Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Radares virtuales basados en web

Fecha de publicación 11/11/2022
Autor
Víctor Rivero Díez (INCIBE)
Imagen decorativa

La evolución de las Tecnologías de la Información y la Comunicación (TIC), presentes en prácticamente la totalidad de los sectores industriales e infraestructuras críticas en la actualidad, ha dado lugar a la era o sociedad de la información. Un periodo en la historia de la humanidad caracterizado por el gran volumen de información que se encuentra a disposición del usuario a través de diversas fuentes.

Dichas fuentes podrán ser digitales si sus datos son generados de forma digital o han pasado por una etapa de conversión o digitalización previa a su presentación, como ocurre en la medición con un calibre digital. Por el contrario, se encuentran las fuentes de información no digitales en las que podemos englobar desde un libro en papel, a la ofrecida por una instrumentación analógica a través de agujas, numeración mecánica u otros mecanismos.

Centrándonos en las fuentes de información digitales, el medio por excelencia para acceder a estas es Internet, bien a través de un ordenador, un smartphone, una tablet o algún otro dispositivo electrónico conectado, al tratarse de información ubicada en la Red. Independientemente del dispositivo, estas fuentes podrán ser abiertas o cerradas, es decir, que podrán ser accesibles a cualquier usuario (acceso público) o únicamente a aquellos que cumplan con algún requisito, como estar registrado o haber pagado una cuota.

Llegado a este punto, entra en juego el concepto de OSINT (Open Source Intelligence), ya abordado en el artículo “OSINT – La información es poder”, por el que los datos extraídos de fuentes digitales de acceso público son procesados, analizados y presentados al usuario, ofreciendo un conocimiento útil que no siempre podría llegar a usuarios con buenas intenciones.

Webs y apps de radar

En la actualidad existe un tipo de sitios y aplicaciones web, a los que vamos a denominar radares virtuales basados en web, que nos ofrecen información en tiempo real sobre los principales medios de transporte mediante técnicas OSINT, SIGINT (SIGnal INTelligence) y GEOINT (GEOspatial INTelligence). Entre la información que es presentada en la interfaz de usuario, destaca el geoposicionamiento de aeronaves, embarcaciones, trenes u otros vehículos, junto con una detallada ficha técnica correspondiente a cada uno de los ellos.

Varios ejemplos de estos radares virtuales basados en web, se facilitan en los enlaces de a continuación:

Algunos de los datos presentados más relevantes se recogen en la siguiente tabla:

- Muestra de datos mostrados por radares web -

No todos los radares virtuales ofrecen la misma cantidad de información, ni su totalidad es presentada sin una subscripción de pago. Sin embargo, es frecuente que siempre se facilite algún dato relevante de forma abierta, como por ejemplo la dirección OACI de las aeronaves, con el que a través de una búsqueda rápida en Internet y otras fuentes, un usuario podría encontrar el resto de datos complementarios que le interesan.

La tasa de refresco, la precisión y la exactitud de la información presentada no sólo dependen de las prestaciones de la plataforma web, sino también de las características técnicas de los equipos embarcados, los protocolos de comunicación empleados, la actualización de las bases de datos o los algoritmos de predicción implementados, es decir, dependerán de las fuentes de información y las tecnologías intermedias participantes. Por tanto, no todos los radares web mostrarán la misma información de la misma manera, existirán unos márgenes de error en cuanto al tiempo y la posición.

Origen de los datos

Los datos en bruto, de los que se surten los radares virtuales basados en web y que posteriormente son procesados, pueden proceder de una o múltiples fuentes de información, que podrían ser clasificadas en tres grandes grupos:

  • El primer grupo alberga todas aquellas fuentes cuyo origen se halla en alguno de los equipos embarcados en los vehículos, destinado a recopilar información del ordenador de a bordo y enviarla a través de algún protocolo de telecomunicaciones de forma periódica, llegando a un receptor compatible. Entre los protocolos y tecnologías, destacan: ADS-B (Automatic Dependent Surveillance – Broadcast), AIS (Automatic Identification System), Inmarsat-C y otros enlaces por satélite, redes de datos móviles, multilateración (MLAT), entre otros. Los datos transmitidos desde los vehículos son captados por una red de receptores dedicados y gestionados por una empresa que ofrece servicios de vigilancia o rastreo de transportes (proveedores de servicios de seguimiento). Asimismo, también podrán ser captados por cualquier  persona que disponga del equipamiento adecuado según el protocolo o tecnología. En este segundo caso, esos usuarios individuales podrán crear sus propios servidores de datos o contribuir, como un receptor más, a la red de receptores de una empresa, del tipo antes mencionado, siguiendo unas determinadas políticas de actuación.
  • El segundo grupo recoge todos aquellos sistemas, que de forma independiente a los equipos embarcados, pueden obtener información que identifique a los vehículos. Un claro ejemplo son los radares primarios de tierra.
  • Finalmente, el tercer grupo engloba a aquellas fuentes de información que están constituidas por bases de datos de entidades, empresas u organismos responsables o relacionados con el sector transporte. En ellas, se recopilan datos de horarios, estados o alertas de los vehículos, siendo accesibles de forma pública y gratuita. Un ejemplo de esas entidades podrían ser las operadoras nacionales o administraciones públicas, como la EMT Madrid. Dentro de este grupo, destacan los datos GTFS(General Transit Feed Specification). Se trata de un estándar que determina un formato en el que se relacionan las variables tiempo y geoposición para un vehículo dentro de una red transporte.

- Tipos de datos proporcionados por un feed GTFS a una aplicación de planificación de viajes. Fuente: Risum -

La combinación de diferentes fuentes de información es un hecho frecuente y todos sus datos finalizan por ser almacenados en una base de datos común y dedicada al servidor asociado a la web o aplicación que ofrecerá el servicio de radar. En esa combinación, destaca la introducción de información adicional relativa a cartografía, meteorológica, líneas de transporte, estado del tráfico, ubicación de paradas, fotos de los vehículos, entre otras.

¿Y la confidencialidad?

Actualmente existe la necesidad de conocer la actividad de los medios de transporte por parte de múltiples empresas pertenecientes a la industria del transporte, comercio o logística, para desarrollar tareas de seguimiento de activos, planificación de rutas o gestión de recursos mediante Big Data. Esa necesidad está cubierta por los radares virtuales basados en web, de ahí su existencia.

Ahora bien, el hecho de acercarse y consultar el monitor donde se muestran las horas de salida y de llegada de los vuelos de un aeropuerto, o informarse del tiempo estimado de llegada de un autobús a la marquesina en la que uno se encuentra esperándolo, resulta de gran utilidad para cualquier usuario. No representa una información sensible. Lo mismo ocurre cuando uno consulta, a través de  Internet, con qué frecuencia un determinado metro hace parada en una estación concreta.

Sin embargo, el saber en qué punto del trayecto (atravesando un túnel, sobrevolando una ciudad, navegando por un estrecho…) o en qué estado (parado, en movimiento, fuera de servicio…) se encuentra un vehículo de transporte, identificado de una forma u otra unívocamente, como anteriormente se ha explicado, representa una información, que en su conjunto, se vuelve más sensible que la del párrafo anterior, y un potencial riesgo en materia de ciberseguridad. Es decir, que podría ser de utilidad para fines malintencionados, no sólo para perpetrar ataques a nivel cibernético, sino también otros a nivel físico por parte de terroristas.

Es por tanto que tal transparencia de la información está despertando cierta preocupación en cuanto a su confidencialidad. Así, por ejemplo, lo demuestra la FAA (Federal Aviation Administration), la entidad gubernamental responsable de la seguridad y regulación de la aviación civil en los Estados Unidos, a través de su página web:

“FAA es consciente del deseo de algunos operadores de restringir la disponibilidad de la información de posición ADS-B e identificación de una aeronave específica en tiempo real.”

Este ejemplo se centra en el transporte aéreo, pero es un hecho extrapolable al resto de medios de transporte, ya que el tipo de información es el mismo, como se pudo comprobar en la tabla anterior.

A día de hoy, ya existen algunas soluciones que abordan esta problemática, pero como uno mismo puede comprobar aún queda mucho por hacer. Algunos ejemplos son el programa PIA (Privacy ICAO Address) o el establecimiento de un registro de acceso en los propios radares web que restrinja la lectura de los datos solo a usuarios autorizados.

Etiquetas