El experto en ciberseguridad desvelará sus hallazgos en un congreso en Vigo
13 abr 2019 . Actualizado a las 19:45 h.El hacker Pedro Cabrera, vigués de 40 años que lleva asentado 20 en Madrid, ha descubierto diversos modos de secuestrar un dron y controlarlo a través de su red wifi. Es el mismo sistema inalámbrico que hace que Internet se difunda en todo el hogar. Él mismo fingió ser un piloto fantasma para atacar un artilugio volante y tomar su control, con lo que probó que son vulnerables a ataques maliciosos. De esta forma, presiona a los fabricantes para que incrementen su seguridad para proteger a estos vehículos aéreos. Sacará a la luz sus hallazgos durante la conferencia que impartirá en el congreso de ciberseguridad ViCon19, que se celebra estos días en Vigo.
Hace un año, Cabrera, que trabaja como auditor de seguridad en Ethon Shield, se anotó a un curso de piloto de drones y se sacó la licencia para iniciar una investigación personal sobre un tema que le intrigaba. Su idea era analizar las vulnerabilidades de estos aparatos ante un ataque de piratas informáticos malignos. Los ensayos los realizó en el laboratorio de su empresa en Madrid. Tras hacer unas pruebas con radiofrecuencias en zonas de vuelo, demostró que había una amenaza real.
«Desde el año 2015 se han vendido millones de drones de consumo, que ya están en la calle. Una explosión de aparatos mientras la normativa iba por detrás», relata. Le sorprendió que varios drones usasen la tecnología wifi y pronto ató cabos: «Existen muchas herramientas para hacer cosas malas en wifi, hay una larga tradición en hacking de estas redes, por lo que pensé que se podría hacer lo mismo». Así que compró varios modelos que usaban wifi sin protección e hizo ingeniería inversa para estudiar los comandos que habían introducido los fabricantes para mover los aparatos arriba y abajo.
Tras varios experimentos, comprendió que un piloto fantasma podía tomar el control del dron, ver las imágenes del vídeo que está grabando y secuestrar la máquina para tenerlo a su merced. En concreto, se centró en los ataques fantasma, aquellos que son tan sigilosos que el usuario real que lo dirige mediante una tableta digital no se percata de nada. El intruso se limita a observar y solo actúa en limitadas ocasiones. El piloto real ve que la máquina no responde a sus órdenes en determinados momentos pero lo atribuye a un fallo puntual sin importancia. El pirata, mientras, accede silenciosamente a los datos de la tableta del piloto del dron e incluso puede boicotearle poniendo imágenes en negro o haciéndole creer que se ha quedado sin batería.
En los casos más extremos, que ya rozan la ciberguerra, el atacante informático podría enviar comandos de órdenes al dron para estrellarlo contra su verdadero objetivo. Este experto en informática cree que la existencia de vulnerabilidades en los drones controlados por wifi tiene su reverso positivo pues se puede hacer un uso comercial que interesa a las empresas. Sería un empleo con mentalidad ofensiva para proteger bancos o industrias. Por ejemplo, los guardias de seguridad de una gran firma podrían tomar el control, detener y hacer aterrizar un dron intruso que sobrevolase su recinto empresarial para hacer espionaje industrial. Ve mayor interés civil que militar.
Robó el vídeo grabado
En sus experimentos, este hacker pudo robar el vídeo que estaba grabando un dron y sabía en todo momento lo que estaba haciendo la máquina e incluso moverlo. Una vez secuestrado el vehículo volador, desconectó al piloto real, que vio como perdía el control de su aparato y este se movía solo.
«Mi trabajo es conocer los lenguajes de comunicación, según veo la imagen puedo enviar comandos para mover el dron y convertirlo en un cacharro tonto, o bien no hacer nada y dejar que el piloto siga con el control. En todo caso, se trata de un ataque crítico a la privacidad», dice.
En sus ensayos practicó a piratear los modelos de drones que usan niños de 10 a 15 años, otras máquinas mayores de cuatro hélices e incluso aparatos más novedosos y sofisticados, sobre los que dará noticias de sus descubrimientos en la ponencia que impartirá en su charla en la ViCon de Vigo.
La peligrosidad de piratear un dron salta a la vista en un escenario bélico. Cuenta Cabrera que un informe del ejército de los Estados Unidos sobre sus guerras en Irak y Afganistán revela que el ISIS llegó a manipular drones baratos para armarlos con lanzagranadas en el 2017 y mantuvo durante meses en jaque a la infantería porque no tenían herramientas para abatirlos.
