El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos han emitido nuevas directrices para abordar los riesgos de seguridad derivados del uso de sistemas aéreos no tripulados fabricados en China. Para alertar a los operadores de infraestructuras críticas sobre posibles problemas, relacionados principalmente con la filtración de datos, las entidades han desarrollado una breve guía en la que analizan esta amenaza, profundizan en vulnerabilidades detectadas y ofrecen recomendaciones de mitigación.
La publicación desaconseja el uso de estos drones en base a las leyes promulgadas por la República Popular de China (PRC), que proporcionan a su Gobierno los mecanismos legales necesarios para acceder y controlar libremente los datos que poseen las empresas nacionales. Por ello, el FBI y la CISA apoyan la adquisición de UAS que sigan los principios de diseño seguro y cuenten con certificaciones y estándares de calidad reconocidos por entidades de acreditación de confianza.
Amenazas detectadas
La Estrategia Nacional de Ciberseguridad 2023 de la Casa Blanca y la Evaluación Anual de Amenazas de la Oficina del Director de Inteligencia Nacional reconocen que la ciberseguridad es una de las amenazas más avanzada, activa y persistente para la seguridad nacional. Este análisis describe como la PRC amplió sus operaciones cibernéticas para desafiar el orden mundial y los intereses de Estados Unidos y sus aliados, ejecutando una estrategia de adquisición y compilación de datos.
La Ley Nacional China de Inteligencia de 2017 obliga a las compañías a cooperar con los servicios nacionales de inteligencia, sobre todo mediante el acceso a conjuntos de datos recopilados en el país y en el extranjero. Esto incluye a importantes fabricantes de UAS, que el Departamento de Defensa de (DoD) americano ha identificado como “empresas militares chinas que operan en Estados Unidos”. Además, la Ley China de Seguridad de Datos de 2021 amplia esta capacidad de acceso y control e impone sanciones estrictas a todas las empresas con sede en el país que se nieguen a colaborar, al constituir un impedimento a la hora de mantener la seguridad militar y civil.
Vulnerabilidades de la seguridad nacional
Los UAS son dispositivos de tecnología de la información y la comunicación (TIC) capaces de recibir y transmitir datos. Cada uno de estos nodos de conexión es un objetivo potencial que podría ser explotado para comprometer información sensible.
Las vías de compromiso potencial incluyen la transferencia y gestión de datos, ya que los drones están controlados por dispositivos conectados a Internet, que proporcionan una puerta de acceso y salida de información; los parches y actualizaciones de firmware, a través de las cuales las compañías chinas pueden introducir capacidades desconocidas sin que el usuario sea consciente; y el aumento de la superficie de las plataformas de recolección, que surge a medida que los drones y sus periféricos se conectan entre sí y crean nuevas redes de transmisión.
Consecuencias del acceso a datos críticos
La recopilación de datos sensibles por parte de los UAS chinos puede tener consecuencias significativas para la seguridad de las infraestructuras críticas de Estados Unidos, a la vez que puede hacer avanzar los objetivos estratégicos de la PRC y afectar negativamente a la economía y seguridad nacional del país.
Los problemas más destacados son la exposición de la propiedad intelectual a las empresas chinas, que pondría en peligro la ventaja competitiva de las firmas americanas; la publicación de detalles de las operaciones y vulnerabilidades de infraestructuras, aumentando la capacidad de la PRC para interrumpir servicios críticos; el compromiso de la ciberseguridad y la seguridad física; y la exposición de detalles de acceso a la red, que puede desembocar en ciberataques contra objetivos de alto valor.
Posibles medidas de mitigación
El FBI y la CISA alientan a las organizaciones de los sectores público y privado a utilizar UAS certificados y seguros. Esta recomendación se enfatiza con la Orden Ejecutiva 13981 para proteger a los Estados Unidos de ciertos drones, que requiere que los departamentos y agencias dispongan de un plan para abordar los riesgos derivados del uso de esta tecnología.
Además de comprobar la lista Blue UAS, elaborada por el DoD para proporcionar información sobre aeronaves con cualidades verificadas, las empresas deberían garantizar el desarrollo seguro de objetivos, procedimientos y políticas UAS; identificar y seleccionar plataformas que se adapten a los requisitos operativos y de seguridad; realizar actualizaciones periódicas, análisis y formación, de acuerdo con los planes y procedimientos seguros; y garantizar el cumplimiento de las políticas operativas durante el uso de sus sistemas no tripulados.