Cómo afectan los drones su modelo de amenazas

0
21

Es poco probable que la mayoría de los líderes de seguridad hayan considerado a los drones en la lista de amenazas de las que deben defenderse en el campo de la seguridad cibernética o física. Sin embargo, los expertos en seguridad señalan que los drones pueden introducir nuevos riesgos que las organizaciones deben reconocer y abordar de manera proactiva, incluso si una organización no los está utilizando.

Recientemente, un número creciente de organizaciones ha estado desplegando drones, o vehículos aéreos no tripulados (UAV) o sistemas de aeronaves no tripuladas (UAS), para una variedad de aplicaciones. Los ejemplos incluyen el monitoreo de cultivos, inspección de emplazamientos y terrenos, inspección de la infraestructura de servicios públicos, entrega de bienes y verificación del inventario de los almacenes.

Amazon ha recibido mucha atención por su servicio de delivery con drones Prime Air, pero otros han estado llevando a cabo sus propios proyectos con drones de manera silenciosa. La empresa de energía Southern Company, por ejemplo, ha estado utilizando drones para inspecciones de infraestructura, evaluación de daños causados por tormentas y manejo de vegetación. Allstate Insurance utiliza drones para evaluar los daños a la propiedad en varios estados. Shell realiza la vigilancia de sus activos de esquisto a nivel mundial con drones, CVS y UPS se han asociado para ofrecer un servicio rápido de entrega de medicamentos recetados a través de drones.

La firma analista Gartner ha predicho que las ganancias de productividad que hacen posibles los drones impulsarán la demanda de la tecnología por parte de las empresas e impulsarán la base instalada de 324 mil el año pasado a más de nueve millones en todo el mundo para el 2028.

A medida que el uso de drones cobra gran impulso, las organizaciones deben ser conscientes de los nuevos riesgos que estos introducen, señala James Acevedo, presidente de Star River, Inc., una consultora de seguridad de drones con sede en Toronto. «Un drone es una herramienta que se puede utilizar en casi cualquier situación”, asegura Acevedo. «Si quiero tomar una foto, puedo ponerle una cámara. Si quiero escuchar la conversación de alguien, puedo poner un dispositivo de escucha. Si quisiera falsificar una red Wi-Fi, podría poner una herramienta de cracking de Wi-Fi. Se puede agregar casi cualquier tipo de tecnología debajo de un drone y hacer que vuele”, comenta.

Estos son algunos de los problemas de seguridad que las organizaciones deben considerar en sus modelos de amenazas, ya sea que usen drones o no.

Vigilancia y ataques físicos
La capacidad de un drone para penetrar las defensas terrestres tradicionales y mantener al operador alejado del sitio del ataque lo convierte en un arma potente en manos de un adversario, anota Max Klein, director de tecnología de la empresa fabricante de piezas y equipos de aeronaves SCI Technology, Inc. El ejército ha aprovechado durante mucho tiempo estas capacidades para llevar a cabo inteligencia, vigilancia y reconocimiento, asegura.

«Las medidas tradicionales de seguridad física protegen contra las cosas que nadan, gatean, caminan o corren”, explica Klein. «Sin embargo, en la mayoría de los entornos comerciales hay muy poco que protege contra las amenazas aéreas”.

Las cercas de alambre de púas y los sistemas de detección de intrusión perimetral, como los sensores de infrarrojos pasivos (PIR), las líneas de disparo láser o electroópticas, los equipos de detección de vibraciones enterrados o el análisis de los videos CCTV, tienen una probabilidad casi nula de detectar un UAS pequeño, indica Klein. Incluso si una contramedida efectiva de UAS pudiera ser empleada, la naturaleza de la operación remota inalámbrica o preprogramada del UAS generalmente protege al operador de ser fácilmente identificado, localizado y detenido.

«Desde varios cientos de metros de distancia, muchos drones son casi invisibles en el cielo y no se pueden escuchar por encima de los ruidos de fondo normales medidos desde el suelo; pero a estas distancias muchas cámaras pueden no solo detectar sino identificar personas individuales”, explica Klein. Como resultado, los drones pueden permitir una vigilancia mucho más cercana, persistente y, a menudo, totalmente indetectable de instalaciones sensibles a diferencia de otras tecnologías. Esta capacidad de vigilancia no se limita a la vigilancia óptica.

«El hardware simple, como el popular Raspberry Pi con dongles de radio USB, se puede combinar con software de prueba de penetración para intentar obtener acceso a dispositivos inalámbricos no asegurados dentro de los límites físicos de una instalación ‘segura’”, señala Klein. «Sin una seguridad de red integral en el interior, un único punto vulnerable, como un WAP con firmware desactualizado o una impresora cableada con capacidades inalámbricas que se quedó con los valores predeterminados de fábrica, puede servir de punto de partida para un ataque interno más grande”.

Actualmente se dispone de tecnologías de detección de drones que permiten a las organizaciones identificar y rastrear drones que se desplazan sobre o cerca de sus instalaciones. Existen herramientas que pueden bloquear la señal de un drone y hacer que caiga del cielo.

Sin embargo, al menos en los Estados Unidos, hay poco que las organizaciones en la mayoría de los sectores puedan hacer proactivamente para interferir con el funcionamiento de un drone además de contactar a las fuerzas policiales, señala Mark Schreiber, consultor principal de Safeguards Consulting, una empresa de consultoría profesional de servicios de seguridad física.

«Generalmente, los drones son tratados como cualquier otra aeronave”, anota Schreiber. «Va contra la ley interferir con alguien que vuela un drone cerca de sus instalaciones”. Por lo tanto, es importante evaluar los riesgos de que drones sean utilizados por adversarios, la probabilidad de que eso suceda y saber cuál debería ser la respuesta adecuada, señala.

El apoderamiento de drones
Los drones pueden ser hackeados y secuestrados. En un incidente ocurrido en diciembre del 2011 que fue ampliamente publicitado, el gobierno de Irán afirmó que su unidad de ciberguerra había bloqueado con éxito los enlaces de comunicaciones de un drone espía estadounidense, y reconfigurado las coordenadas GPS de la unidad para obligar al UAV a aterrizar en Irán en lugar de su base en Afganistán. Un par de años antes, los ingenieros del país afirmaron que habían sido capaces de interceptar y descargar videos en vivo de drones Predator de EE.UU.

Si bien algunos han cuestionado la validez de estas afirmaciones, las organizaciones deben ser conscientes de la posibilidad de que sus drones puedan ser controlados y hackeados de manera similar. Hasta ahora, ha habido pocos casos conocidos públicamente de un adversario que haya tomado el control de un drone comercial. Existe mucha investigación que demuestra que es técnicamente factible.

«En muchos de los casos en que un drone puede ser puesto en contra del propietario, el vector más común es la comunicación inalámbrica que proporciona la plataforma del drone”, asegura Schreiber. De hecho, ya en el 2013, un investigador de seguridad demostró cómo un adversario podía configurar un drone para encontrar otros drones en el aire a una distancia de Wi-Fi, hackear su red inalámbrica, desconectar al propietario original y tomar el control.

La realidad es que la comunicación entre el control remoto de un drone y el UAV y la electrónica de control de vuelo de la propia unidad pueden ser hackeadas, al igual que en cualquier sistema conectado, dicen los analistas.

El controlador de vuelo a bordo en un alto porcentaje de drones se basa en tecnología de código abierto que no ha sido completamente examinada en cuestiones de seguridad, añade Acevedo. «Por lo tanto, no son seguros en absoluto”, indica.

Un análisis de seguridad de drones publicado en mayo del 2020 en la plataforma ScienceDirect de Elsevier, identificó múltiples amenazas y vulnerabilidades en los UAVs. Entre estas se encuentran la suplantación de GPS, la infección por malware, la interferencia e interceptación de datos y la manipulación maliciosa. Por ejemplo, los enlaces que transmiten video y otros datos hacia y desde ciertos tipos de drones no están cifrados, haciendo que la información sea susceptible de acaparamiento, modificación e inyección de código malicioso. «Muchos UAVs tienen graves defectos de diseño, y la mayoría de ellos están diseñados sin protección de seguridad inalámbrica”, señala el documento.

El creciente uso de enlaces de datos cifrados, incluidos los productos básicos WPA/WPA2/WPA3, debería reducir significativamente la probabilidad de apoderamiento de drones en los próximos años, anota Klein. «[Pero] a medida que los sistemas no tripulados continúen alejándose de las operaciones de línea de visión pilotadas puramente de forma remota hacia las operaciones más allá de la línea de visión (BLOS) sin la supervisión directa del operador, la superficie de ataque aumentará para tales apoderamientos”. Una planificación cuidadosa de la seguridad para estos sistemas de comando y control aéreo seguirá siendo fundamental, como lo ha sido para otros sistemas industriales SCADA e IoT, anota.

Amenazas a los datos de drones
Las organizaciones que utilizan drones por cualquier motivo deben tener un plan de gestión formal y un proceso para proteger los datos que recopila el sistema. Eso incluye saber quién recopila los datos y por qué, quién los gestiona y controla, y qué medidas de seguridad existen para protegerlos, explica Acevedo. «Cuando su drone regresa a su lugar de trabajo, ¿a dónde van los datos y quién tiene acceso a ellos?”, señala.

A veces se tiende a pensar que los datos recopilados por un drone tienen poco valor para un adversario. Los datos geoespaciales rutinarios o relacionados con la infraestructura de una organización, podrían significar datos internos para un rival. La realidad es que los drones comerciales pueden recopilar una gran cantidad de datos sensibles y potencialmente impactantes para los negocios, por lo que deben ser protegidos. Muchos vienen equipados con capacidades de almacenamiento de datos relativamente grandes y cada vez mayores.

Una forma de minimizar el riesgo de robo de datos, para aquellos que estén dispuestos a volar sus drones esencialmente a ciegas y en la oscuridad, es asegurarse de que su drone nunca se conecte a una red Wi-Fi u otra red mientras esté en funcionamiento, señala Acevedo. Una vez aterrizado, debe tener pautas establecidas para extraer los datos del drone. Idealmente, esto debería hacerse sin conectar el drone a ninguna red. «Se extraen los datos, se aíslan en una unidad separada, se desinfectan y luego se conecta la memoria USB”, indica. Insertar la memoria es un compromiso porque a veces puede hacer que se borren todos los datos que contiene, incluidos algunos que podrían ser necesarios para fines operativos.

Los datos de un drone son como los datos de cualquier sistema informático que necesita protección. «Simplemente resulta ser una plataforma móvil”, anota Schreiber. Es importante comprender lo que hay en la plataforma e implementar medidas para protegerla. «Una vez que capture esos datos, extráigalos de una conexión directa desde la propia unidad y limpie la unidad antes de que vuelva a conectarse a una red”.

Preocupaciones sobre la cadena de suministro de drones
En enero del 2020, el Departamento del Interior de los Estados Unidos suspendió temporalmente todos sus UAVs que no estaban siendo utilizados para fines de emergencia, como la lucha contra incendios forestales o la asistencia en operaciones de búsqueda y rescate. La medida surgió de la preocupación de que los drones fabricados en otros países, específicamente China, pudieran usarse para espiar y recopilar datos de los lugares donde fuesen utilizados. El Pentágono ya había dicho que dejaría de usar drones de la empresa DJI con sede en China, el mayor fabricante de drones pequeños del mundo, citando vulnerabilidades en la tecnología. La Ley de Autorización de la Defensa Nacional de EE.UU. para el año fiscal 2020 actualmente prohíbe el uso federal o la adquisición de UAVs de fabricación extranjera.

Si bien DJI y el gobierno chino han señalado que las decisiones fueron motivadas políticamente, los expertos en seguridad sí destacan un punto importante: las organizaciones deben prestar atención a su proveedor de drones.

Muchos drones pueden «llamar a casa” para recibir actualizaciones del fabricante. La preocupación es que la función se puede utilizar para desviar datos del UAV en secreto. «Tanto los sistemas del drone como el software del control remoto, que normalmente funciona con un teléfono móvil o tableta conectada a un controlador especializado, son increíblemente complejos”, asegura Klein. La complejidad de estos sistemas y sus comunicaciones hace que sea extremadamente difícil analizar su seguridad, incluso con técnicas como la inspección profunda de paquetes dentro de una red corporativa, explica.

Así que, cuando un UAV transmite telemetría, podría deberse simplemente que los datos se están utilizando para mejorar los productos de los proveedores, o el motivo podría ser malicioso. La telemetría de uno de sus drones puede proporcionar información sobre cómo, dónde y cuándo se usan sus otros drones, e incluso exponer imágenes, tipos y direcciones de dispositivos electrónicos conectados o cercanos, señala Klein.

Como parte de la debida diligencia, las organizaciones deben investigar al fabricante de drones para identificar dónde se escribió el código y la procedencia de todos los componentes utilizados en la unidad. «El aspecto clave que quisiera reforzar es la necesidad de un programa de gestión de drones”, indica Schreiber. «Los drones deben ser incorporados en el proceso de gestión de riesgos”, para las organizaciones que están considerando UAVs. «Es un riesgo nuevo, pero debe ser evaluado y gestionado”.

Jaikumar Vijayan, CSOonline.com