¿Pueden hackear los drones?
En menos de un mes empezarán a volar drones-taxi en Dubai. Se llaman EHang y tienen una autonomía de vuelo de media hora para transportar a una sola persona. Aunque el precio de la “carrera”, que rondará los 600 dólares, resulta bastante prohibitivo para la mayoría de los bolsillos, parece que estos drones se convertirán en un interesante reclamo turístico para la ciudad de la Emiratos Árabes.
Sin embargo, la autorización para que estos aparatos vuelen, suscita muchas dudas sobre la seguridad para sus pasajeros y para los habitantes de la ciudad. Por un lado, por los riesgos que puede suponer un fallo técnico o humano, ya que se pilotan en remoto. Y, por otra parte, por la elevadísima amenaza que podría suponer un ciberataque a cualquiera de los aparatos o a la base desde la que se pilotan.
Cómo hackear un dron
Un equipo de investigadores de la Universidad estadounidense Johns Hopkins ha descubierto recientemente hasta tres formas distintas de hackear un dron desde un ordenador portátil. En concreto, un grupo de estudiantes y su profesor conseguían, bien hacer aterrizar el aparato donde ellos quisieran, o bien estrellarlo contra el suelo haciéndolo caer en picado. La clave era sencilla, encontraron varios errores de ciberseguridad en su configuración que dejaban puertas abiertas para poder manipularlos a su antojo desde la distancia.
Alerta ciberseguridad
Al igual que ocurre en otros muchos sectores en los que interviene la tecnología, en el mercado de los drones no se ha dado especial importancia a la ciberseguridad hasta hace relativamente poco. De hecho, los drones para uso de entretenimiento carecen de medidas básicas de seguridad ya que, cuantos menos elementos físicos tengan, menos pesarán. A su vez, las medidas de seguridad suelen suponer un sobrecoste económico que los fabricantes prefieren evitar para hacer sus productos más competitivos.
Aunque es cierto que los drones con finalidad militar cuentan con unas medidas de seguridad muy superiores a los aparatos que podemos comprar en unos grandes almacenes, estos primeros suponen un porcentaje muy bajo en el parque mundial de drones. Por su parte, el número de drones de entretenimiento se ha multiplicado en los últimos años y todo indica que seguirá creciendo en el futuro.
“Los ciberdelincuentes, siempre al acecho de hackear tecnologías que se convierten en tendencia, saben que las bajas medidas de seguridad en estos dispositivos los convierten en una oportunidad de extorsionar a un gran número de personas”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security. “Por ello -añade- es de crucial importancia que se logre un acuerdo entre todos los actores que forman parte de este mercado para, de este modo, se establezcan unas medidas mínimas de ciberseguridad para todo el sector”.
Enjambres de drones capaces de colapsar autopistas
Aunque suene a ciencia ficción, existe la posibilidad de que, desde un botnet, un grupo organizado de ciberdelincuentes pueda tomar el control de decenas o incluso de miles de drones al mismo tiempo y pilotarlos a su antojo. No haría falta que se cargasen de explosivos para generar el caos en una ciudad. Con solo dirigirlos todos al espacio aéreo de un aeropuerto o a una autopista, las consecuencias podrían ser catastróficas.
Igual de traumático sería que los cibercriminales accedieran al motor que genera la inteligencia artificial de estos dispositivos. En concreto, estos algoritmos hacen que cuando un dron se acerca demasiado a un objeto o al suelo, cambie automáticamente su trayectoria para no colisionar. Imaginemos por un momento que unos ciberterroristas engañasen a esta inteligencia artificial para que, en lugar de sortear los obstáculos, los drones persigan objetos en movimiento.
Aun así, estos ejemplos son, afortunadamente solo ejemplos de lo que podría ocurrir. Aun no se ha dado ningún caso de este estilo. No obstante, sí hay constancia de hackers que utilizan drones para hacer espionaje industrial o ataques a empresas.
Espionaje industrial y ataques a empresas
Un sencillo dron operado por un ciberdelincuente ya puede usarse para atacar la conexión Wifi, bluetooth o cualquier otra conexión inalámbrica como la que usamos para pagar con una tarjeta ‘contactless’ sin generar ninguna sospecha.
Es decir, un dron que vuela sobre una oficina y se conecta a la red Wifi corporativa es perfecto para robar la información confidencial de una empresa. Asimismo, por medio del bluetooth, ese mismo dron podría conectarse a los teclados y ratones inalámbricos de los trabajadores para tomar el control de sus ordenadores sin que estos puedan hacer prácticamente nada para evitar el ataque.
“La gran parte de las empresas no está, en la actualidad, preparada para defenderse de este tipo de ataques. Tampoco estamos preparados para un botnet que tome control de drones de uso lúdico, como ya ha ocurrido con el ataque a miles de cámaras web que colapsó medio mundo hace unos meses. Si no tomamos conciencia de la importancia de instalar medidas de seguridad en el sector de los drones, tarde o temprano, tendremos que afrontar consecuencias poco halagüeñas”, apostilla el Global Consumer Operations Manager de Panda Security.