C2 – Command and Control) y para la carga de pago. Además, también es importante destacar que estas comunicaciones pueden ser tierra-aire (directo) o vía satélite (indirecto).
- El control de vuelo se encarga de controlar los elementos activos del UAV (motor/es, alerones, timón, estabilizador, etc) para seguir la trayectoria demandada por el sistema de navegación.
- Algunos ejemplos de sensores de vuelo son: receptor GNSS, sensores inerciales, altímetros, sensor de presión, etc.
Otro aspecto importante a considerar es el flujo de información entre el UAV y su entorno. Las dos conexiones operacionales más importantes desde el punto de vista de la seguridad son: 1) la conexión bidireccional entre el sistema de comunicaciones y la estación de control de tierra y 2) el flujo de información desde el entorno a los sensores.
Vulnerabilidades
A continuación se evalúan las vulnerabilidades de seguridad basadas en el modelo de componentes presentado anteriormente. Esta revisión proporciona información sobre la susceptibilidad de cada componente a diferentes tipos de amenazas. Las principales amenazas las presentan los enlaces de comunicaciones, los sensores y el almacenamiento de datos.
Enlace de comunicaciones
Prácticamente la totalidad de los UAS necesitan al menos un enlace de datos para comunicar el UAV con su centro de control; habitualmente se emplea este enlace para recibir órdenes, acceder a las correcciones de posicionamiento, transmitir telemetría o transmitir en tiempo real la información captada por los sensores. Estos canales de comunicaciones suelen consistir en enlaces de radiofrecuencia, siendo las bandas habituales 433 MHz, 869 MHz, 915 MHz, 2400 Mhz y 5800 MHz. Cuando los UAS cuentan con enlaces por satélite pueden incluirse enlaces dedicados en banda C o banda Ku.
Los enlaces de comunicaciones pueden ser susceptibles de ciberataques clásicos como ataques por repetición, eavesdropping, man-in-the-middle o ataques de denegación de servicio (DoS) si presentan algún tipo de vulnerabilidad en la seguridad (por ejemplo la ausencia de encriptación). Este tipo de ataque es más probable cuando los enlaces de comunicaciones están basados en tecnologías estandarizadas como WiFi. Dejando de un lado los ciberataques, los enlaces inalámbricos son especialmente vulnerables a interferencias electromagnéticas (jamming), especialmente cuando se combinan con grandes cantidades de potencia y antenas directivas. Por último, es importante tener en cuenta que la mera existencia y uso de enlaces inalámbricos (por parte de los UAV) pueden presentar una vulnerabilidad, ya que la radiación electromagnética puede ser detectada y con esto descubrir la presencia y localización del UAV.
Se podría concluir por lo tanto que una buena encriptación del enlace de comunicaciones es imprescindible, pese a la latencia introducida y sobrecarga de procesado, sin embargo la realidad práctica es que esto no resulta suficiente. También será necesario añadir seguridad en las capas más bajas del stack de comunicaciones para hacer el enlace robusto y difícil de detectar (estas características pueden satisfacerse empleando técnicas como espectro ensanchado).
Un ejemplo podría ser el proyecto SINDA, desarrollado por el equipo de Comunicaciones Avanzadas de Gradiant. Se trata de un sistema de comunicaciones tierra-aire robusto y seguro que cuenta con dos interfaces radio en diferentes frecuencias con capacidad de balancear la carga en función de las interferencias presentes en el espectro. El conocimiento adquirido sobre los enlaces de comunicaciones de los UAS se está empleando en el sistema Counter UAS de Gradiant, tanto para la detección (empleando técnicas de inteligencia de señal), como para la neutralización (realizando ataques de denegación de servicio).
Sensores
Los UAS suelen contener diferentes sensores en función de su aplicación como cámaras o sistemas GPS. Los sensores pueden clasificarse en función de si se emplean para tomar una medida interna (voltaje de la batería) o externa (presión de aire). Desde el punto de vista de la seguridad, los sensores externos son más vulnerables ya que los parámetros externos pueden ser manipulados por el atacante. Merecen una especial atención los sensores GPS, ya que muchos drones comerciales emplean este sistema para la navegación, siendo por lo tanto un sistema crítico. El sistema GPS, especialmente el conocido como “GPS civil”, es susceptible ante ataques de interferencias (jamming) y a suplantación (conocida como GPS Spoofing). En el primer caso, el atacante genera interferencias en la banda L1 del GPS, consiguiendo que el UAV no pueda recibir la señal legítima. En el segundo caso, el atacante genera y transmite una señal GPS “falsa”, con esta técnica el atacante podrá desviar al UAV de su ruta original.
A modo de conclusión, para paliar las vulnerabilidades de la seguridad de los sensores, se recomienda emplear mecanismos de redundancia para validar los datos de diferentes sensores. Un ejemplo podría ser combinar la información GPS con la de los sensores inerciales para determinar la posición absoluta o, como mecanismo alternativo e incluso complementario, recurrir a sistemas de navegación GNSS dotados de capacidad de autentificación de la señal.
Almacenamiento de datos
Las vulnerabilidades del almacenamiento de datos se encuentran asociadas con el tipo de almacenamiento, el cifrado y la protección contra el acceso no autorizado.
El tipo de almacenamiento seleccionado para un dron puede suponer un riesgo crítico para la integridad de los datos almacenados. Por ejemplo, memorias volátiles como la RAM o la SDRAM no son recomendables para evitar que los datos se vuelvan corruptos (integridad). Los dispositivos de almacenamiento magnético tampoco son adecuados, ya que son fácilmente susceptibles a los campos magnéticos.
Algo común en los drones actuales es la ausencia de mecanismos de cifrado de datos. Esto puede causar una pérdida total de la confidencialidad si alguien no autorizado accede a ellos físicamente o incluso remotamente. En la misma línea, no vale la pena cifrar los datos si no se puede evitar el acceso no autorizado. Para prevenir este riesgo, se debe implementar un mecanismo de firma.
Retos de futuro
Si hablamos en términos de seguridad, está claro que los dispositivos de almacenamiento de los drones no están teniendo la importancia que merecen. Es por eso que desde este punto de vista, los mecanismos de seguridad como el cifrado y la firma están siendo olvidados por la mayoría de los fabricantes.
No obstante, y como ya hemos mencionado anteriormente, los puntos críticos en cuanto a seguridad están presentes en todo el modelo de componentes que conforman los complejos sistemas UAS. Por tanto, será necesario prestar atención a cada componente que lo integra de manera particular, ya que éstos pueden estar expuestos a diferentes tipos de amenaza según su naturaleza.
Autores: Jorge Munir, director de Comunicaciones Avanzadas; e Iago Gómez, responsable de UAS de Gradiant