Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

Este artículo evalúa mediante un banco de pruebas cómo las vulnerabilidades lógicas en redes 5G SA permiten a atacantes en diversas posiciones comprometer las comunicaciones de control de UAVs, destacando la necesidad de aislar el plano de usuario y proteger la integridad de los protocolos de mando.

Lo esencial

Imagina que un dron (un avión sin piloto) es como un mascota voladora que necesita hablar constantemente con su dueño (la estación de control en el suelo) para saber a dónde ir y qué hacer. Hoy en día, muchos de estos drones se comunican usando la misma red de telefonía móvil que usamos nosotros para llamar o enviar mensajes: la red 5G.

Este artículo de investigación es como un informe de seguridad que pregunta: "¿Qué pasa si alguien malvado se mete en esa red de telefonía y trata de secuestrar a la mascota voladora?".

Los investigadores construyeron un laboratorio de pruebas (un entorno simulado) para ver qué podría salir mal. Descubrieron que hay tres formas principales en las que un atacante podría engañar al sistema, y aquí te lo explico con analogías sencillas:

1. El "Intruso en la Sala de Estar" (El Dispositivo Malicioso)

Imagina que el dron, el dueño y un ladrón están todos conectados a la misma red Wi-Fi de un edificio de apartamentos (la misma "rebanada" o slice de la red 5G).

• El problema: La red 5G, por defecto, a veces permite que los vecinos hablen directamente entre sí si están en la misma red, sin preguntar "¿quién eres?".
• El ataque: El ladrón (el dispositivo malicioso) se hace pasar por el dueño. Como el dron no tiene un "candado" especial en sus mensajes (no usa firma digital), cree que las órdenes vienen de su dueño real.
• El resultado: El ladrón le grita al dron: "¡Aterriza ahora mismo!" o le roba su ubicación. El dron obedece y cae al suelo, aunque el dueño real esté gritando lo contrario.
• La solución: Poner un candado en los mensajes (firmas digitales) para que el dron solo obedezca a quien tenga la llave correcta.

2. El "Camarero Traicionero" (El Atacante Interno)

Ahora imagina que el atacante no está en la sala, sino que tiene acceso a la cocina de la red (el núcleo de la red 5G), donde se toman las decisiones importantes.

• El problema: En la cocina, los camareros (los servidores de la red) hablan entre sí para entregar los pedidos. A veces, confían demasiado en que nadie entra a la cocina sin permiso y no revisan las credenciales de quien entra.
• El ataque: El atacante entra a la cocina y le dice al sistema: "¡Cancelen el pedido del dron!" o "¡Borren la conexión!". Como el sistema confía ciegamente en quien está dentro, obedece.
• El resultado: La conexión entre el dueño y el dron se corta de golpe. El dron, al perder el contacto, entra en modo de pánico y vuelve a casa o se detiene, interrumpiendo su misión.
• La solución: Poner un portero estricto en la cocina que verifique la identidad de todos antes de dejarlos hablar con los servidores.

3. El "Túnel de Espionaje" (La Torre de Telefonía Comprometida)

Imagina que la señal viaja desde el dueño hasta el dron pasando por una torre de telefonía (la antena).

• El problema: La torre es como un túnel por donde viaja el mensaje. Para que el mensaje llegue rápido, a veces la torre lo "desempaqueta" para leerlo y volverlo a empaquetar. Si la torre es controlada por el atacante, puede leer y cambiar el contenido del mensaje mientras pasa por ahí.
• El ataque: El atacante en la torre intercepta la orden "Vuela hacia el norte" y la cambia por "Vuela hacia el sur" antes de enviarla al dron. Como el mensaje viaja en un túnel que no tiene "sello de integridad" (nadie verifica si el papel fue alterado en el camino), el dron cree que esa es la orden original.
• El resultado: El dron vuela hacia un lugar peligroso o lejos, mientras el dueño cree que le está dando órdenes correctas.
• La solución: Asegurar el túnel (encriptar y verificar la integridad del tráfico) y, de nuevo, poner un candado en el mensaje final para que el dron sepa si fue alterado.

¿Qué nos enseña todo esto?

El estudio concluye que la seguridad no puede depender de una sola capa.

• No basta con que la red de telefonía sea segura; el dron también debe tener sus propios candados.
• No basta con que el dron sea seguro; la red no debe permitir que cualquiera hable con cualquiera sin permiso.
• No basta con que la torre sea segura; el mensaje en sí mismo debe ser inviolable.

En resumen: Para que los drones volen seguros en el futuro, necesitamos una defensa en capas: una red que sepa distinguir a los amigos de los enemigos, y un dron que no obedezca órdenes sin verificar que vienen de su dueño real. Si fallamos en cualquiera de estos puntos, un dron puede convertirse en un juguete peligroso en manos equivocadas.

Resumen técnico

Resumen Técnico

1. Planteamiento del Problema

Los Vehículos Aéreos No Tripulados (UAV) dependen críticamente de la comunicación continua con sus estaciones de control en tierra (GCS) para ejecutar comandos y transmitir telemetría. La adopción de redes 5G Standalone (SA) ofrece baja latencia y alta capacidad, permitiendo el transporte de tráfico de control sobre la infraestructura móvil. Sin embargo, la arquitectura 5G introduce nuevas superficies de ataque lógicas.

El problema central identificado es que la arquitectura 5G, por sí sola, no garantiza el aislamiento entre dispositivos conectados al mismo corte de red (slice) y nombre de red de datos (DNN), a menos que se configuren políticas adicionales. Además, interfaces internas críticas (como N4) y el plano de usuario (N3/GTP-U) a menudo carecen de protección criptográfica (integridad y confidencialidad) por decisión del operador o limitaciones de rendimiento. Esto expone a los UAVs a amenazas donde un atacante puede manipular comandos, interrumpir sesiones o suplantar identidades sin romper la cifrado de la capa de radio.

2. Metodología

Los autores desarrollaron un entorno de pruebas (testbed) controlado para simular una red 5G SA y evaluar tres modelos de amenaza específicos.

• Arquitectura del Testbed:

  • Orquestación: Kubernetes (Kind) para desplegar componentes en contenedores.
  • Núcleo 5G: Implementación Open5GS (AMF, SMF, UPF, UDM, etc.).
  • Capa de Acceso: Simulador UERANSIM para gNodeB y dispositivos UE.
  • Escenario: Un UAV, una Estación de Control en Tierra (GCS) y un agente malicioso (ROGUE).
  • Protocolos: Uso de MAVLink para la comunicación UAV-GCS (simulando software como ArduPilot/PX4) sobre un slice único (SST 1, SD 0x111111) y DNN IPv4.

• Modelos de Amenaza Evaluados:

  1. UE Malicioso (Rogue UE): Un dispositivo conectado al mismo slice y DNN que el UAV.
  2. Amenaza Interna (Insider): Un atacante con acceso al núcleo de la red, específicamente a la interfaz N4 (entre SMF y UPF).
  3. gNodeB Comprometido: Un nodo de acceso base legítimo pero controlado por el atacante, capaz de manipular el tráfico del plano de usuario.

3. Contribuciones Clave y Resultados de los Experimentos

El estudio implementó ataques específicos para cada modelo, demostrando impactos severos en la operación de los UAVs:

A. Modelo 1: Suplantación de UAV por UE Malicioso (Ataque Lateral)

• Vulnerabilidad: La falta de aislamiento estricto en el plano de usuario dentro del mismo DNN y la ausencia de firma en los mensajes MAVLink.
• Ataque: El atacante escanea el puerto 14550 (MAVLink), se conecta como una GCS secundaria (ID 255) y envía un flujo masivo de comandos MAV_CMD_NAV_LAND.
• Resultado: El UAV aceptó las órdenes maliciosas y forzó un aterrizaje, neutralizando la misión. El mecanismo de seguridad basado en timeout del corazón (heartbeat) falló porque el atacante también enviaba señales de vida.
• Lección: La autenticación a nivel de aplicación es crítica; la seguridad de la red no es suficiente si el protocolo de control no verifica la integridad de los comandos.

B. Modelo 2: Amenaza Interna (Acceso al Núcleo / Interfaz N4)

• Vulnerabilidad: La interfaz N4 (protocolo PFCP) a menudo no está protegida criptográficamente (sin IPsec/TLS) bajo la premisa de que es un entorno "de confianza".
• Ataque: El atacante se asocia con el UPF y envía una inundación de solicitudes de Delección de Sesión (Session Deletion Request) con identificadores de sesión (SEID) enumerados.
• Resultado: El UPF aceptó las solicitudes y cerró las sesiones PDU del UAV o la GCS. Esto provocó que el UAV entrara en modo de seguridad (failsafe) y regresara a su punto de origen, interrumpiendo la operación.
• Lección: Las interfaces internas del núcleo 5G no deben asumirse como seguras; requieren autenticación mutua y protección de integridad.

C. Modelo 3: Manipulación de Datos por gNodeB Comprometido

• Vulnerabilidad: El gNodeB termina el cifrado de la radio (PDCP), por lo que tiene acceso al payload en texto plano. Además, la interfaz N3 (GTP-U entre gNB y UPF) a menudo carece de protección de integridad.
• Ataque: El atacante intercepta el tráfico GTP-U en el gNodeB comprometido, decapsula el paquete, modifica las coordenadas de destino en los mensajes MAVLink (SET POSITION TARGET LOCAL NED) y re-encapsula el tráfico.
• Resultado: El UAV ejecutó órdenes de navegación alteradas, desviándose hacia coordenadas controladas por el atacante, mientras la GCS legítima creía que sus órdenes originales se estaban ejecutando.
• Lección: Un compromiso en el nodo de acceso puede manipular el tráfico de control sin romper el túnel ni ser detectado por la capa de radio o aplicación si no hay firma digital.

4. Significado y Conclusiones

El trabajo demuestra que la seguridad de las comunicaciones UAV-GCS en redes 5G no puede depender únicamente de la infraestructura de red. Se identifican tres capas de protección necesarias:

1. Aislamiento de Red: Configuración estricta de slices y DNNs para evitar la comunicación lateral no autorizada entre dispositivos en el mismo dominio lógico.
2. Protección de Interfaces Internas: Implementación obligatoria de mecanismos de autenticación mutua e integridad (ej. IPsec) en interfaces críticas como N4 y N3, eliminando la suposición de "confianza implícita" en el núcleo.
3. Seguridad de Capa de Aplicación: Es imperativo utilizar firmas digitales (signing) en los protocolos de control de UAVs (como MAVLink). Esto garantiza la integridad y autenticidad de los comandos incluso si la red subyacente ha sido comprometida o manipulada.

Impacto Final:
El estudio alerta a los operadores de redes 5G y desarrolladores de sistemas UAV sobre la necesidad de adoptar una protección multinivel. La falta de integridad en el plano de usuario de 5G y la ausencia de autenticación en los protocolos de control de drones crean un escenario donde ataques lógicos pueden causar la pérdida de control, la manipulación de la misión o la destrucción física del activo, independientemente de la robustez de la capa de radio.