Lo que deberías saber de la vigilancia dron policial que empieza hoy

A partir de hoy, el panorama de seguridad pública cambia sustancialmente. Hoy se inaugura el Mobile World Congress (MWC) en Barcelona, y con él se ha establecido el primer operativo dron de vigilancia por parte de los Mossos d’Esquadra para garantizar la seguridad pública. Que sea la primera vez que el Estado va a vigilar con drones puede sorprender, pero tendrás que acostumbrarte porque el futuro ya está aquí.

LEE:

El pasado 29 de diciembre, el Congreso de los Diputados aprobó el Real Decreto 1036/2017, o lo que es lo mismo, la nueva ley de regulación dron, norma confeccionada por AESA —Agencia Estatal de Seguridad Aérea—, que amplía y especifica el marco jurídico ante el gran crecimiento del sector que cuenta con más de 3.000 licencias profesionales por todo el territorio español. Por su parte, organismos como la DGT, el CNI, Aduanas y Cuerpos y Fuerzas de Seguridad del Estado quedan exentos del cumplimiento de esta nueva regulación, aunque sí deben respetar unos mínimos.

Barcelona sigue en el nivel 4 sobre 5 de alerta terrorista, pero desde el Gobierno todavía no han informado sobre cómo la vigilancia dron va a impactar en nuestro día a día, qué tipo de software van a utilizar —por ejemplo, reconocimiento facial—, cómo se puede identificar un dron policial o qué nivel de cifrado ofrecen más allá de la demostración en Gavà del pasado jueves.

Para ver las vulnerabilidades o los vacíos legales que nos pueden afectar a partir de hoy, he contactado con distintos expertos e ingenieros de la empresa de servicios dron Hemav y del Centro de Ciberseguridad Dron (CCD), centro de información que tiene como cometido concienciar al ciudadano de las implicaciones de los riesgos de privacidad dron y donde realizan estudios para testar los niveles de seguridad de los fabricantes y así desarrollar nuevas tecnologías de cifrado y seguridad, e instar a organismos como AESA o el Instituto Nacional de Ciberseguridad a que se legisle debidamente en lo que ya es una realidad.

Comencemos con los cambios que han llevado al Estado a incorporar unidades de vigilancia dron en sus protocolos de vigilancia pública. El primero de los beneficios está claro: el incremento de visibilidad con un ángulo de vigilancia aéreo retransmitido en directo. Se tienen más ojos y se acelera la respuesta policial, sin olvidar que se aumenta la accesibilidad donde los humanos estamos limitados. De hecho, ya ha habido casos de éxito en operaciones policiales puntuales.

Un equipo dron es mucho más económico que un despliegue por aire con helicópteros o coordinación policial en distintos puntos altos. En este caso, los Mossos anunciaron que contaban con 4 equipos DJI Phantom 4, drones con cámara de 4 rotores, y un equipo DJI Matrice 600 de 6 hélices más completo.

Aunque antes haya mencionado que la ley exime a los Cuerpos y Fuerzas de Seguridad del Estado, lo que sí que exige es que los policías que manejen las aeronaves dispongan de la licencia profesional de pilotos de dron y, a su vez, puede exigir que se suba el nivel con más cursos. Por ejemplo, “hacer un curso de gestión de emergencias con dron en multitud de personas para tener más seguridad. Esto se marca a nivel interno. Cada cuerpo de policía tendrá sus propios protocolos de acción que deberán de ser aprobados por AESA. Si no lo tienen a día de hoy, lo tendrán dentro de poco”, explica Albert Zoroa, gestor de contenido y piloto profesional dron en Hemav.

A su vez, los equipos dron no pueden poner en peligro la seguridad pública y, en caso de que operen en espacio controlado, como en el MWC, que coge espacio aéreo del aeropuerto de El Prat, deben coordinarse con AESA y Enaire, que es el gestor de espacios aéreos. Si el espacio aéreo en el que deben intervenir no es controlado, no necesitan una coordinación expresa.

Por último, la policía realiza actividades de seguridad en el marco de sus competencias, prevención y mantenimiento del orden público, vigilancia de espectáculos públicos, así como protección de edificios e instalaciones que por su interés lo requieran, pero en ningún caso esa vigilancia puede realizarse en espacios privados, como tu casa, donde se requeriría una autorización judicial.

El primer punto es que, que puede generar controversia, es que, como cualquier dispositivo a control remoto, las interferencias pueden bloquearlo. Manuel Cristóbal, del Centro de Cibersegurida de Drones explica que como la señal entre emisor y receptor es vía wifi y en ámbitos urbanos hay infinidad de señales, fácilmente pueden tener interferencias.

“Nosotros hemos hecho pruebas para provocar interferencias con antenas wifi con drones iguales o similares de los que van a utilizar los Mossos. Detectamos la dirección MAC y el SSID del dron. Esto se obtiene de igual manera que, por ejemplo, cuando pillas wifi de un hotel. Es una información que viaja en abierto y nos da muchos datos sobre el dispositivo: fabricante del dron y, en algunos casos, incluso el modelo. Si localizamos una señal de este tipo, podemos realizar un ataque dirigido para provocar una interferencia que active el return to home —sistema de seguridad que tiene el dron para volver al punto de origen—. En ningún caso caería desplomado, pero sí que se inhabilitaría”, concluye Manuel.

Miguel Viloria, experto en ciberseguridad y director del CCD, expresa que la gran amenaza es la cierta facilidad con que se pueden hackear la mayoría de drones: “Los drones emiten dos señales wifi: la del control remoto del dron, que permite manejarlo; y la señal de la cámara, que viaja por un canal wifi distinto. El problema es que estas comunicaciones no siempre van cifradas de serie, o los algoritmos de cifrado que se emplean son vulnerables, entonces no estamos hablando de denegación de servicio, de bloquear el dron, sino que es un ataque a la confidencialidad. Puedes acceder a esa comunicación si no viaja convenientemente cifrada, interceptarla y te puedes hacer con esas grabaciones”.

“Los Cuerpos y Fuerzas de Seguridad del Estado deben emplear siempre mecanismos de seguridad avanzados, y realizar auditorias de las comunicaciones, para operar con seguridad dron", insiste Miguel. “Por ejemplo, qué auditorias y pruebas han pasado para certificar la seguridad. Los profesionales del sector están obligados a pasarlas, pero desconocemos las medidas de seguridad que emplea el estado en estos casos". De momento no han informado, del mismo modo que tampoco conocemos si un dron que avistamos es de la policía o no.

LEE:

Con la nueva ley, si un operador profesional habilitado quiere manejar un dron por una zona urbana, necesita permiso de AESA, que exige la identificación del piloto, la ruta y la franja horaria, además de que el dron debe pasar unas auditorias y estar identificado con una placa ignífuga. La policía, sin embargo, no necesita contactar con AESA en operaciones rutinarias, solo debe establecer un protocolo de acción para justificar su operativo dron. Por ejemplo, puede usar drones en partidos de fútbol declarados de alto riesgo sin avisar a AESA, en cambio, una empresa que quiera grabar allí, necesita su permiso.

No pasaría nada si sabes que el dron es de la policía, el problema es que no tienes medios para averiguarlo. Imagina que ves un dron con cámara por la calle. ¿Qué haces? Desconfiar. Para que no ocurra eso, en CCD están creando un sistema de identificación de drones denominado Sidron, donde se identificarán los drones en vuelo en un mapa y te mostrará información básica del dron que está sobrevolando por encima de ti, como el piloto, la identificación del dron, la licencia de AESA y la empresa que pertenece. Unos datos que pueden tranquilizarte para que empieces a confiar.

“La policía debería informar con detalle de las operaciones que va a realizar con drones. Si es confidencial, no se comparte, pero si se hace una operación pública, se debería informar. Los drones de la policía no llevan distintivo especial que puedan se reconocidos como tales, y eso puede generar duda, salvo que veas al agente. Es difícil, porque no van con distintivos que sean fácilmente reconocibles, como una sirena, o que registraran sus operaciones de manera informativa y pública”, advierte el director del Centro de Ciberseguridad en Drones.

A día de hoy, existen multitud de cámaras ciudades o en autopistas para la prevención de la seguridad. En el marco de investigaciones policiales, son múltiples los dispositivos de los que se puede extraer información desde nuestro smartphone, como conversaciones, correos electrónicos o ubicación, y a los que ya estamos acostumbrados. Sin embargo, ¿por qué la vigilancia dron genera tanto recelo?

Seguramente es porque desde el Gobierno no se ha informado explícitamente a la ciudadanía sobre cuál es la finalidad por la que se hacen las grabaciones en eventos públicos. Porque si hoy empieza en el MWC, mañana los podremos ver en otros eventos o manifestaciones que tan acostumbrados estamos en estos últimos tiempos. ¿Qué pasará cuando haya drones por primera vez en una manifestación?

“La Policía tiene sus competencias, pero se debe preservar también el derecho al anonimato, para que la ciudadanía se sienta segura. La desinformación hace pensar que se puedan extralimitar o realizar acciones fuera de sus competencias", comenta Manuel Cristóbal. “Cuando hay un caso policial, se recogen datos de todo tipo, siempre y cuando haya orden judicial. Mientras lo estén haciendo de forma autorizada y dentro de su competencia legal, no lo veo mal. Lo que veo mal es que lo hagan empresas como Google con las cámaras de Street View, o la condiciones que aceptamos sin leer en multitud de apps. Eso sí que me produce más desconfianza e inseguridad”.

LEE:

Por otro lado, Miguel explica que desde Europa también se está trabajando en esto. “Este año se aprobará un reglamento europeo de protección de datos, donde las instituciones y las empresas están obligadas a comunicar que se están realizando grabaciones para que el ciudadano sepa que está protegido y por si ves un dron en según qué zonas —como centros urbanos o autopistas— sepas que la policía u otro organismo autorizado está haciendo grabaciones”.

“Con esas imágenes grabadas por los drones, a través del reconocimiento facial, es posible identificar personas con nombres y apellidos. Si tienen las fotos del DNI de los ciudadanos, es posible hacer el cruce con las grabaciones y sacar un listado de ciudadanos que han sido grabados, pero esperamos que lo hagan para que estemos más seguros. En este momento no se puede saber si alguien mal intencionado puede obtener esa información y utilizarla para otras finalidades”, explica el experto en ciberseguridad, que recuerda una vez más la ley de protección de datos.

En definitiva, siempre que avanzamos en una dirección retrocedemos en otra. La vigilancia dron ha llegado para quedarse y una vez más nos desprendemos de un pedacito de libertad en aras de la seguridad. Pero cuando no se informa debidamente a la ciudadanía y no se es transparente, el control puede enmascararse de seguridad. Muchos somos los que pensamos así y los que esperamos que se nos informe para ganar nuestra confianza. Una vez más, les toca mover ficha.