Logo Computerworld University

El lenguaje de la tecnología

Escudo Computerworld University

Los drones como objetivo de ataques: los proveedores deben mejorar sus esfuerzos de ciberseguridad

25 ABR 2022  | Gordon Feller

El creciente uso comercial y las escasas defensas incorporadas convierten a los drones en un objetivo atractivo para los agentes maliciosos.

También te puede interesar:
dron

Los operadores de infraestructuras críticas, las fuerzas de seguridad y todos los niveles de la administración pública están ocupados incorporando drones a sus operaciones cotidianas. Los drones se están utilizando para apoyar una serie de aplicaciones para la infraestructura tradicional, así como para la agricultura, los servicios públicos, la fabricación, el petróleo y el gas, la minería y las industrias pesadas.

Los fabricantes de drones y los usuarios finales de la industria están empezando a reconocer que todos los elementos de sus empresas tienen lo que Jono Anderson, director de estrategia e innovación de KPMG, denomina "sólidas capacidades que abarcan los drones individuales, las flotas conectadas de drones, las capacidades de la nube y la comunicación entre ellos".

 

Los drones son "ordenadores voladores" y un vector de ataque

A pesar de sus potenciales vulnerabilidades, muchos sistemas de drones no utilizan arquitecturas de seguridad de alto nivel. Según Anderson, "en un sistema conectado de drones, la creciente ‘niebla’ en las comunicaciones internas y entre drones crea múltiples vectores de ataque que podrían exponer los sistemas críticos de un dron individual o de toda la flota y, potencialmente, toda la nube y la empresa".

Aunque los drones ofrecen beneficios probados a los operadores, también plantean graves riesgos de ciberseguridad. Un dron es esencialmente un ordenador volador y, al igual que los ordenadores, están plagados de potenciales ciberamenazas. Joshua Theimer, director senior de consultoría tecnológica de EY, afirma que “gran parte de lo que las organizaciones están haciendo se centra en garantizar que los drones operen de acuerdo con las regulaciones externas a nivel estatal y federal". Dado que muchos de los drones que se adquieren actualmente son propiedad del fabricante, Theimer sostiene que es fundamental contar con una "estrategia de seguridad organizativa fundamental" que proporcione la seguridad adecuada en torno al ecosistema en el que se utiliza el dron.

 

"Las empresas deben centrarse en mejorar la seguridad del producto, especialmente en relación con el software de la plataforma a bordo del dron, y las comunicaciones desde y hacia el dron, para mitigar el potencial de toma de control o la pérdida de mando"

 

Rik Parker, director de servicios de ciberseguridad de KPMG

 

La ciberseguridad no ha sido históricamente una prioridad importante para los fabricantes de drones, ni para los usuarios de los mismos. La evaluación de Theimer es que las vulnerabilidades de los drones siguen siendo "muy bien conocidas por los expertos del ecosistema". Por ejemplo, quienes se dedican a la ingeniería inversa de drones tienen un conocimiento general de las vulnerabilidades de una gran variedad de drones y fabricantes.

Cuando se teme que el malware entre en el entorno corporativo, Theimer observó que "las organizaciones implementan una brecha" entre los drones y los dispositivos asociados con el soporte de éstos y el resto de la red corporativa, para garantizar que el equipo nunca se conecte a la red corporativa.

"Los drones presentan amenazas de ciberseguridad para una organización y conllevan el riesgo de que los datos se vean comprometidos", dice Samuel Rostrow, un especialista en programas de seguridad de infraestructura de la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA). CISA emitió una alerta industrial en 2019 a la comunidad de infraestructuras críticas advirtiendo de la amenaza que los drones fabricados en el extranjero podrían suponer para la información sensible de una organización. La información y recomendaciones de la alerta fueron reafirmadas el pasado mes de julio por la Declaración del Departamento de Defensa sobre los sistemas DJI.

 

Cómo los atacantes ponen en peligro los drones

A David Armand, experto en seguridad de sistemas integrados de Orange, le preocupa que las inversiones en seguridad de drones "sigan siendo bajas en comparación con el coste del producto. Los drones son objetivos deseados, ya que los ataques cuestan mucho menos que el valor de un dron profesional o de entretenimiento. Las amenazas se dividen en dos familias: ataques a un dron y ataques realizados con un dron".

La extracción de información del propio dron es un punto de vulnerabilidad. Los sistemas son vulnerables durante las comunicaciones entre el operador y el propio dron. Theimer apunta a aquellas "vulnerabilidades que permiten observar, interrumpir o tomar el control del enlace de mando a control".

La investigación de Armand muestra que comprometer el software o el hardware de un dron, o incluso el controlador (por ejemplo, un teléfono móvil) puede lograrse mediante un ataque a la cadena de suministro. Ofrece dos ejemplos:

  • Manipulando el archivo de diseño de la hélice de una impresora 3D, lo que permite que el dron vuele a gran altura antes de que la hélice se rompa.
  • Reuniendo la información recogida en el teléfono (ID de la red celular y ubicación GPS del usuario y del dron), permitiendo a los atacantes realizar "actualizaciones forzadas" y ejecutar un código sin control del usuario.

A Theimer le preocupa que "muchos fabricantes hoy en día heredan y utilizan paquetes de software desarrollados por comunidades que no siempre están diseñados o analizados teniendo en cuenta la seguridad". A medida que los drones sean más capaces y complejos, la oportunidad de que proliferen las vulnerabilidades no hará más que aumentar.

Al igual que con la mayoría de las consideraciones de seguridad en torno al uso de la tecnología emergente, un modelo de amenaza y un análisis de riesgo asociado al uso de drones en línea con la postura de riesgo de la organización es generalmente el mejor enfoque. El objetivo de Theimer para el sector es "garantizar que el riesgo asociado a la utilización de drones y la preparación cibernética estén en consonancia con la postura de seguridad de la organización".

 

Los proveedores de drones deben centrarse en la seguridad

El mercado comercial de las soluciones cibernéticas centradas en los drones es aún incipiente, ya que el número de ataques denunciados es todavía relativamente pequeño. Por lo tanto, la demanda para priorizar la seguridad de los drones es baja. "Pocas organizaciones están realizando inversiones significativas en ciberseguridad. Aunque algunos de los principales fabricantes de drones han realizado inversiones significativas e intencionadas, posiblemente como resultado del publicitado escrutinio del gobierno estadounidense, muchos drones siguen siendo inseguros", afirma Theimer.

"Las empresas deben centrarse en mejorar la seguridad del producto, especialmente en relación con el software de la plataforma a bordo del dron, y las comunicaciones hacia y desde el dron para mitigar el potencial de toma de control del dron o la pérdida de mando", dice Rik Parker, director de servicios de ciberseguridad de KPMG. "Por ejemplo, las vulnerabilidades potenciales pueden extenderse a la cadena de suministro, donde a menudo hay varios puntos de custodia y pueden depender del código de fuente abierta. Esto puede llevar a depender de un proceso de desarrollo por parte de terceros de un código seguro para una pieza crítica de hardware que, si se ve afectada, podría conducir a la pérdida de datos sensibles, inteligencia o incluso la pérdida potencial de vidas", comenta. 

Dada la sensibilidad del despliegue de drones, Parker sugiere que los proveedores añadan una capa de cobertura para la supervisión del acceso y el análisis del comportamiento para identificar posibles riesgos o amenazas. Esto proporcionaría indicadores de riesgo antes o durante una brecha.

Orange realizó una evaluación de seguridad de un producto de Parrot Corp. Armand reveló que "tuvieron un interesante intercambio técnico con ellos a través de la Comunidad de Expertos en Seguridad de Orange". Parrot aborda la ciberseguridad en diferentes niveles para los drones profesionales:

  • Protección contra el redireccionamiento del GPS mediante el uso de constelaciones de múltiples satélites.
  • Protección contra las interferencias mediante el cálculo de la posición a través de la medición de la deriva utilizando técnicas de odometría.
  • Uso de conectividad celular, en lugar de Wi-Fi, para un protocolo de radio más seguro para la gestión de drones.
  • Autenticación del dron mediante un certificado único del dispositivo almacenado de forma segura en un elemento seguro.

Armand cita empresas como Regulus, InfiniDome y Septentrio, que disponen de productos comerciales para la detección, mitigación y notificación de ataques de redireccionamiento del GNSS. Señala que empresas mucho más grandes, como Thales e Intel, también se dedican a la seguridad de los drones.

Michael Robbins, vicepresidente ejecutivo de la Asociación Internacional de Sistemas de Vehículos No Tripulados, considera que tanto el sector comercial como el de defensa se centran en "garantizar el almacenamiento y la transferencia de datos, la retención y la eliminación de los mismos, la seguridad del enlace de datos para las operaciones de los drones y la supervisión de las brechas o malwares". Señala que las diferencias entre el sector comercial y el de defensa radican en "el tipo de ciberataques de los que se defienden, los datos y la información que aseguran y los requisitos legales en torno a la seguridad, las operaciones y los informes". 

 

Los reglamentos y marcos de control para la seguridad de los drones son necesarios

Un coro cada vez más numeroso de expertos cree que es necesario mejorar la normativa para afrontar el reto de la ciberseguridad de los drones. Por ejemplo, Parker cree que los productos para drones "deberían regirse por controles estrictos de ciberseguridad que protejan la plataforma de software para los servicios previstos por el dron y los mecanismos de comunicación y control". Considera que son necesarios nuevos marcos de control.

De hecho, se está avanzando en la elaboración de reglamentos y marcos. La Casa Blanca emitió la Orden Ejecutiva 13981 en 2021, que ordena a las entidades federales a evaluar y limitar el uso federal de drones "cubiertos" (según la definición de la OE). CISA ha estado recomendando buenas prácticas de ciberseguridad para mitigar los riesgos y está presionando a la industria para que se centre en los drones compatibles con Blue UAS, que están certificados por el DoD, para cumplir con las normas federales de ciberseguridad.

La mayoría de los expertos consultados para este artículo ven un aumento del interés por la ciberseguridad de los drones. Hablando del mundo más amplio de la ciberseguridad, Anderson, de KPMG, cree que "ya no puede considerarse únicamente un reto empresarial. Es un reto de ingeniería, producción y operaciones mucho más amplio y complejo. Requiere de nuevos enfoques que tengan en cuenta las posibles vulnerabilidades, como la infiltración en el software y la electrónica, la modificación de las comunicaciones enviadas desde y hacia el dron, y su plataforma informática en la nube o en la empresa."



 Imprimir  Subir

TE PUEDE INTERESAR...

Barómetro particulares

Fintech

La generación Z se fía más de las telecomunicaciones para hacer pagos

"Fintech" es un concepto en constante evolución

Educación

"Fintech" es un concepto en constante evolución

Persona con móvil

Fintech

El 55% de los clientes de banca españoles abriría una cuenta con empresas tecnológicas si ofrecieran productos financieros

Vista de pantalla de CyberArk Secure Browser

Ciberseguridad

CyberArk anuncia Secure Browser un navegador seguro centrado en la identidad

Joan Ballester, CEO de Ticnova, y Javier Fernández, propietario de Flytech

Tecnología

Ticnova impulsa una estrategia de tiendas de proximidad en informática

Madrid

Empleo

El sector tecnológico de la información y la comunicación es el mejor para trabajar en España

Las certificaciones profesionales de Microsoft ayudan a las empresas a encontrar talento

Educación

Las certificaciones profesionales de Microsoft ayudan a las empresas a encontrar talento

colaboración

Tendencias

UNIR, Qualentum y Vass University se unen para lanzar nuevas titulaciones de IA y desarrollo de apps para móviles

ciberseguridad

Ciberseguridad

Se filtran 54 000 millones de cookies: ¿Por qué interesan a los hackers?

Protección de menores en Internet: "Prohibir no es la solución"

Ciberseguridad

Protección de menores en Internet: "Prohibir no es la solución"

El desafío de la ética en la Inteligencia Artificial mejor con el estándar ISO 42001

Tecnología

El desafío de la ética en la Inteligencia Artificial mejor con el estándar ISO 42001

BBVA ha extendido su compromiso con la ciberseguridad a la sociedad en general

Ciberseguridad

BBVA ha extendido su compromiso con la ciberseguridad a la sociedad en general

Martín Piqueras, profesor de OBS Business School y Experto en estrategia digital en Gartner

Ciberseguridad

Opinión: La Audiencia Nacional suspende el bloqueo de Telegram

Ciberseguridad y Fintech, claves para un desarrollo común

Fintech

Ciberseguridad y Fintech, claves para un desarrollo común

ordenador cuántico

Tecnología

Ibermáca Fundazioa mide el impacto de las tecnologías cuánticas en las empresas

ciberseguridad

Ciberseguridad

El Grupo Eulen anuncia la expansión global de su línes de cibreseguridad

Últimas Noticias

18 ABR 2024

liderazgo Liderazgo & Gestión TI


Contenidos Computerworld

Registro:

Eventos: