La ciberseguridad es un capítulo en continua evolución a bordo de los buques y en la gestión de los puertos. No en vano el Consejo Marítimo Internacional del Báltico (BIMCO) y la Cámara Naviera Internacional (ICS) han publicado recientemente el libro Ciber Security Workbook for on board ship use. En este artículo trataré de señales AIS falsas que pueden aparecer en los equipos AIS, en las páginas webs libres como el Vessel Finder y Marine Traffic, y que afectan a los equipos de los buques y a las estaciones de control del tráfico, con el riesgo que ello supone para la seguridad. Documento en este artículo un caso de señales AIS falsas procedentes de supuestos pesqueros chinos en las proximidades de la zona de detección y lanzamiento de pateras, señales que a todas luces son falsas, ya que, como se pudo demostrar en dos ocasiones, pero especialmente como consecuencia de la ola de pateras procedentes de Argelia registrada en el Mediterráneo el pasado 28 de octubre de 2017, al menos tres de estos supuestos pesqueros transmitían señales AIS, con el mismo Call Sign, estando en posiciones diferentes y emitiendo simultáneamente en las citadas señales nombres del emisor y posiciones distintas.

Figura nº 1: Imagen AIS de falso pesquero chino en zona (señal: Vessel Finder)

Recordemos que el AIS (Automatic Identification System) opera en la banda marina de VHF FM en dos frecuencias: AIS 1 - Canal 87B en 161’975 Mhz y AIS 2 - Canal 88B en 162’025 Mhz. Puesto que todos los transpondedores utilizan la misma frecuencia, para permitir la comunicación y evitar interferencias, todos ellos se organizan en el esquema SOTDMA (Self Organized Time Division Multi Access). Este esquema establece un ciclo de tiempo de un minuto, dividido en slots o ranuras, con una duración de 26’67 milisegundos y que contiene 256 bits de información, por lo tanto en un minuto de duración se reciben 2250 slots.

Deberíamos preguntarnos ahora si es posible falsificar la posición GPS que transmite un emisor/receptor AIS, además de los propios datos que identifican al contacto en sí, por lo que sería conveniente ver los antecedentes al respecto.

El 22 de junio de 2019, la Administración Marítima de los Estados Unidos presentó un reporte acerca de una incidencia en el Mar Negro. El capitán de un buque ubicado en el puerto ruso de Novorossiysk reportó que su GPS los situaba en un lugar equivocado, concretamente a más de 32 kilómetros tierra adentro, en el aeropuerto de Gelendjik.

Al percatarse de esto, el capitán se puso en contacto con otros barcos cercanos y la sorpresa fue que sus señales AIS, que se usan para identificar de forma automática los buques, colocaban a todos dentro del mismo aeropuerto. En total 20 barcos fueron afectados y la conclusión a la que han llegado algunos expertos, aún sin confirmación oficial, es que se trató del primer caso documentado de GPS spoofing, es decir,falsificación de señales GPS.

Desde hace muchos años se ha advertido del uso del GPS spoofing en tácticas militares; sin embargo, no se ha podido demostrar que está siendo usado a gran escala por algún país. La teoría nos dice que este tipo de falsificación es capaz de suplantar la ubicación de un objeto para colocarlo en otro lugar, algo que podría servir para un sinfín de aplicaciones.

A día de hoy, el mayor problema al que se enfrentan las fuerzas marítimas respecto al GPS es el jamming, el cual crea una interferencia en la señal confundiendo al receptor y bloqueándolo. Para este tipo de ataques, algunos de los receptores GPS están equipados con una alarma que avisa cuando perdieron la señal, es decir, es sencillo detectar cuándo alguien está tratando de bloquear la señal GPS.

Sin embargo, el jamming hace que el receptor muera, mientras que el spoofing hace que el receptor mienta, y para este último no hay alarmas o formas de saber qué está ocurriendo; de ahí la preocupación acerca de esta nueva arma electrónica.

Lo ocurrido en el Mar Negro es obra de Rusia, y está en concordancia con esta nueva arma, quien desde hace años está experimentando con este nuevo formato de guerra electrónica. El año pasado, miles de personas en Moscú reportaron que sus smartphones estaban fallando al mostrar una ubicación errónea, algo que fue más evidente ante el éxito de «Pokémon Go». El fallo se centraba en la zona aledaña al Kremlin, trasladando a cualquier persona al aeropuerto de Vnukovo, a 32 km de distancia.

Hoy cualquier persona con los conocimientos suficientes puede fabricar un dispositivo de spoofing, ya que sólo necesita hardware, que se puede conseguir fácilmente, y el software puede ser descargado en Internet. Debido a que las señales de satélite son muy débiles, se necesita muy poca energía para falsificar señales de forma efectiva. Es obvio que estamos ante una amenaza seria, una que podría causar colisiones en aguas con mal tiempo y afectar al seguimiento y control del tráfico marítimo. Es obvio que varios gobiernos (y organizaciones delictivas) ya están equipados con dispositivos de spoofing, y el ejemplo más claro es lo que pasó en el Mar Negro, que documenta un dispositivo capaz de causar una interrupción generalizada.

Actualmente falsificar la señal GPS es fácil y existen herramientas en el mercado, como es el caso de: Location Spoofer, desarrollada por LSDroid, desarrolladores del conocido Cerberus, que nos va a permitir modificar las coordenadas de nuestro GPS guardadas en nuestro dispositivo de manera que podamos engañar a cualquier aplicación falsificando nuestra ubicación real por otra falsa establecida por el usuario. Location Spoofer cuenta con una versión gratuita y una de pago. La versión gratuita tiene publicidad y algunas limitaciones, aunque nos sirve perfectamente para ver en términos generales el programa y utilizarlo de forma esporádica.

Podemos descargar ambas aplicaciones desde la Play Store:

·         Location Spoofer Free

·         Localtion Spoofer Pro

Una vez descargada la aplicación la ejecutamos en nuestro dispositivo y veremos una ventana similar a la siguiente.

 

Figura nº 2: Imagen del programa “Location Spoofer”

Como podemos ver, el uso de Location Spoofer es muy sencillo de utilizar. Disponemos de dos cuadros de texto (latitud y longitud) donde escribir nuestras coordenadas y los minutos durante los cuales queremos falsificar nuestra ubicación. Igualmente tenemos dos opciones que nos permiten elegir si queremos simular movimiento aleatorio por la zona o si queremos aplicar las coordenadas físicamente en el GPS de manera que nuestra ubicación quede falsificada hasta el reinicio del dispositivo.

Una vez establecidas las coordenadas y las configuraciones que deseemos debemos pulsar sobre “Start Spoofing” para que el programa empiece a falsificar nuestras coordenadas GPS. Es posible que debamos tener que activar la opción “Ubicaciones simuladas” en las opciones de desarrollo de Android para que esta herramienta funcione sin problemas.

Una vez que se encuentra falsificada nuestra ubicación, ya podemos pasar el programa segundo plano y abrir otra herramienta que haga uso del GPS, por ejemplo, AIS. Al intentar habilitar la ubicación de AIS automáticamente veremos la previamente especificada en el programa como si estuviéramos escribiendo desde allí. Nuestros seguidores verán como ubicación actual (falsificada por Location Spoofer) sin saber exactamente cuál será nuestra ubicación real. Esta herramienta puede ser práctica tanto para probar diferentes aplicaciones con limitaciones geográficas, como para ayudar a escapar de algún que otro compromiso aportando una posición voluntariamente errónea.

Marine Traffices una web en la que podemos visualizar, en tiempo real y con información detallada, el tráfico marítimo de casi cualquier rincón del planeta. Sus mapas nos permitirán geolocalizar los tipos de barco clasificándolos en barcos de pasajeros, cabotaje, barcos cisterna, barcos de alta velocidad, remolcadores, yates, pesqueros, ayudas a la navegación, barcos amarrados o —más generalmente— barcos navegando en ruta o no clasificados (los más interesantes para temas de OSINT-Inteligencia electrónica).

Con respecto a las señales AIS, y su posibilidad de replicación, debemos considerar:

1. Se puede decodificar la señal AIS con un SDR. Para decodificar las tramas de datos AIS, sólo hace falta un equipo receptor SDR como el que se observa en la figura. Soluciones software que nos permitan decodificar los mensajes AIS hay muchas, aquí mostrare sólo algunos ejemplos: • AISDeco2 • AISmon • Gr-ais.

Figura nº 3: Receptor y software para modificar señales AIS

2. Si combinamos un software capaz de recibir y decodificar las señales AIS como rtl-ais, y un software que nos permita geoposicionar los barcos, tendremos capacidad de visualizar contactos falsos en los sistemas AIS. Dependiendo de la ubicación y de las características de nuestro sistema de recepción, obtendremos trazas de distancias más lejanas.

3. Generando tráfico AIS con un SDR hace tres años, un par de investigadores de TrendMicro presentaron en una reconocida conferencia de seguridad de EEUU los riesgos asociados al protocolo AIS. No sólo presentaron los riesgos, sino que con la ayuda de equipos SDR y GNU Radio diseñaron un software capaz de generar tramas falsas AIVDM y transmitirlas vía radio.

4. AIS Man in the Middle Attack. Un atacante podría mediante el uso de un equipo SDR con capacidad de transmisión (Tx) como HackRF, BladeRF, USRP, etc. generar tramas AIVMD con información falsa, transmitirlas cerca de una antena receptora de AIS, de forma que las podría inyectar tráfico. Analizando todo el tráfico generado por un equipo de una compañía como Marine Traffic, se podría llegar a estudiar cómo se hace la transferencia de información desde el host hasta los servidores de esta compañía.

Figura nº 4: Ataque MitM. Generación de información AIVMD falsas

5. En la actualidad, empresas como Marine Traffic, para ampliar la cobertura, permiten que usuarios puedan instalarse en sus azoteas equipos receptores AIS y que las señales recibidas por éstos se inyecten en la web a través de la conexión a Internet. Un atacante podría realizar un ataque MitM (Man in the Middle), de forma que podría modificar o inyectar tráfico en la red, con diferentes propósitos, todos ellos ilegales.

6. Si un atacante fuese capaz de generar trazas falsas de AIS o GPS, podría incluso llegar a modificar la trayectoria de una embarcación y desviarla de su rumbo original. Muchos de los “autopilot” de las embarcaciones basan su ruta en las señales AIS y GPS que reciben de los sensores, por lo que una modificación de éstas podría afectar a la seguridad de la navegación.

7. Los ataques que se pueden llevar a cabo vía IP o RF al protocolo AIS. Entre otros, éstos son algunos de los ataques que teóricamente se pueden llevar a cabo: AIS-SART Spoofing: Los equipos SART son equipos que ayudan a localizar barcos o personas en el mar. Un atacante podría generar una localización y una señal falsa que hiciese que se desplegasen equipos SAR (Search & Rescue). Incluso inyectar señales falsas que ayuden al movimiento encubierto tierra mar / mar tierra de embarcaciones.

Figura 5: Uso del equipo SDR con capacidad de Tx para generar AIVDM (Tramas falsas)

8. Sistemas vSAT (Shodan Ship Tracker): No es ninguna novedad ver que cada vez conectamos más cosas a Internet. El IoT ya no es una palabra de moda, hoy en día casi todo está conectado de una forma u otra a Internet. Un grupo de investigadores descubrió un dispositivo embarcado que estaba conectado a Internet y que además proporcionaba información sobre su posición. Con estos datos crearon el proyecto “Ship Tracker” en el que, en tiempo real, muestran información de esos dispositivos sobre un mapa. Con una simple búsqueda en Shodan era posible encontrar estos dispositivos con una configuración por defecto (la gran mayoría disponían de credenciales por defecto). Estos dispositivos están compuestos por una o varias antenas vSAT, una unidad encargada de realizar las funciones de un router para dotar de conectividad a Internet a la embarcación.

No sólo se consiguió localizar cientos de estos dispositivos en Intenret mediante Shodan, sino que algunos investigadores consiguieron incluso acceder mediante TELNET o SSH a los dispositivos. Viendo que era posible subir un nuevo firmaware y/o cambiar la configuración de estos dispositivos. Además, por si no fuese suficiente, investigadores consiguieron encontrar un código que permitiría a una persona maliciosa resetear el password de administrador de estos dispositivos embarcados. Por lo que, en el caso de que se hubiese cambiado el password por defecto y estando conectada directamente a Internet, sería posible cambiar dicho password y hacerse con el control del equipo.

Figura nº 6: Sistema vSAT (Shodan ship Tracker)

9. El sistema vSAT puede dar acceso a los sistemas IP de los barcos. Ya hemos visto cómo muchos de los sistemas de comunicaciones vSAT de los buques pueden llegar a ser accesibles mediante Internet a través de SHODAN. Imaginemos por un momento que un atacante pudiese llegar a conseguir acceso a la red interna del buque o instalación terrestre de seguimiento para instalar un malware o ransomware capaz incluso de inutilizar o modificar algunos de los sistemas de a bordo del buque o de una instalación terrestre (VTS).

10. Hasta hace muy poco, nadie era capaz de imaginar que se pudiese manipular una señal de GPS / AIS de forma sencilla y con un coste relativamente bajo. El acceso al sistema GPS y sus capacidades han crecido tan rápido y se ha convertido en algo tan normal y cotidiano que no ha dado tiempo a que nos planteemos la seguridad de este sistema y las implicaciones que pudiera tener la explotación de vulnerabilidades. El profesor Todd Humphreys y su equipo (ver vídeo en you tube) demostraron, ya en el año 2013, las capacidades que podría tener un atacante si se hiciese con el control de un dispositivo GPS / AIS.

11. Incidentes recientes demostraron que no hace falta ser una superpotencia, un posible atacante con capacidad de adquirir los medios adecuados podría ser capaz de generar una señal falsa de GPS que podría afectar a la navegación de las embarcaciones cercanas. No sólo podría suplantar la posición GPS, la alteración de la hora; también podría afectar a otros sistemas de ayuda a la navegación. La reciente sucesión de incidentes relacionados con la interferencia de la señal GPS puede que obligue a que al final se tomen medidas.

12. La combinación, correlación y análisis de la información recibida por AIS junto con otras fuentes como ADS-B, GPS, o búsquedas en Google, puede ayudar a la toma de decisiones y a la detección de patrones anómalos que puedan suponer un riesgo o amenaza. Con unas simples búsquedas en Internet se podría averiguar la posición real de una embarcación cuya señal AIS ha sido modificada. Por supuesto, su posición exacta, o incluso otra información anexa (puerto salida, destino, ETA, ETD, rumbo, velocidad...) puede ser obtenida empleando como dato de búsqueda su Call sign o MMSI, en una página web especializada en dichas búsquedas (como Marine Traffic).

13. Como caso real comprobé que, en todas las ocasiones que durante el mes de octubre de 2017 se han detectado grupos de pateras en aproximación a la costa de Murcia (en ocasiones oleadas), a escasa distancia unas de otras (aproximadamente dos millas), se ha comprobado al mismo tiempo que contactos como los descritos en este informe, y que se identifican en el AIS como pesqueros chinos, se encontraban a una distancia de entre 100 y 150 millas en el momento de la detección del grupo de pateras.

Figura nº 7: Imagen AIS de supuesto pesquero chino parado entre las costas argelinas y españolas el 7, 8, 9 y 10 de noviembre de 2017.

14. En el momento de redactar el presente informe, y durante los días anteriores, se detectó la señal AIS falsa del supuesto pesquero chino LPIYU67110 parado en latitud: 37º-23,2 N – Longitud: 000º-19,2 E, y transmitiendo el MMSI: 796917810. Se desconoce cuál es el propósito de la emisión de esta señal; en todo caso, se ha comprobado que este tipo de emisiones siempre son previas o están en relación con oleadas de pateras que se proyectan sobre las costas de Murcia, previsiblemente desde Argelia, como la registrada el pasado 28 de octubre.

Por lo expuesto, será conveniente efectuar una misión de barrido electrónico y/u operación ELINT, encaminada a investigar los contactos AIS falsos y su relación con las oleadas de pateras sobre las costas de Murcia.

Desde hace más de una década, el tráfico marítimo cuenta con un aliado que se consideraba en la seguridad. Más de 300.000 buques de todo el mundo utilizan el llamado Sistema de Identificación Automática (AIS) para monitorizar suposición y evitar colisiones.El sistema aporta información sobre el barco, la mercancía que lleva y su destino. Además, los datos están abiertos al público. Las empresas de software conocen que las transmisiones no están encriptadas, y por lo tanto son muy vulnerables, y pusieron en marcha una investigación que concluye ahora con el estudio A Security Evaluation of AIS (Una evaluación de seguridad del AIS).

Tras la evaluación quedó demostrado que el protocolo de configuración de señales AIS/GPS se ve afectado por varias amenazas, abriendo la puerta para que los agentes maliciosos puedan descubrir y aprovechar las posibilidades de ataque y generar desde ecos falsos hasta la posibilidad de cambiar la posición de un buque, simular una colisión y otras muchas, como he indicado en este artículo. Se ha hecho llegar a las organizaciones internacionales implicadas las notificaciones oportunas para mejorar la seguridad general; sin embargo, la respuesta por ahora no ha sido positiva, probablemente porque aumentar la seguridad del AIS requerirá la encriptación del software, lo que implica una inversión fuerte, y como en otras ocasiones, esto no será posible hasta que no ocurra una tragedia.