La seguridad de los datos del SLB es un asunto de la mayor importancia para la industria pesquera. También lo es para las instituciones de control, puesto que es probable que sean responsables de la seguridad de los datos como consecuencia de la propia legislación, de un contrato, o de un acuerdo internacional. La seguridad va mas allá de proteger la privacidad de los datos y su importancia en la implementación del SLB es muy grande.
Bajo el titulo general de seguridad pueden ser incluidos diferentes conceptos. Los siguientes son los más relevantes para el SLB.
Integridad - si un dato ha sido o no modificado, o si el funcionamiento de un proceso es el esperado.
Autenticidad - si el origen de los datos puede ser positivamente identificado y aceptado como válido.
Secreto - si una persona no autorizada puede o no acceder a los datos.
No-repudiación - si el que envía o recibe los datos puede o no negar fraudulentamente el envío o recepción de dichos datos.
Capacidad de verificación - hasta que punto todos los aspectos de seguridad pueden ser verificados mediante el examen de los archivos.
Todos los conceptos anteriores no son específicos de determinadas funciones o componentes del SLB, por lo que deben de ser tenidos en cuenta en el momento del diseño del mismo.
Aunque un documento sobre las normas y estándares del SLB no parezca el lugar más adecuado para tratar detalladamente la seguridad del SLB, hay que tener en cuenta que este asunto tiene una importancia vital. Si los operadores del SLB no estuviesen convencidos de la integridad de los datos que están recibiendo durante el funcionamiento normal del sistema, la utilización del SLB para el control pesquero se vería seriamente comprometida.
Es más, en el contexto de las operaciones internacionales, en las que los buques de un determinado pabellón están autorizados para faenar en aguas de un Estado costero diferente, este último debe tener una certeza total sobre la integridad de los datos procedentes de los equipos instalados a bordo de los buques extranjeros.
Finalmente, debe reconocerse que el SLB se utiliza principalmente como una herramienta para la protección pesquera, que en realidad no es más que forma específica de actividad policial. Un operador de buques poco escrupuloso puede obtener beneficios sustanciales evitando el seguimiento, por lo cual es esencial que los componentes del ELB sean diseñados de forma que resulte invulnerable, en la medida de lo razonablemente posible, a los intentos de corrupción de los datos u otros modos de fraude.
La respuesta a éste problema por parte de algunas Autoridades pesqueras (por ejemplo Portugal, España, Argentina y Marruecos) ha sido crear un ELB que es virtualmente un equipo blindado: se instala a bordo del buque dentro de una caja de metal reforzada y ofrece una interfaz con las funciones mínimas necesarias para llevar a cabo comunicaciones bidireccionales y, quizás, cumplir con la responsabilidad de informar las cantidades capturadas.
Aunque esta pudiera considerarse una solución posible, los autores de este documento opinan que este enfoque es erróneo por varias razones. La más importante es que la seguridad que se añade a dichas instalaciones no justifica el consecuente incremento de los costes.
El objetivo de proteger de este modo el sistema es hacerlo seguro e invulnerable a cualquier tipo de manipulación. Sin embargo, como veremos posteriormente, la trampa más habitual consiste en bloquear la transmisión a nivel de la antena, lo cual no puede evitarse mediante ningún tipo de blindaje o dispositivo de seguridad.
Además, cada uno de estos ELB cuesta varias veces el precio de una unidad estándar, y el hecho de que tengan que ser fabricadas según el diseño del usuario implica que la producción siempre será pequeña y los precios relativamente altos. Por otra parte, el mantenimiento o substitución del equipo es, cuando menos, problemático, particularmente en el caso de buques con gran movilidad que operen en aguas distantes.
Los defensores de este enfoque argumentan que la solución es desarrollar normas y estándares específicas para los ELB. Sin embargo es difícil pensar que, en un mundo en el que los gestores pesqueros tienen dificultades para convenir un simple formato de presentación de la posición y los datos de capturas, podrían alcanzar un acuerdo sobre un proyecto con tantos parámetros y variables como es el diseño de un ELB. Además, este hardware correspondería con un «sueño imposible» desde el punto de vista tecnológico: la capacidad de operar con todos los sistemas actuales y futuros de satélite, sin quedar obsoleto en un corto periodo de años.
Debe tenerse en cuenta que el SLB es un medio para realizar una gestión eficiente de la pesca, no un fin en si mismo. Utilizando un equipo estándar que cumpla con normas razonables tanto para la fabricación como para la instalación, es posible impedir todos los intentos de trampear el SLB, salvo los más ingeniosos, en sentido tecnológico y económico. Puede esperarse que incluso los más ingeniosos sean finalmente detectados gracias al funcionamiento eficiente de la protección pesquera.
Contando con los datos adicionales sobre movimiento de flotas que proporciona el SLB, sería cuestión de tiempo que, alguien que esté falseando los datos transmitidos por su SLB, sea avistado por un buque o avión de vigilancia en una posición muy diferente de la que transmite. Si llegado este caso, la Autoridad responsable de la protección del caladero en que el citado buque pesquero esté faenando, no impone una sanción lo suficientemente severa para que sirva de disuasivo frente a futuras violaciones del esquema SLB, el compromiso de dicha Autoridad en asegurar la viabilidad a largo plazo de sus recursos naturales debe ser puesto seriamente en duda.
Pueden identificarse claramente cinco maneras de manipular el funcionamiento normal de un ELB. Describiremos cada una de ellas antes de discutir sobre el tipo de normas y estándares que pueden ser exigidos en el diseño, fabricación e instalación del ELB, con objeto de neutralizarlas.
Esta es la manera mas obvia y corriente de neutralizar el ELB. Como sucede con muchas técnicas sencillas, es enormemente eficiente y difícil de contrarrestar. En la práctica el bloqueo se realiza casi siempre cubriendo la antena con un objeto de algún material que interrumpa la visión directa del satélite. Puede lograrse casi con cualquier cosa, siendo la más común un objeto con forma de cubo.
La vista de una antena cubierta puede despertar una curiosidad no deseada, por lo que otra alternativa más discreta sería cubrir la antena con alguna substancia fluida, por ejemplo una pintura metálica. Sin embargo esto último presentaría el problema de quitarla con facilidad. Otra solución, desde el punto de vista del operador del buque que intente bloquear la transmisión de su posición, sería desconectar el cable de antena, bien en la misma antena o bien en la unidad de comunicaciones.
Cuando una antena se encuentra bloqueada de cualquier manera, la transmisión del informe de posición es imposible. La clave para resolver este rompecabezas reside en configurar el centro de control al cual transmite el buque de tal modo que, cuando un informe de posición esperado no se recibe (téngase en cuenta que el centro de control conoce el intervalo entre informes), este hecho se procese como un «evento». Puesto que se conoce la posición del buque basándose en el informe previo, la difusión de la información de que dicho buque ha dejado de transmitir a los patrulleros y aviones de vigilancia, incrementará la posibilidad de que sea detectado.
Además, si en las especificaciones del ELB se recoge la obligación de envío mensajes de «interrupción de servicio», la Autoridad de control dispondrá de datos tales como el movimiento del buque y el tiempo exacto en que ha estado fuera de contacto. Aunque sería muy ingenuo esperar que la mayoría de los buques que bloquean la antena sean inmediatamente detectados, los que realizan esta manipulación con frecuencia irán dejando una serie de datos en poder del servicio de control, que pueden ser utilizados para distinguir este tipo de comportamiento
Conviene tener en cuenta que el envío del mensaje de «servicio interrumpido» debe realizarse con una tolerancia de aproximadamente 15 o 30 minutos, dependiendo de las condiciones en que el buque opera normalmente. Con ello se evitaría que se produzcan estas alarmas cuando la antena se bloquea legítimamente, como por ejemplo cuando el buque pasa por debajo de un puente, o cuando navega próximo a una estructura alta (otro buque, un acantilado, etc.)
En cuanto a la desconexión de la antena, mediante la utilización de conectores de seguridad sellados puede conseguirse que dicha desconexión no sea posible sin dejar una evidencia física de la manipulación.
Por interrupción de la alimentación eléctrica se entiende el corte de la corriente necesaria para el funcionamiento del ELB, de cualquier modo que no sea el apagado normal del equipo. El efecto de dicha interrupción es similar al producido por el bloqueo de antena, en la que el centro de control pierde todo contacto con el buque.
Puesto que el efecto de la interrupción de alimentación eléctrica es similar al del bloqueo de antena, también lo es la solución al problema. Todo lo mencionado en el apartado 9.1.1 sirve para este caso. No obstante existe una precaución adicional que puede disuadir al operador del buque de cortar la corriente del ELB. Consiste en especificar en las normas y estándares para la instalación que debe disponerse de un suministro auxiliar de corriente de baterías dedicado al ELB.
El equipo así instalado puede enviar un mensaje de emergencia cuando se corte la corriente, y puede continuar funcionando durante un tiempo considerable gracias a la energía proporcionada por las baterías. Si se especifica como fuente auxiliar de alimentación una batería marina de 100 amperios-hora podría asegurarse el funcionamiento durante varias semanas. Asimismo, mediante la utilización de conectores de seguridad (similares a los indicados para la antena en el apartado 9.1.1), se dificulta la manipulación.
El requerimiento de una fuente auxiliar de energía tiene la ventaja adicional de compensar las perdidas accidentales de corriente, algo común en los barcos de pesca.
Puesto que el ELB transmite su propia posición, no la posición del barco en que se encuentra instalado, un medio muy eficaz de separar los movimientos reales del buque de las posiciones recibidas en el centro de control consiste en retirar físicamente el ELB del buque. El aspecto más dañino de este tipo de manipulación es que desde el centro de control no se detecta ninguna anormalidad.
De nuevo, la mejor manera de desalentar la remoción del terminal es la imposición de una sanción rigurosa, en caso de que llegue a detectarse con motivo de las operaciones normales de inspección y vigilancia pesqueras. Existen otros modos de desalentar este tipo de actividad estableciendo normas especiales para la instalación del ELB.
Es posible evitar que el equipo pueda ser retirado y reemplazado sin dejar rastro si se requiere que tanto la antena como la unidad de comunicaciones, así como las conexiones de la antena al ELB, se instalen con sellos de seguridad (esta operación puede ser tan simple como utilizar una cinta adhesiva de seguridad especialmente diseñada a tal efecto), de modo que sea imposible retirar cualquier elemento sin romper los sellos, y exigiendo además que el cable de antena pase a través de una abertura en el mamparo de menor tamaño que los elementos que conecta.
Estas medidas, en un contexto de vigilancia pesquera en el que se verifiquen regularmente las instalaciones del SLB y se penalicen adecuadamente los incumplimientos, podrían eliminar la probabilidad de remoción física de la antena.
Esta es una práctica conocida como «clonado» y consiste en crear un duplicado del ELB que funcione como el original. Una vez hecha la copia puede hacerse que el buque aparezca en el sistema SLB en el lugar en que se desee, siempre que se transporte el equipo duplicado a dicha posición. Desde el punto de vista del SLB este método sería funcionalmente equivalente a retirar el ELB del buque, pero sin el inconveniente de tener que romper los sellos de seguridad.
Desde la perspectiva del organismo que opera el SLB es tranquilizante el hecho de que la duplicación de un terminal de comunicaciones por satélite no es un trabajo fácil, tanto desde un punto de vista técnico como económico. Asegurar que esta dificultad se mantiene es esencialmente responsabilidad del fabricante del terminal y del operador del SLB.
El modo mas seguro de evitar la duplicación consiste en que las comunicaciones de cualquier terminal del sistema, tanto en la transmisión como en la recepción, estén basadas en unos identificadores internos que sean únicos para cada equipo y sean conocidos solamente por el fabricante y por el operador del sistema. Desde el punto de vista del operador del SLB es importante requerir que dicho identificador se encuentre integrado en el firmware del sistema en un formato ilegible. Si se establecen estas reglas, la duplicación de un terminal, aunque quizás no sea imposible, al menos será económicamente inviable como medio de fraude pesquero.
Esta es la manipulación en que primero se piensa cuando se especula sobre posibles fraudes al SLB. El operador de un buque encuentra la manera de sustituir la posición correcta, calculada por el GPS y transmitida por el ELB, por otra que señala el lugar en que él quiere que los servicios de control crean que se encuentra el buque.
Podemos imaginar dos maneras diferentes de realizar la manipulación: la primera consiste en que el operador del buque consiga introducir manualmente la posición que se va a transmitir, en lugar de la proporcionada por el GPS; la otra sería que simulara la señal GPS, utilizando un GPS programable u otro tipo de simulación informática, sustituyendo la señal de salida del GPS que realmente pertenece al ELB.
El efecto de esta acción desde el punto de vista del SLB es similar a la producida por la remoción o duplicación del ELB, en cuanto a que el centro de control recibe posiciones que no se corresponden con las posiciones reales del buque al que se está vigilando.
Como en el caso de la duplicación, encontrar el medio de introducir posiciones falsas en un terminal de posiciones por satélite que esté diseñado para evitar esta manipulación, se encuentra muy lejos de ser un trabajo sencillo. La responsabilidad de proteger el equipo corresponde al fabricante, a quién hay que exigirle que refuerce las defensas contra este fraude en dos frentes: el hardware y el software del sistema.
En el frente del hardware es esencial asegurar que la interfaz entre el receptor/decodificador GPS no sea fácilmente visible y que el protocolo que dirige el intercambio de datos no responda a un estándar. La utilización de un GPS sobre una tarjeta de circuito impreso separada del hardware de comunicaciones y conectada al mismo a través de una interfaz estándar (por ejemplo NMA 0183), seria simplemente una invitación al fraude.
Por el contrario, la integración de los componentes GPS en la misma tarjeta del circuito impreso en que se encuentran los componentes de comunicaciones, y conectados con ellos mediante una prioridad interfaz/protocolo, implicaría que un defraudador potencial se viera obligado a realizar un trabajo de ingeniería inversa de todo el ELB. De nuevo, se consigue así que el coste de la manipulación no resulte económicamente viable.
Del mismo modo el sistema de software, que seguramente permitirá la introducción manual de posiciones con fines de salvamento y seguridad marítima, debe programarse de modo que la entidad receptora del informe de posición tenga conocimiento en el caso de que dicho informe haya sido introducido por la tripulación. La incorporación de esta función en el firmware del sistema asegura esencialmente que la introducción manual de datos de posición no se utilizará como medio para el falseamiento de los datos del SLB.
Por parte del operador del SLB la actuación necesaria a realizar consiste en especificar las normas para la fabricación del SLB de modo que se incorporen suficientes salvaguardias contra este tipo de manipulación, con el apoyo de la garantía del fabricante. Además, un sello de seguridad que restrinja la apertura del ELB unido a una regulación que prohiba dicha práctica, proporcionaría una seguridad adicional.
Tabla 9.1 Problemas de seguridad del SLB
|
Tipo de infracción contra la seguridad |
Acción protectora |
|
Bloqueo de antena |
Mensaje de interrupción de servicio; sellos de seguridad en los conectores de antena |
|
Desconexión de la alimentación eléctrica |
Mensaje de interrupción de servicio; fuente auxiliar de alimentación; sello de seguridad en los conectores de alimentación. |
|
Retirada física |
Normas estrictas de instalación; sellos de seguridad en la instalación |
|
Duplicación/clonado |
Normas de fabricación estableciendo un código único e ilegible |
|
Introducción de posiciones falsas |
Normas de fabricación estableciendo una interfaz GPS invulnerable; sellos de seguridad evitando manipulación equipo |
