LEE:
El pasado 29 de diciembre, el Congreso de los Diputados aprobó el Real Decreto 1036/2017, o lo que es lo mismo, la nueva ley de regulación dron, norma confeccionada por AESA —Agencia Estatal de Seguridad Aérea—, que amplía y especifica el marco jurídico ante el gran crecimiento del sector que cuenta con más de 3.000 licencias profesionales por todo el territorio español. Por su parte, organismos como la DGT, el CNI, Aduanas y Cuerpos y Fuerzas de Seguridad del Estado quedan exentos del cumplimiento de esta nueva regulación, aunque sí deben respetar unos mínimos.Barcelona sigue en el nivel 4 sobre 5 de alerta terrorista, pero desde el Gobierno todavía no han informado sobre cómo la vigilancia dron va a impactar en nuestro día a día, qué tipo de software van a utilizar —por ejemplo, reconocimiento facial—, cómo se puede identificar un dron policial o qué nivel de cifrado ofrecen más allá de la demostración en Gavà del pasado jueves.
Para ver las vulnerabilidades o los vacíos legales que nos pueden afectar a partir de hoy, he contactado con distintos expertos e ingenieros de la empresa de servicios dron Hemav y del Centro de Ciberseguridad Dron (CCD), centro de información que tiene como cometido concienciar al ciudadano de las implicaciones de los riesgos de privacidad dron y donde realizan estudios para testar los niveles de seguridad de los fabricantes y así desarrollar nuevas tecnologías de cifrado y seguridad, e instar a organismos como AESA o el Instituto Nacional de Ciberseguridad a que se legisle debidamente en lo que ya es una realidad.El primero de los beneficios está claro: el incremento de visibilidad con un ángulo de vigilancia aéreo retransmitido en directo
Beneficios a día de hoy
Aunque antes haya mencionado que la ley exime a los Cuerpos y Fuerzas de Seguridad del Estado, lo que sí que exige es que los policías que manejen las aeronaves dispongan de la licencia profesional de pilotos de dron y, a su vez, puede exigir que se suba el nivel con más cursos. Por ejemplo, “hacer un curso de gestión de emergencias con dron en multitud de personas para tener más seguridad. Esto se marca a nivel interno. Cada cuerpo de policía tendrá sus propios protocolos de acción que deberán de ser aprobados por AESA. Si no lo tienen a día de hoy, lo tendrán dentro de poco”, explica Albert Zoroa, gestor de contenido y piloto profesional dron en Hemav."Cada cuerpo de policía tendrá sus propios protocolos de acción que deberán de ser aprobados por AESA. Si no lo tienen a día de hoy, lo tendrán dentro de poco” — Albert Zoroa
Por último, la policía realiza actividades de seguridad en el marco de sus competencias, prevención y mantenimiento del orden público, vigilancia de espectáculos públicos, así como protección de edificios e instalaciones que por su interés lo requieran, pero en ningún caso esa vigilancia puede realizarse en espacios privados, como tu casa, donde se requeriría una autorización judicial.“Podemos realizar un ataque dirigido para provocar una interferencia que [el dron] active el return to home" — Manuel Cristóbal
Inconvenientes a día de hoy
Miguel Viloria, experto en ciberseguridad y director del CCD, expresa que la gran amenaza es la cierta facilidad con que se pueden hackear la mayoría de drones: “Los drones emiten dos señales wifi: la del control remoto del dron, que permite manejarlo; y la señal de la cámara, que viaja por un canal wifi distinto. El problema es que estas comunicaciones no siempre van cifradas de serie, o los algoritmos de cifrado que se emplean son vulnerables, entonces no estamos hablando de denegación de servicio, de bloquear el dron, sino que es un ataque a la confidencialidad. Puedes acceder a esa comunicación si no viaja convenientemente cifrada, interceptarla y te puedes hacer con esas grabaciones”.“Los Cuerpos y Fuerzas de Seguridad del Estado deben emplear siempre mecanismos de seguridad avanzados, y realizar auditorias de las comunicaciones, para operar con seguridad dron", insiste Miguel. “Por ejemplo, qué auditorias y pruebas han pasado para certificar la seguridad. Los profesionales del sector están obligados a pasarlas, pero desconocemos las medidas de seguridad que emplea el estado en estos casos". De momento no han informado, del mismo modo que tampoco conocemos si un dron que avistamos es de la policía o no."El problema es que estas comunicaciones no siempre van cifradas de serie, o los algoritmos de cifrado que se emplean son vulnerables: un ataque a la confidencialidad" Miguel Viloria
LEE:
Con la nueva ley, si un operador profesional habilitado quiere manejar un dron por una zona urbana, necesita permiso de AESA, que exige la identificación del piloto, la ruta y la franja horaria, además de que el dron debe pasar unas auditorias y estar identificado con una placa ignífuga. La policía, sin embargo, no necesita contactar con AESA en operaciones rutinarias, solo debe establecer un protocolo de acción para justificar su operativo dron. Por ejemplo, puede usar drones en partidos de fútbol declarados de alto riesgo sin avisar a AESA, en cambio, una empresa que quiera grabar allí, necesita su permiso.
No pasaría nada si sabes que el dron es de la policía, el problema es que no tienes medios para averiguarlo. Imagina que ves un dron con cámara por la calle. ¿Qué haces? Desconfiar. Para que no ocurra eso, en CCD están creando un sistema de identificación de drones denominado Sidron, donde se identificarán los drones en vuelo en un mapa y te mostrará información básica del dron que está sobrevolando por encima de ti, como el piloto, la identificación del dron, la licencia de AESA y la empresa que pertenece. Unos datos que pueden tranquilizarte para que empieces a confiar.“La policía debería informar con detalle de las operaciones que va a realizar con drones. Si es confidencial, no se comparte, pero si se hace una operación pública, se debería de informar" — Miguel Viloria
¿Qué ocurre con las grabaciones?
“La Policía tiene sus competencias, pero se debe preservar también el derecho al anonimato, para que la ciudadanía se sienta segura" — Manuel Cristóbal
LEE:
Por otro lado, Miguel explica que desde Europa también se está trabajando en esto. “Este año se aprobará un reglamento europeo de protección de datos, donde las instituciones y las empresas están obligadas a comunicar que se están realizando grabaciones para que el ciudadano sepa que está protegido y por si ves un dron en según qué zonas —como centros urbanos o autopistas— sepas que la policía u otro organismo autorizado está haciendo grabaciones”.
“Con esas imágenes grabadas por los drones, a través del reconocimiento facial, es posible identificar personas con nombres y apellidos. Si tienen las fotos del DNI de los ciudadanos, es posible hacer el cruce con las grabaciones y sacar un listado de ciudadanos que han sido grabados, pero esperamos que lo hagan para que estemos más seguros. En este momento no se puede saber si alguien mal intencionado puede obtener esa información y utilizarla para otras finalidades”, explica el experto en ciberseguridad, que recuerda una vez más la ley de protección de datos.En definitiva, siempre que avanzamos en una dirección retrocedemos en otra. La vigilancia dron ha llegado para quedarse y una vez más nos desprendemos de un pedacito de libertad en aras de la seguridad. Pero cuando no se informa debidamente a la ciudadanía y no se es transparente, el control puede enmascararse de seguridad. Muchos somos los que pensamos así y los que esperamos que se nos informe para ganar nuestra confianza. Una vez más, les toca mover ficha.“Con esas imágenes grabadas por los drones, a través del reconocimiento facial, es posible identificar personas con nombres y apellidos" — Miguel Viloria