Principales retos de ciberseguridad en drones (Parte I)

2

En la actualidad existe una avalancha de aeronaves pilotadas por control remoto, los llamados drones. Son adquiridos y manejados tanto por ciudadanos como por empresas para fines lúdicos o profesionales, en algunos casos sin ser conscientes de las implicaciones técnicas y legales que ello puede conllevar.

Existen drones de todos los tamaños y con múltiples funcionalidades tecnológicas (comunicación a través de redes WI-FI, posicionamiento mediante señales GPS, grabaciones con cámara de video, sensores, portabilidad de objetos,…). Están siendo utilizados, tanto en zonas pobladas (parques, playas, fiestas, conciertos,…) como en zonas no pobladas (principalmente para actividades de investigación y comerciales).

Es indudable que el desarrollo y uso de drones supone un gran reto para la seguridad física. Especialmente para proteger posibles accidentes que puedan causar a personas, edificios u otro tipo de instalaciones.

Desde el punto de vista de la ciberseguridad, estos dispositivos también están expuestos a riesgos de pérdida de confidencialidad, integridad y disponibilidad. Principalmente por el uso de tecnologías y sistemas informáticos, susceptibles de ser vulnerados, y que su uso y aplicación, en algunos casos, no está cumpliendo con todas las medidas legales y de seguridad adecuadas para generar la confianza necesaria para un desarrollo y uso seguro de estos aparatos.

Cuestiones técnicas como la identificación, alteración y anulación de señales WI-FI, GPS con las que se comunican los drones, pueden afectar a la seguridad de los aparatos. Cuestiones legales como el cumplimento de su normativa específica, estándares de seguridad o normativas de protección de datos de carácter personal, en lo referente a la grabación de imágenes o recolección de señales, pueden interferir entre otras a la privacidad de las personas.

Principales retos en cuanto al uso de los drones

Como consecuencia del crecimiento de la utilización de este tipo de dispositivos y el interés generado a nivel general, es por lo que la Comisión Europea se ha propuesto establecer un marco normativo común que regule las operaciones civiles de los drones con objetivo de preservar la seguridad y la privacidad de forma uniforme entre todos los estados miembros así como coordinar, en la medida de lo posible con la Industria, las especificaciones técnicas necesarias para el cumplimiento de la Ley.

Cabe duda, y así se ha manifestado en la Declaración de RIGA, las oportunidades y ventajas para la economía que supone la utilización de drones. No obstante, para garantizar un mayor crecimiento es importantísimo la aceptación pública y conformidad de la sociedad lo que implícitamente exige unas garantías de respeto y protección de los derechos fundamentales de los ciudadanos tales como la privacidad y el derecho de protección de datos personales.

Usos y finalidades la utilización de drones

Son muchos los usos y finalidades para los que son utilizados los drones en España. La legislación al respecto, está desarrollándose de forma ágil, para permitir un mayor número y escenarios de casos de uso, que permitan el desarrollo económico de una actividad cada vez más creciente, respetando las medidas de seguridad necesarias para un uso correcto así como el cumplimiento de la normativa de responsabilidad civil, medioambiental y de protección de datos que pudiera afectar.

Por ello, en el marco del uso civil es preciso discernir los fines para los que se utilizan los drones para determinar la normativa que resultaría aplicable así como cuáles son las entidades de gestión para otorgar las autorizaciones correspondientes en el marco de sus competencias tal y como por ejemplo pasamos a indicar a continuación distinguiendo algunos supuestos.

El uso de aeronaves no tripuladas con fines recreativos o deportivos se considera desde un punto de vista técnico como «aeromodelos» y en consecuencia su actividad la regula la Real Federación Aeronáutica de España.

En el caso de los aeromodelos o drones para uso doméstico, no existe una legislación específica, y su regulación depende entre otros de la Real Federación Española de Aeromodelismo y de la regulación sobre esta práctica deportiva pueda tener cada Comunidad Autónoma y cada Municipio, respetando siempre la legislación aeronáutica general.

1

Las recomendaciones generales para drones de uso doméstico son:

  • No volar a más de 100 metros de altura.
  • No volar sobre lugares habitados o núcleos urbanos.
  • No volar más allá del alcancevisual.
  • Deben ser menores de 2kg al despegue.
  • No captar ni difundir imágenes de personas identificadas o identificables sin su autorización o consentimiento informado.

El uso de drones con fines profesionales no es ilimitado sino que tal y como publica la web de Agencia de Seguridad Aérea (AESA) los escenarios de operaciones se circunscriben principalmente a, entre otras, actividades de investigación y desarrollo, operaciones de emergencia, búsqueda y salvamento, vigilancia de incendios forestales, emisiones de radio y TV, etc bien sea por empresas privadas o por administraciones públicas, pero sujetas en todo caso al cumplimiento de los trámites administrativos correspondientes según el peso y el tipo del dron.

Por otro lado, la utilización de drones recintos cerrados con techo quedan fuera de la competencia de AESA, de forma que el uso legítimo dependerá de la voluntad de los titulares de los recintos así como, en su caso, de terceros en el supuesto de que los drones traten datos personales y no nos encontremos en el ámbito doméstico, de acuerdo con lo previsto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

A fecha de hoy en España contamos con una normativa temporal por cuanto que está pendiente de desarrollo el régimen jurídico aplicable para la utilización de aeronaves civiles pilotadas por control remoto de acuerdo con lo dispuesto en la disposición final Segunda de la Ley 18/2014 de 15 de octubre de Aprobación de Medidas Urgentes para el Crecimiento, la competitividad y la eficiencia.

La nueva normativa estudia permitir escenarios operacionales adicionales de vital importancia como sería el vuelo en zonas urbanas, hoy absolutamente prohibido desde el punto de vista legal, siempre y cuando tengan los permisos necesarios y cumplan las medidas adicionales específicas de seguridad, como que sean aeronaves de hasta 10 kilos, a una distancia máxima del piloto de 100 metros y de una altura máxima de 120 metros, en zonas acotadas o a una distancia de seguridad de edificios y personas según la información extraída de la página oficial de AESA.

A continuación presentamos un cuadro a modo de resumen con los usos y finalidades posibles de los drones.

La Agencia Española de Seguridad Aérea (AESA), regula el uso de drones para fines profesionales, estableciendo distintos requisitos en función de su peso, entre otros:

Principales amenazas de seguridad por el uso de drones

Desde el punto de vista de la seguridad de la información, seguridad física y la protección de infraestructuras estratégicas, los drones pueden suponer un riesgo a considerar. Recientemente han ocurrido incidentes relacionados con drones, que han constatado estos riesgos de seguridad, algunos de ellos han puesto en alerta a gobiernos e instituciones públicas. Grabaciones de personas, de instalaciones protegidas, propiedades privadas, o incluso de forma malintencionada, interceptación de drones para cambiar su comportamiento, son algunas de las preocupaciones de los gobiernos.

Algunos ejemplos de incidentes

Algunos incidentes ocurridos debidos a usos malintencionados o fallos humanos como el accidente con un drón sufrido por el cantante Enrique Iglesias, pone de manifiesto, las implicaciones que tienen en cuanto a la seguridad física y de las personas que pueden tener los drones en espacios públicos como conciertos, campos de futbol, parques, playas, carreras populares,…, incluso en sitios tan concurridos como las fiestas de San Fermín en Pamplona.

Otros casos de incidentes debidos a grabaciones en infraestructuras críticas, como el vuelo de drones sobre siete centrales nucleares en Francia, han alertado al gobierno francés, sobre esta problemática, y poniendo de relieve las limitaciones tecnológicas para hacer frente a estas amenazas. Tras este incidente el gobierno Francés, ha comenzado un programa de investigación y desarrollo con su Agencia Nacional de Investigación para encontrar la tecnología que puede detectar e interceptar drones comerciales.

Recomendaciones en materia de protección de datos de carácter personal

Habida cuenta la intromisión en la privacidad de las personas que puede suponer la utilización de algunos aviones no tripulados es por lo que el Grupo de Trabajo del Artículo 29 ha emitido recientemente un dictamen de recomendaciones y consideraciones para el cumplimiento de la normativa de protección de datos  y un uso responsable de los mismos. La consulta del dictamen se puede realizar.

La propia naturaleza de algunos aviones no tripulados puede dar lugar a una sensación de vigilancia sin que los interesados sean conscientes de la ubicación del dispositivo, de la identificación del responsable así como de los fines por los que se utiliza por lo que es importante dar un orientación específica sobre cómo cumplir con las normativa de protección de datos en este contexto a fin de otorgar garantías y respeto a los derechos de las personas para el caso de que resulte la normativa de protección de datos de aplicación y no nos encontremos en la excepción del ámbito doméstico.

El primer punto a considerar sería la legitimación para el tratamiento de datos personales a través de drones para lo que bien sería necesario el consentimiento de los interesados (difícil de obtener por otro lado, desde un punto de vista práctico) o bien contar con una ley habilitante para dicho tratamiento. Asimismo, a fin de preservar los principios de necesidad y proporcionalidad el GT29 recuerda que aunque se contara con una base jurídica para la utilización de drones no cabría su uso de forma indiscriminada e ilimitada sino que deben utilizarse con fines enumerados y justificados con antelación y limitado geográficamente y en el tiempo.

Para el cumplimiento del deber de información el GT29 recomienda a los operadores de drones la publicación de información en las páginas web propias y/o específicas, periódicos, folletos, etc para la identificación de las operaciones realizadas y las próximas que se vayan a realizar.

Con objeto de garantizar el cumplimiento de las medidas técnicas y organizativas ante las posibles pérdidas de información, accesos no autorizados etc, el GT29 recomienda a los diseñadores establecer medidas técnicas para que no sea posible el almacenamiento de la información permanente o durante periodos más largos del necesario así como posibilitar el almacenamiento de información cifrada y registros de instancias de acceso y de uso de material grabado, cuando sea necesario.

En conclusión y a falta de que la Agencia Española de Protección de Datos se pronuncie de forma específica al respecto, los fabricantes de los aviones no tripulados y los operadores que los utilizan deberán de tener en consideración las recomendaciones como referencia por cuanto que lo más seguro que sean estos los criterios que se vayan a adoptar en un futuro inmediato por las Autoridades de control en España.

3

Recomendaciones de seguridad tecnológica

El parlamento europeo ha sacado un documento sobre implicaciones en la privacidad del uso civil de drones .

En concreto, este informe realiza una serie de recomendaciones para la seguridad tecnológica, entre ellas:

  • Concienciar al ciudadano sobre el uso de drones y las implicaciones en los riesgos de privacidad.
  • Concienciar a la industria para reducir al mínimo los datos personales recogidos y procesados. Y establecimiento de buenas prácticas de seguridad.
  • Conocer la situación real de incidentes, mediante el establecimiento de bases de datos de noticias e incidentes relacionados con drones.
  • Desarrollar tecnologías de seguridad para la identificación, detección y neutralización de drones.

Tanto la propia industria, los usuarios de los drones, como los organismos encargados de la regulación deben contemplar la ciberseguridad en el diseño, fabricación, operación y mantenimiento de estos aparatos.

Conocer el nivel de ciberseguridad con respecto a los estándares y normativas, y exigir el cumplimiento de los mismos, aportaría una mayor confianza y reduciría los riegos asociados a su uso.

Algunas medidas y controles de ciberseguridad recogidas en estándares y normativas, que pueden ser de aplicación, en los sistemas que operan los drones, en función de su finalidad, son:

  • Disponer de sistemas robustos de control de acceso e identificación que garanticen que el operador está autorizado.
  • Emplear mecanismos que permitan la ofuscación de imágenes, en caso de grabación de personas sin su autorización.
  • Mecanismos robustos de cifrado de las comunicaciones, para impedir alteraciones en su funcionamiento.
  • Analizar de posibles fallos y vulnerabilidades de seguridad de manera periódica.
  • Actualizaciones automáticas de las aplicaciones que garanticen la seguridad de las mismas.
  • Disponer de sistemas de monitorización continua que alerten de cualquier tipo de incidente.
  • Establecimiento de mapas de zonas oscuras (aeropuertos, fronteras, instalaciones criticas, …) en las que los GPS de los drones no podrían volar.
  • Disponer de sistemas de backup de imágenes que cumplan con los requisitos exigidos.

Conclusiones

Es claro el beneficio que el uso de drones puede traer para multitud de actividades en las que planificar, acceder, visualizar, analizar, tomar decisiones y actuar, se puede lograr de manera más eficiente que mediante otros procedimientos. Empresas como Amazon, Google, o Microsoft, están haciendo proyectos de investigación para nuevos usos de estos dispositivos en los que cada vez más veremos sus beneficios.

Es por ello que el establecimiento y aplicación de normativas y requisitos de seguridad por parte de todos los actores, usuarios, fabricantes, y organismos reguladores, que garanticen un uso seguro, deben estar en constante actualización para que los drones sigan aportando los beneficios que se esperan para los próximos años.

Para evitar usos no permitidos la Agencia de Seguridad Aérea, tiene la capacidad sancionadora. A fecha de julio de 2015 son 75 las propuestas de expedientes sancionadores tramitados por AESA por el uso irregular de drones, siendo la mayor parte de los casos por el vuelo de este tipo dispositivos en zonas pobladas.

El incumplimiento de la normativa puede dar lugar a la comisión de una infracción del artículo 44.1 de la Ley de Seguridad Aérea con multa desde 4.500 a 70.000 euros para los responsables.

 

Cristina Martinez Garay – DeuxTic Abogados | @cmargaray

Juan D. Peláez – INCIBE | @incibe

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *