Con motivo del último congreso Hackron, hemos tenido oportunidad de entrevistar a uno de los mejores expertos de Drones en Europa. Se suman a entrevistas como la de Deepak Daswani, Igor Lukic o Carlos Seisdedos. Hablamos nada menos que de David Meléndez Cano.
Los Drones y la Seguridad.
RDT: En relación a la seguridad en UAV Drones ¿Crees qué actualmente es factible el derribo de éstos cuándo se produce su intrusión en una infraestructura crítica como un aeropuerto? ¿Utilizarías de técnicas basadas en hardware o software, que permita derribar o tomar el control del mismo?
D: Es factible y hace años que se lleva haciendo. Respecto a las técnicas utilizadas todas pasan por una combinación de hardware y software. Hay algunas tan “hardware” como usar aves rapaces para cazarlos. No hay una única aproximación al problema y depende de cada caso en concreto, los riesgos que estés dispuesto a asumir y sobre todo, el dinero que estés dispuesto a gastarte. Siempre hago la comparación con el “talento STEM”, no es que no haya, es que igual el que te vendría bien no puedes pagarlo. Lo que viene siendo el mercado de toda la vida.
RDT: Te hemos visto en algunos de los mayores congresos a nivel mundial, y seguimos tu trabajo de cerca ¿Van a ser los Drones importantes en el apartado ciberseguridad para las empresas y estados?
D: Los drones ya son importantes para la ciberseguridad y los estados (algunos con más o menos palabras que hechos). Son un vehículo accesible a cualquiera, que puede traspasar barreras físicas muy fácilmente, que hasta hace muy poco se consideraban suficientes. Básicamente significa que puedes colocar un ordenador con todos los dispositivos que se te puedan ocurrir, prácticamente donde quieras en un edificio o infraestructura.
RDT: ¿Observas qué se están preparando contra-medidas para contrarrestar lo rápido y furtivo de un ataque empleando UAVs?
D: Existen ya contramedidas, desde varios cientos de euros a algún millón que otro. La batalla no va a estar tanto en poder derribar o interceptar un dron, porque siempre hay opciones, sino en el coste asociado a ello. Ser eficientes es el gran reto que tiene la “industria anti-dron” sin comprometer sistemas legítimos existentes en los alrededores. Evidentemente cuanto más extendidos estén estos sistemas, también más medidas se tomarán para proteger los drones por la parte contraria.
Otro asunto importante es el que la moda actual está enfocada a poder detener a los drones, pero no hay que olvidar que estas aeronaves hacen un gran servicio a día de hoy a la sociedad y que también vamos a tener que velar por su protección. Aquí no estamos hablando de “buenos” y “malos” según estés usando un dron o el sistema que lo derriba, sino que la gente con malas intenciones también puede tener acceso a equipo para tumbar drones y hay que tenerlo en cuenta.
Formación y tópicos acerca de los drones.
RDT: ¿En tu opinión en España se está llevando a cabo una buena formación para el empleo de medidas tendentes a combatir al “dron” como posible medio de realizar un ataque o acción hostil? ¿Y en Europa? ¿Y en Latinoamérica?
D: La formación no creo que sea el problema central en este asunto. La gente se forma si existe una demanda seria y clara (no una de papel mojado donde sale llorando la industria diciendo que “faltan expertos”, mientras sea más rentable dedicarse a colocar botes en un super, que formarse). Y eso da igual de qué parte del mundo estemos hablando.
Los drones gozan de una popularidad que puede implicar que los árboles no nos dejen ver el bosque. Hay gente que me pregunta si esto o aquello podría hacerse con un dron. Yo les pregunto si es más o menos fácil el hacerlo sin él. Incluídos los ataques.
Por otro lado están apareciendo ataques que no quedan claros, por ejemplo los de Gatwick. ¿Alguien ha salido diciendo, “miren ustedes, estos eran los drones que buscábamos” ? Como he dicho antes, la propia moda puede servir para intereses que desconocemos, sin necesidad (quién sabe) de que ni un solo dron salga de su caja.
RDT: En tu función de experto ¿Ves posible que un usuario medio pueda realizar un uso inadecuado de un UAV? ¿Se debe controlar la venta y el uso de Drones?
D: De la misma forma que un usuario medio puede hacer un uso inadecuado de un cuchillo. En mi opinión, regular con burocracia la venta de drones no soluciona nada (quizás los bolsillos de algunos). La prueba más cercana está en mis propios drones. Ninguno de ellos está basado en producto comercial alguno. Ni siquiera en soluciones prefabricadas de software libre. La electrónica es tan genérica que todo lo necesario ya va en todos los móviles, e incluso en pulseras de ejercicios. Sin ir más lejos, uno de mis drones tiene como sensores los mandos de una videoconsola. Otra cosa serían los motores y hélices, pero incluso ahí sería ponerle puertas al campo.
Respecto al uso de drones, ya está regulado de alguna u otra forma. El reto aquí es definir una norma clara y sin puntos ciegos, lo cual no es baladí.
Ataques e incidentes con Drones
RDT: Si puedes y quieres, ya que sabemos que en esta materia eres de las personas más ilustradas en España ¿Te ha impactado algún “incidente” que puedas contarnos?
D: Siempre hay alguien en algún sitio dispuesto a sorprender a todo el mundo, independientemente de tus conocimientos previos. A mí me impactan los drones caseros usados para bombardear, porque mezclan algo que en el mundo occidental, típicamente está circunscrito a un espacio “maker” ciudadano, pero que en otros lugares su motivación principal no es el conocimiento sino el hacer daño. Sobre todo por el aspecto, ya que son muy similares.
RDT: ¿Deben los expertos en ciberseguridad, hacer un hueco más en su programa de formación para especializarse en controlar el uso de los UAV?
D: Como ya he dicho, el mercado dirá cuánto de atractivo tiene el formarse en ese campo, ya que requiere de conocimientos tanto informáticos como de telecomunicaciones, y bastante creatividad. Para que todo eso suceda, la industria tiene que demandarlo lo suficientemente bien como para que merezca la pena invertir en ello.
No obstante muchos de estos conocimientos son muy transversales y de base, con lo cual, el mensaje a los aspirantes a expertos en ciberseguridad es el que se formen en este tipo de conocimientos, huyendo de cantos de sirena dirigidos por las modas que dicta la industria.
RDT: En tu opinión ¿Los ataques con este tipo de aeronaves ahora mismo son a nivel físico, o temes operaciones que se puedan englobar dentro de la guerra electrónica? De ser así, se pueden llevar a cabo procedimientos de ciberseguridad encaminados en evitar accesos no autorizados o pérdidas de activos?
D: Los ataques con drones son a ambos niveles. No olvidemos que tenemos un ordenador con una radio (WiFi, u otra) embarcado en el dron. Piensa en que incluso puede embarcarse un sistema antidron en un dron. Actualmente estos ordenadores tienen la suficiente capacidad para mantener la aeronave volando y realizar ataques WiFi, por ejemplo. Típicamente se han estado haciendo con otro ordenador adicional, pero como demuestro con el proyecto Interceptor, hasta un minidron que no llega a un palmo de tamaño, es capaz de atacar redes mientras mantiene el vuelo, todo con el mismo hardware de un solo núcleo.
¿Sofisticación en Seguridad Telemática?
RDT: En tu opinión ¿Cómo crees qué será la sofisticación y el uso de Drones en seguridad telemática?
D: Los drones son una aplicación más de lo que en industria se llaman sistemas embebidos, como lo es también el “IoT”, ya que están estrechamente relacionados. Todas las aplicaciones que veamos en IoT las vamos a ver en drones, si a seguridad nos referimos. Lo que está por ver es la capacidad real de los sistemas antidron auditados por agentes externos, ya que hasta ahora, estos sistemas dicen que hacen muchas cosas, pero no han sido probados en profundidad por la comunidad, como sí ocurre con la industria del software. El componente hardware y el entorno limitado pueden ralentizar la detección de fallos y huecos por donde evadir estos sistemas. Por no hablar de los problemas legales que se pueden encontrar aquellos que intenten hacerlo. Por todo ello tengo la sensación de que vamos hacia cierto tipo de seguridad por oscuridad, al menos en el corto plazo.
En todo caso, no existe una bala de plata para mitigar ataques, y en el caso de que surja una masa crítica que haga despegar esa competencia entre sistemas dron-antidron, veremos mejoras tanto en sus comunicaciones como en sus capacidades autónomas y de toma de decisiones por el ordenador de abordo.
Esto fue lo que nos contó nuestro amigo David. A vosotros lectores, que disfrutéis de un uso seguro de la tecnología. Hasta el próximo artículo 😉
