Ciberseguridad en Drones: Más Allá de los Estándares y Regulaciones

• Ataques de Denegación de Servicio (DoS): Los drones han sido blanco de ataques de denegación de servicio (DoS), donde sus sistemas de comunicación se ven saturados, dejándolos inoperativos. Por ejemplo, se han registrado incidentes en América del Norte y Europa donde ciberataques han interrumpido el funcionamiento de drones. Puedes leer más sobre el aumento de los ataques DoS en este informe de F5 Labs.
• Acceso a Áreas Restringidas: Se han detectado drones no autorizados cerca de aeropuertos, causando interrupciones en vuelos y representando un riesgo significativo para la seguridad. Por ejemplo, se han reportado drones desconocidos en espacios aéreos restringidos, lo que ha llevado al cierre de operaciones en bases de la Fuerza Aérea y aeropuertos. Más detalles en este artículo de Newsweek.
• Uso Ilegal de Drones Comerciales: Los drones comerciales se han utilizado para actividades ilícitas, como el contrabando en prisiones o la vigilancia no autorizada. Por ejemplo, se ha debatido la prohibición de nuevas ventas de drones fabricados en China debido a su uso indebido. Puedes leer más sobre esto en AP News.

Estos ejemplos subrayan la importancia de contar con medidas de ciberseguridad sólidas para proteger dispositivos conectados como los drones frente a ataques maliciosos.

Regulaciones de Drones en la Unión Europea 

En la UE, las regulaciones sobre drones se dividen en tres categorías principales: Abierta, Específica y Certificada. Cada categoría tiene requisitos y consideraciones propias, incluidas las relativas a la ciberseguridad:

• Categoría Abierta: Dirigida a operaciones de bajo riesgo, se subdivide en tres subcategorías (A1, A2 y A3) y cinco clases (C0 a C4). Los requisitos de ciberseguridad son mínimos y se centran más en la seguridad operativa.
• Categoría Específica: Cubre operaciones de riesgo medio e incluye las clases C5 y C6. Requiere una autorización operativa de la Autoridad Nacional de Aviación e incorpora consideraciones más relevantes de ciberseguridad.
• Categoría Certificada: Para operaciones de alto riesgo, como el transporte de personas o mercancías peligrosas. Estos drones no siguen los requisitos de la normativa UAS, ya que se consideran aeronaves y deben cumplir con reglas de certificación similares. Los requisitos de ciberseguridad forman parte del proceso de certificación.

Regulaciones de Drones en Estados Unidos

En EE.UU., el principal requisito para los fabricantes de drones es garantizar la conformidad con el Sistema Nacional del Espacio Aéreo (NAS, por sus siglas en inglés). Esto incluye la incorporación de Identificación Remota Estándar (Remote ID), que funciona como una "placa digital" para los drones, permitiendo a las autoridades identificarlos y rastrearlos en tiempo real.

Servicios de Applus+ Laboratories

En Applus+ Laboratories ofrecemos servicios completos de ensayo y certificación para drones, ayudando a los fabricantes a cumplir con las regulaciones tanto de la UE como de EE.UU. Nuestros servicios incluyen:

• Ensayos y Certificación: Para todas las categorías de drones (Abierta, Específica y Certificada). Applus+ Laboratories es un Organismo Notificado para la certificación de drones según el Reglamento 2019/945 de la UE y ofrecemos servicios para el marcado CE y el cumplimiento de los requisitos de Remote ID.
• Soporte Operacional: Para evaluaciones de operaciones de alto riesgo, facilitando a los fabricantes el cumplimiento de marcos regulatorios complejos en materia de seguridad y protección.
• Evaluaciones de Ciberseguridad: Verificación del cumplimiento de estándares de seguridad, incluyendo evaluaciones de protocolos de comunicación, medidas de protección de datos y procesos de arranque seguro.

Aunque desde Applus+ Laboratories ayudamos a los fabricantes a cumplir con las regulaciones existentes, también ofrecemos servicios de ciberseguridad avanzados para ir más allá de estos requisitos. Dado que las regulaciones actuales son débiles en términos de ciberseguridad, Applus+ Laboratories proporciona evaluaciones especializadas para garantizar que los drones sean resistentes a diversas amenazas cibernéticas.

Falta de Regulaciones de Ciberseguridad en Drones

A pesar de la creciente integración de los drones en múltiples sectores, no existen regulaciones de ciberseguridad tan estrictas como las aplicadas a otros productos de TI, como terminales de pago, módems y sistemas operativos.

Estos productos deben cumplir con esquemas de certificación sólidos como Common Criteria (CC) o FIPS 140-3, que garantizan un alto nivel de seguridad. Por ejemplo:

• Terminales de pago: Deben estar certificados contra accesos no autorizados, filtraciones de datos y manipulación.
• Módems y sistemas operativos: Se evalúan en términos de protocolos de comunicación seguros, integridad de datos y protección contra malware.

En contraste, las regulaciones de drones no cubren de manera integral estos aspectos de ciberseguridad, dejando expuestos a los drones a múltiples amenazas cibernéticas.

Algunas vulnerabilidades específicas que otros productos de TI deben certificar, pero que las regulaciones de drones no contemplan, incluyen:

• Ingeniería inversa: Ataques de acceso físico (apertura del dispositivo) y ataques de canal lateral (SCA) para extraer información sensible.
• Fallas de configuración y software: Vulnerabilidades en sistemas operativos, configuraciones incorrectas y problemas de integridad en firmware y componentes de terceros.
• Actualizaciones inseguras: Explotación del proceso de actualización, incluyendo arranque, parches de software y actualizaciones de servicios.
• Problemas de comunicación: Ataques de fuzzing, fallos en protocolos y filtración de información.
• Denegación de Servicio (DoS): Ataques de GPS falso y redes saturadas que interrumpen la operación del dron.

Las evaluaciones de vulnerabilidad y pruebas de penetración pueden ayudar a identificar y mitigar estos riesgos, protegiendo mejor a los drones contra ciberataques.

Evaluaciones de Amenazas y Riesgos en Drones

En el contexto de los drones, un análisis de Amenazas y Riesgos evaluaría:

• Amenazas: Ataques de denegación de servicio (DoS), suplantación (spoofing) e interceptación de datos.
• Activos críticos: Sistema de control del dron, enlaces de comunicación y sensores integrados.
• Evaluación de riesgos: Basada en la probabilidad de ocurrencia y el impacto potencial en la operación y seguridad del dron.
• Identificación de atacantes potenciales: Hackers, competidores o infiltrados malintencionados.

Los estándares de ciberseguridad como Common Criteria (CC) pueden abordar estos problemas al proporcionar un marco para evaluar la seguridad de los drones. La certificación CC implica pruebas rigurosas para garantizar la protección contra accesos no autorizados, integridad de datos y comunicación segura.

Seguridad por Diseño

Una estrategia clave para mejorar la resiliencia de los drones ante ciberataques es implementar principios de Seguridad por Diseño, integrando la seguridad en cada etapa del desarrollo del dron. Esto incluye:

• Seguridad del hardware: Protección física del dron contra accesos no autorizados.
• Uso de circuitos integrados seguros (ICs): Para la protección de datos sensibles.
• Proceso de arranque seguro (RoT/CoT): Verificación de la integridad de cada componente.
• Sistema operativo seguro (OS/TEE): Creación de un entorno protegido para operaciones críticas.
• Protocolos robustos: Cifrado, autenticación y verificación de integridad en la comunicación.
• Criptografía validada por SOGIS/NIST: Implementaciones seguras de algoritmos criptográficos.
• Corrección de configuraciones inseguras: Eliminación de contraseñas predeterminadas y configuraciones débiles.

Adoptar estos principios permitirá que los drones sean más seguros, robustos y confiables para su uso en diversos sectores.