Drones: ¿son una amenaza para la ciberseguridad?

De Esteban Sardanyés

drone y ciberseguridad

Los drones se han vuelto muy populares en los últimos años. Tanto, que España terminó el 2023 con más de 94.000 operadores de drones registrados en AESA.

Son muchos sectores los que utilizan estos dispositivos para desarrollar su actividad empresarial: fuerzas armadas, agencias meteorológicas, agencias organizadoras de eventos, industria agrícola, entre muchos otros.

Como cualquier tecnología, la incorporada en los drones ha evolucionado mucho y lo que al principio se controlaba de manera  manual, actualmente se hace de forma autónoma e interconectada. Razón por la cual, los drones pueden suponer un problema para la ciberseguridad y protección de los datos. Cualquier ciberdelincuente puede secuestrar un drone y utilizarlo para su propio beneficio. 

Nueva llamada a la acción

Principales amenazas de los drones para la ciberseguridad

Malware a través de drones

En escenarios más avanzados, un drone podría ser usado para entregar físicamente un dispositivo malicioso (como una unidad USB infectada) a un sistema objetivo, comprometiendo su seguridad. También podrían llevar a cabo ataques para insertar software malicioso directamente en sistemas vulnerables.

Uso de las cámaras para vigilancia

Los drones llevan cámaras incorporadas que los ciberdelincuentes pueden utilizar para vigilar a una empresa: cambios de turno, zonas vigiladas, observar las pantallas de los empleados (en caso de que la oficina sea de cristal), etc. De esta manera, poder planificar sus ciberataques. 

Rastreo y suplantación de redes

Los ciberdelincuentes pueden equipar los drones con dispositivos como Raspberry Pi u otros similares para obtener información sobre redes inalámbricas que no serían accesibles desde fuera de la organización. Además, pueden recopilar direcciones MAC y mapear los SSIDs, para luego llevar a cabo ataques “de-authentication” contra los usuarios.

Ataques DDoS

Los drones tienen la capacidad de transportar dispositivos capaces de llevar a cabo ataques de autenticación masivos. Además, pueden bloquear redes Wi-Fi u otros dispositivos inalámbricos.

Recopilación de datos

Los drones pueden utilizarse para recopilar datos sensibles, como por ejemplo: imágenes, vídeos o incluso señales electrónicas, sin el consentimiento, y muchas veces sin el conocimiento, de los propietarios. 

Los drones pueden representar una amenaza significativa para la ciberseguridad, no solo por su capacidad para recolectar datos de manera no autorizada, sino también por su potencial para ser utilizados como herramientas para comprometer la seguridad de redes y sistemas. 

Casos reales de ciberataques a través de drones

Hackeo de drones militares (2011)

En 2011, se informó que los insurgentes en Irak habían utilizado software barato y fácilmente accesible para interceptar las transmisiones de vídeo no cifradas de drones militares estadounidenses (como los drones Predator). 

A pesar de que este ataque no fue lanzado desde un drone, se demostró una vulnerabilidad crítica en la comunicación de los drones, surgiendo así la posibilidad de que fueran un método para el lanzamiento de ataques.

SkyJack (2013)

El ciberdelincuente Samy Kamkar desarrolló un software llamado SkyJack, que podría ser montado en un drone equipado con una Raspberry Pi y una batería adicional. El objetivo de SkyJack era interceptar la señal de otros drones cercanos (específicamente drones Parrot AR.Drone), desconectarlos de sus controladores originales y tomar el control de ellos.

Maldrone (2015)

El investigador de seguridad Rahul Sasi presentó un malware llamado Maldrone, diseñado para infectar drones. Una vez que el malware se instala en un drone, puede permitir a un ciberdelincuente controlar remotamente el dispositivo. 

Maldrone puede interferir con los comandos del usuario legítimo y tomar el control del drone, lo que podría ser utilizado para fines maliciosos.

Drone as a hacking tool (2016)

Investigadores de la empresa de seguridad cibernética IBM X-Force utilizaron un drone para llevar a cabo un ataque denominado "war flying". Equiparon un drone con una computadora pequeña y ligera (como una Raspberry Pi) y herramientas de hacking como Kismet, que escanea redes Wi-Fi. Este drone voló sobre una instalación corporativa e identificó redes inalámbricas no seguras o mal configuradas, lo que potencialmente podría ser utilizado para acceder a la red de la empresa.

Estos casos demuestran cómo los drones pueden ser utilizados como dispositivos para el lanzamiento de ciberataques. Con el creciente uso de drones en diversas industrias y sectores, es probable que veamos más incidentes de este tipo en el futuro. Esto subraya la importancia de desarrollar medidas de seguridad específicas para proteger tanto a los drones como a las redes y sistemas con los que interactúan.

 

Medidas de ciberseguridad para drones

Cifrado de datos

Implementar el cifrado de extremo a extremo en todas las comunicaciones entre el drone y su controlador o base de operaciones. Esto incluye comandos de control, datos de telemetría y cualquier vídeo o imagen transmitida.

Por otro lado, utilizar redes seguras y cifradas (como WPA3) para cualquier conexión Wi-Fi que el drone pueda utilizar, evitando el uso de protocolos no seguros.

Control de accesos o autenticación multifactor 

Requerir autenticación multifactor (MFA) para acceder a los sistemas de control de drones ayuda a asegurar que solo personal autorizado pueda operar o interactuar con el drone.

Mantén los dispositivos actualizados

Importante que el firmware y el software del drone estén siempre actualizados con los últimos parches de seguridad para evitar que sean explotados por vulnerabilidades conocidas.

Por otro lado, antes de realizar cualquier actualización, verificar la integridad del software y firmware descargado para asegurarse de que no ha sido manipulado.

Monitorización periódica de los sistemas

Implementar soluciones de IDS específicas para drones que monitoreen cualquier actividad anómala o intentos de acceso no autorizados. Además, utilizar herramientas de monitoreo en tiempo real para supervisar el comportamiento del drone y detectar cualquier actividad sospechosa, como intentos de interceptación o secuestro.

Protección contra interferencias

Utilizar tecnologías que protejan las comunicaciones del drone contra interferencias, spoofing o ataques de jamming. O desarrollar y aplicar algoritmos que permitan al drone detectar interferencias y tomar medidas evasivas, como cambiar de frecuencia o ruta.

Seguridad física

Asegurar físicamente los drones cuando no estén en uso para evitar la manipulación o el robo. Esto incluye almacenar los drones en lugares seguros y restringir el acceso a ellos.

También se pueden deshabilitar puertos no utilizados y asegurar las conexiones físicas del drone para evitar la inserción de dispositivos maliciosos.

Auditorías y pruebas de penetración

Realizar auditorías de seguridad regulares en los sistemas de control y operación de drones para identificar y corregir posibles vulnerabilidades.

Así como. llevar a cabo pruebas de penetración para simular ataques y evaluar la resistencia del sistema a ciberataques. Esto ayuda a identificar debilidades antes de que puedan ser explotadas.

Políticas y procedimientos

Establecer políticas claras sobre el uso y operación de drones, incluyendo directrices para la seguridad cibernética y la protección de datos.

Y disponer de un  plan de respuesta a incidentes bien definido para gestionar cualquier brecha de seguridad que involucre drones, minimizando el impacto y recuperando el control rápidamente.

Aislamiento y segmentación de redes

Aísla las redes utilizadas por drones de otras redes críticas de la organización para limitar el impacto de un potencial compromiso. Y considera el uso de redes privadas virtuales (VPN) para la comunicación entre drones y sistemas de control, asegurando que los datos transmitidos no puedan ser interceptados fácilmente.

Apostar por la ciberseguridad o seguridad informática actualmente se ha convertido en una obligación para cualquier empresa que trabaje con datos. Tomar las medidas necesarias para asegurar que terceros no autorizados accedan a los datos privados de la organización, debe ser una de las prioridades principales de cualquier empresa que aprecie su reputación e imagen de marca.