La Agencia de Proyectos de Investigación Avanzada de Defensa, DARPA , lanzó recientemente un nuevo programa clasificado para desarrollar “herramientas transformadoras” para realizar rápidamente ingeniería inversa y explotar vulnerabilidades en tecnologías emergentes y sistemas ciberfísicos comerciales. 

DARPA no ha anunciado formalmente el nuevo programa, y ​​se espera que gran parte del proyecto se mantenga en secreto. 

Sin embargo, los documentos de solicitud previa obtenidos por  The Debrief revelan que el esfuerzo se ejecutará desde la Oficina de Tecnología de Microsistemas de DARPA bajo el nombre: “Ingeniería inversa y explotación integrada fiel” o “FIRE”. 

En una presentación a fines de marzo a socios potenciales de la industria, los funcionarios de DARPA explicaron que FIRE se centrará en las vulnerabilidades de los sistemas ciberfísicos de uso común, como redes de energía, sistemas de automóviles autónomos, monitoreo médico o sistemas de control industrial. 

El objetivo principal de FIRE es desarrollar nuevas formas de “encontrar, explotar y parchear vulnerabilidades en sistemas ciberfísicos de complejidad media” rápidamente. DARPA señala que las herramientas desarrolladas en FIRE deben lograr estos objetivos a un ritmo sin precedentes de al menos un mes de recepción de hardware para análisis. 

“Los objetivos de FIRE están impulsados ​​por la proliferación de componentes comerciales listos para usar (COTS) de bajo costo (por ejemplo, sensores, actuadores y algoritmos) que dan como resultado diversas clases de CPS, incluidos medidores inteligentes, dispositivos médicos, vehículos autónomos, y sistemas de control industrial, por nombrar algunos”, se lee en un amplio anuncio de la agencia emitido por DARPA el 15 de marzo.  

“Además, las prácticas de desarrollo ágil han demostrado que incluso los sistemas altamente complejos, como los automóviles, pueden parchearse de forma remota cada pocas semanas. Se necesitan herramientas y técnicas innovadoras de análisis de vulnerabilidades de CPS para mantener el ritmo de la mayor diversidad del sistema y la reducción de los plazos de análisis”.

Los documentos aclaran que DARPA no está interesada en herramientas que aborden de forma independiente las vulnerabilidades cibernéticas o físicas. En cambio, FIRE se centra en cómo la composición del hardware, el software y los componentes físicos pueden hacer que los sistemas tecnológicos sean especialmente susceptibles a los ataques. 

Durante la presentación de marzo, DARPA ofreció una demostración de los tipos de vulnerabilidades del sistema ciberfísico en las que está interesado al mostrar un ejemplo de “cómo estrellar un cuadricóptero usando acústica”. 

Los funcionarios del programa explicaron cómo las frecuencias de sonido específicas pueden inyectar lecturas falsas en el giroscopio de los sistemas microelectromecánicos (MEMS) de un cuadricóptero, lo que finalmente desestabiliza el dron y hace que se estrelle. 

El escenario utilizado por DARPA no es hipotético. La investigación realizada por el  Instituto Avanzado de Ciencia y Tecnología de Corea ha demostrado que un dron cuadricóptero puede derribarse proyectando frecuencias de sonido inferiores a 30 kHz a través de un altavoz de consumo. 

Con este ejemplo, DARPA espera que las nuevas herramientas de análisis desarrolladas en el programa FIRE puedan identificar que el giroscopio de un cuadricóptero es vulnerable a un ataque acústico; desarrollar formas de explotar esa vulnerabilidad (p. ej., usar parlantes para proyectar frecuencias de sonido hacia un dron); y, en última instancia, métodos para anular la vulnerabilidad de un quadcopter a los ataques acústicos. 

Al adoptar este enfoque holístico, FIRE podría proporcionar al Departamento de Defensa (DoD) nuevas formas de identificar y lanzar ataques disruptivos y asimétricos contra los sistemas enemigos en varios sectores, incluida la infraestructura civil, la energía, la atención médica, el transporte o la fabricación. Simultáneamente, este mismo proceso se puede utilizar para reforzar mejor los sistemas ciberfísicos de EE. UU. frente a amenazas similares.

DARPA señala que el primer paso en el proceso de análisis debería implicar la ingeniería inversa de un sistema ciberfísico mediante la creación de un “gemelo digital” idéntico. 

Con los elementos cotidianos cada vez más integrados con las tecnologías nuevas y emergentes, la amenaza de los ataques cibernéticos se ha convertido en una preocupación importante. 

Investigaciones anteriores   han demostrado que es relativamente fácil obtener control de larga distancia, seguimiento de ubicación o exfiltración de audio en la cabina mediante la explotación de vulnerabilidades en los sistemas de control electrónico que se encuentran en la mayoría de los automóviles modernos. 

“Una vez que tiene acceso a un vehículo, prácticamente tiene acceso a cualquier parte”,  dijo  la Dra. Skanda Vivek, física de  Georgia Gwinnett College  que se especializa en control de vehículos autónomos. “Si llega a una unidad de control, como el sistema de entretenimiento, por ejemplo, entonces, con un poco de ingeniería inversa, podría controlar el volante”.

Los “sistemas de control industrial”, o tecnologías que permiten el control, la automatización y el monitoreo en entornos industriales como plantas eléctricas, instalaciones de fabricación y refinerías, se mencionan como un área de enfoque clave para el programa FIRE. 

Una gran parte de la presentación FIRE de DARPA también se dedicó a identificar las vulnerabilidades de los “sistemas de controles industriales marítimos” (ICS). 

DARPA señala que muchos ICS marítimos modernos que se utilizan para todo, desde propulsar un barco hasta procesar aguas residuales, “se están volviendo más inteligentes y están repletos de características ‘convenientes’” que podrían ser potencialmente explotadas por ataques maliciosos. 

Se espera que la mayor parte del programa FIRE se mantenga en secreto, y las empresas privadas o las instituciones académicas que trabajan en el programa deben mantener autorizaciones de seguridad activas e instalaciones aprobadas para almacenar materiales clasificados. 

DARPA anticipa seleccionar socios de la industria y otorgar adjudicaciones de contratos para el programa FIRE para el otoño de 2023.

Si todo va según lo planeado, el primer conjunto de herramientas de análisis para sistemas ciberfísicos debería entregarse en la primavera de 2024, con todo el proceso de investigación y desarrollo programado para ejecutarse hasta mediados de 2027.