Las interferencias del GNSS/GPS (Spoofing y Jamming) en aviación

De -

Este artículo es un extracto simplificado de la conferencia que impartí a los pilotos del grupo Lufthansa este mes de noviembre en Zúrich.

Introducción

El GPS se ha convertido en una pieza fundamental de la navegación moderna. Debajo se muestra una línea temporal con los hitos más significativos. El primer satélite del sistema se lanzó en 1978. 20 años después se conseguía que el GPS fuera autorizado como método único de navegación. El desarrollo de este sistema y su aplicación a la navegación aérea se ha expandido enormemente. 



Desde hace algunos años las interferencias del GNSS son cada vez más frecuentes y sofisticadas. En aviación es un tema muy preocupante y cada vez se presta más atención a los dos incidentes más comunes, el jamming o bloqueo de la señal y el spoofing o suplantación de la señal. El término genérico para la navegación por satélite es GNSS, pero una gran mayoría de fabricantes utilizan el sistema norteamericano GPS y ese es el término que vamos a utilizar aquí para referirnos a cualquier sistema de posicionamiento basado en satélites.

El tema es complicado desde muchos puntos de vista. Técnicamente, una de las mayores complejidades reside en el hecho de que existen múltiples fabricantes de receptores y equipos de navegación/comunicación. También existen muchas compañías que producen sistemas de aviónica (Honeywell, Rockwell Collins, Thales, etc.). Por último existen muchos tipos diferentes de aviones. Incluso dentro de una sola familia, como por ejemplo Airbus, existen decenas de variaciones y modelos donde las combinaciones de aviónica y hardware instalado pueden dar lugar a muy diversos fallos e indicaciones. Por ese motivo aquí hablaremos de forma genérica y no nos centraremos en un modelo de avión o fabricante en particular.

Para entender completamente este artículo es necesario tener conocimientos básicos del principio de operación de los sistemas de posicionamiento satelitales como el GPS. En este Blog existen muchos artículos que hablan de ello y son fácilmente localizables en el buscador.

Sumario

  1. Diferencia entre Jamming y Spoofing
  2. Dónde y cómo se hace el spoofing
  3. Métodos y tácticas del spoofing
  4. Terminología básica
  5. Reconociendo las señales falsas
  6. Mitigando los efectos

1.- Diferencia entre Jamming y Spoofing

Jamming (interferencia intencional / Denial of Service GNSS): es la emisión de señales de radio (ruido o señales simples) en las bandas GNSS (por ejemplo, L1 1575.42 MHz, L2, L5, E1, E5) con la intención de degradar la relación señal/ruido (C/N₀) en el receptor, produciendo pérdida de rastreo, “blinding” del receptor o errores de posicionamiento por ausencia de satélites válidos. En pocas palabras es una denegación de servicio. 

Spoofing (engaño / manipulación de la solución de navegación): consiste en transmitir réplicas o ré-emisiones deliberadamente manipuladas de las señales GNSS que el receptor acepta como legítimas; el objetivo es que el receptor calcule una posición, velocidad o tiempo falsos sin perder necesariamente el seguimiento. Puede ser un meaconing simple (retransmitir con retardo) o un takeover sofisticado (generar señales sincronizadas y con potencia controlada para desplazar la solución del receptor).

Debajo mostramos la diferencia entre la navegación normal sin problemas, el jamming y el spoofing. En la primera ilustración se muestra un avión genérico que puede ver la solución de navegación correcta en el CDU. El EICAS no muestra ningún mensaje.


En la segunda ilustración se muestra un avión que vuela cerca de un área de conflicto donde alguno de los actores implicados trata de denegar la señal para que los drones enemigos no puedan navegar hasta su objetivo. En este tipo de escenarios el jamming militar afecta a la aviación civil. El avión pierde también la solución de navegación en el CDU y aparecen varios mensajes alertando al piloto sobre la pérdida de la señal GPS.


En la tercera ilustración se muestra una sofisticada suplantación de la señal GPS para que los drones enemigos vuelen hacia otros lugares donde no causen daño. El avión comercial que sobrevuela esta área también capta esta señal falsa y la solución de navegación que ve el piloto en el CDU es totalmente incongruente con la posición en la que se suponía deberían estar. El EICAS/ECAM muestra otra clase de avisos de fallo diferente y en la que la posición impide cierto tipo de operaciones, como por ejemplo las aproximaciones RNAV/RNP basadas en GPS. 


2.- Dónde y cómo se hace el spoofing

La gran mayoría de casos de jamming y spoofing ocurren cerca de áreas de conflicto. El mayor nivel de suplantación de identidad en el Mediterráneo oriental se registra cerca de Israel, Líbano, Chipre y Egipto. Otras zonas con una presencia significativa de suplantación de identidad incluyen el Mar Negro, el oeste de Rusia y la frontera entre India y Pakistán. Los mapas completos se muestran en el siguiente enlace: https://gpswise.aero/

Ya existentes proyectos entre creadores de este tipo de mapas y compañías proveedores de cartas aeronáuticas, como Lido para integrarlas en sus servicios.


La mayoría de las veces las interferencias de la señal GPS son producidas por países en conflicto o por lo que se ha venido en denominar "state actors" o personas/organizaciones que trabajan para alguno de esos países. Debajo se muestran equipos militares móviles terrestres que causan alteraciones de las señales satelitales. Normalmente están diseñados para interferir o suplantar la señal que utiliza la fuerza aérea enemiga, pero hoy en día se ha extendido esta práctica a toda clase de medios de transporte. Existen muchos países y state-actors interesados en crear miedo, caos y confusión para perseguir sus fines. 



En agosto de 2024, una plataforma petrolífera frente a las costas de Odesa fue destruida por Ucrania por servir de estación de interferencia satelital por parte de los rusos. Hoy en día cualquier sitio puede ser utilizado como plataforma. 


Con el auge de la electrónica barata proveniente de china, hoy en día no sería descabellado pensar que cualquier joven con conocimientos avanzados de telecomunicaciones y programación pudiera tratar de interferir la señal de nuestro avión incluso desde el propio asiento de clase turista del mismo avión en el que viaja. 

¿Cómo se hace el spoofing?

En puridad existen dos tipos diferentes de spoofing. El llamado no coherente o asíncrono es aquel que muestra una posición absurda en un momento dado. El spoofing coherente, dirigido o sincrónico es aquel que toma el control de la aeronave de una forma más realista y acaba desviando el vuelo sin que inicialmente los pilotos se den cuenta. El avión puede ser volado con el piloto automático conectado y acabar desviado a muchas millas de distancia cuando los pilotos acaben por ver que algo extraño ocurre. El spoofing coherente es mucho más sofisticado y requiere muchos más recursos para poder ponerlo en práctica de forma que la tripulación no se dé cuenta. Hoy en día la casi totalidad de spoofing es del tipo no coherente



Aunque las señales falsas (spoofed) se parezcan mucho a las reales del GPS, estas diferirán en varias formas:
  • La onda portadora y el desfase entre señales recibidas por el avión y las enviadas por el satélite
  • Los datos de navegación (órbitas incorrectas que alteran la posición real del satélite, etc.)
  • Las marcas de tiempo (timestamp) que manda el satélite y son muy importantes para que el receptor siga validando los datos de navegación.
Aquí se muestra un satélite genérico (SV o "Space Vehicle" tal como se denominan propiamente en la terminología GPS) que lanza varias señales. Las más conocidas son la L1 y la L2. La señal L2 es la que se utiliza en el ejército y personal autorizado por el DoD. Esta señal está codificada. Es muy difícil de hackear porque el mensaje está encriptado. El mensaje tarda una semana en repetirse y para un observador casual que pudiera captar la señal esta sería una ristra incoherente de ceros y unos sin ningún sentido. Se parecería más a ruido que a una señal propiamente dicha, pero no lo es. Por ese motivo se le suele denominar a esta señal PRN o Pseudo Ramdom Noise.

La señal L1 en cambio se emite en abierto sin codificación y por ello es muy fácil de hackear. Otra característica que la hace más vulnerable que la L2 es que el PRN de esta señal se emite cada milisegundo. Esto es una ristra de ceros y unos de "solamente" unos 300 km (recuérdese que las señales electromagnéticas viajan a la velocidad de la luz). Un habilidoso especialista podría hacerse con las señales L1 en poco tiempo. Las frecuencias L1 y L2 no están elegidas al azar. 1575.42 MHz para la L1 y 1227.6 para la L2. ¿De dónde salen estas frecuencias?

A la hora de diseñar el GPS, los ingenieros basaron su precisión en los relojes atómicos de Rubidio y Cesio que llevan en su interior. Estos átomos tienen una resonancia natural muy estable en el orden de los gigahercios, pero los ingenieros utilizaron estas frecuencias para producir otra frecuencia extremadamente estable que fijaron en los 10.23 MHz. La precisión es muy grande. Del orden de un segundo en millones de años. Ahora solo tenemos que utilizar múltiplos de esta frecuencia para producir nuestra señal:

154 x 10.23 = 1575.42
120 x 10.23 = 1227.6

Y existe una nueva señal, la L5, dedicada a la aviación que poco a poco se está poniendo en práctica con los nuevos satélites y es también un múltiplo de 10.23.

115 x 10.23 = 1176.45


En la imagen de arriba se muestra un antiguo reloj atómico de los satélites de los años 80 donde se puede ver la frecuencia de 10,23 MHz en la placa. 

Debemos recordar en este punto que la precisión (el tiempo preciso) es fundamental para el correcto funcionamiento y cálculo de posición. Imagine el lector que los más diminutos cambios producirían un error enorme en el cálculo. Los satélites orbitan a nada menos que 20.200 km de distancia en lo que se denomina MEO (Middle Earth Orbit). Incluso en esas alturas todavía se encuentran pequeñas partículas procedentes de nuestra atmósfera y que impactan contra el satélite y lo van frenando. La gravedad también actúa y va tirando del satélite hacia una órbita más baja. Los satélites también sufren de efectos relativistas (velocidad y distancia de un observador). Recuérdese el famoso ejemplo de los dos gemelos en el que uno de ellos abandona la Tierra muy lejos y a gran velocidad. Al regresar encuentra a su hermano hecho un anciano mientras que para él solo han pasado unas semanas. 

Con los satélites ocurre lo mismo. Están muy lejos de nosotros y su velocidad es de 14.000 km/h o 3,9 m/s. Esto significa que diariamente se retrasarían un nanosegundo... nada grave para nuestro flamante reloj de pulsera suizo, pero una gran cantidad de distancia para el sistema GPS. Un retraso de una millonésima de segundo significa que el error de posición crecería diariamente en 30 cm.

Esto se debe a que las señales del GPS viajan a la velocidad de la luz, y una pequeña variación en el tiempo de recepción de la señal, aunque sea un nanosegundo, se traduce directamente en una imprecisión en la distancia calculada. 
Para evitar estos errores y otros muchos que incrementan este error hasta los 10 km diarios, (no podemos hablar aquí de todos los errores por falta de tiempo), los satélites son controlados y reposicionados desde Tierra, concretamente desde la Base de la Fuerza Espacial Schriever en Colorado Springs. Para ello, los satélites cuentan con depósitos de combustible (típicamente una clase de hidracina) que utilizan para las correcciones. Ese es el motivo por el que estos aparatos de unos 35 millones de dólares tienen que ser reemplazados cada cierto tiempo (unos 11 años en los nuevos satélites).  

3.- Métodos y tácticas del spoofing

Un método eficaz para suplantar receptores sin protección inherente contra suplantación consiste en emitir una señal de interferencia que supera la señal real proveniente del espacio ("elevando el umbral de ruido") y, a continuación, emitir señales de suplantación "más fuertes" (pero no demasiado). Esto provoca que las señales reales del espacio queden enmascaradas, de modo que las únicas señales que el receptor podrá detectar y decodificar serán las señales de suplantación. El receptor seguirá calculando una relación señal/ruido aceptable, aunque la potencia de las señales reales sea mucho mayor que la de las señales reales provenientes del espacio.

En el gráfico que se puede ver a continuación tenemos la representación gráfica de una señal GPS (en azul). En el eje horizontal tenemos la frecuencia de la señal. En eje vertical tenemos la potencia de la señal medida en dBm. 

Como se puede apreciar la potencia es mínima. Por poner un ejemplo, estaríamos hablando de la potencia de una bombilla tradicional de unos 60W que luce a 20.000 km de distancia. Son potencias tan bajas que se encuentran por debajo del ruido ambiente terrestre, representado por la línea negra discontinua.

Lo que el receptor mide es la distancia entre los picos de la señal y el nivel de ruido encima de la señal. En otras palabras, lo que lee el receptor es la relación señal ruido (S/N o signal to noise ratio).
El atacante comienza por aumentar el nivel de ruido para que la señal quede enterrada. En el siguiente gráfico se ve que el ruido ha sido aumentado (línea discontinua anaranjada). La relación señal ruido anterior es distinta y el receptor no la reconoce.
En este momento, el atacante manda la nueva señal falsa (en rojo) que es un poco más potente que la verdadera señal en azul, pero que con el aumento de ruido y el aumento de la señal mantiene el mismo ratio S/N que antes, con lo que el receptor piensa que es la señal verdadera.
 
En un ataque de suplantación de identidad "dirigido" o "sincrónico", el atacante sigue un procedimiento complejo para «capturar» un receptor objetivo específico, superponiendo sus señales falsificadas a la perfección con las copias del receptor provenientes del espacio. Aumenta gradualmente la potencia para «robar» la señal del receptor y, posteriormente, ajusta la señal para desviar al receptor de las señales verdaderas. El atacante necesita conocer con precisión la posición y la velocidad del receptor, por lo que el ataque se realiza con mayor facilidad en receptores estáticos. Sin embargo, la suplantación de identidad que sufre la aviación civil actualmente no es de este tipo dirigido.

Una técnica de suplantación empleada por un actor estatal consiste en interferir la frecuencia L2 segura del GPS (1227,60 MHz), cuyo código preciso (código P) utilizan los sistemas militares para mejorar el rendimiento de posicionamiento, navegación y sincronización (PNT), para forzar el uso del código de acceso civil (C/A) en la frecuencia L1 (1575,42 MHz). El actor estatal suplanta entonces la señal L1 no segura. Esto facilita la suplantación, ya que el atacante solo necesita suplantar un conjunto de señales. La segunda frecuencia civil, la señal L5 (1176,45 MHz), que aún no se ha incorporado a los receptores GPS de aviónica y no es totalmente compatible con la constelación, es más potente que la L1 y requerirá inhibidores de mayor potencia; sin embargo, estos también están surgiendo en algunos teatros de operaciones.

Actualmente, los factores predominantes que influyen en la selección de constelaciones, frecuencias y códigos de transmisión por parte de un suplantador son la cantidad de potencia disponible y las señales de uso más común. Transmitir la máxima potencia en una sola frecuencia proporciona un alcance de interferencia y suplantación mucho mayor que transmitir esa misma potencia máxima en muchas más frecuencias y señales. Sin embargo, a medida que los receptores adopten más frecuencias y señales, a los suplantadores no les resultará difícil adaptarse. Por lo tanto, usar más de una constelación GNSS y más de una frecuencia (por ejemplo, GPS L1 y L5) puede ofrecer una protección a muy corto plazo en algunas zonas, pero no es una solución a largo plazo, más allá del tiempo que les lleve a los suplantadores modificar algunos ajustes en los menús de sus dispositivos.

4.- Terminología básica

Code Phase: El retardo de una señal de satélite GPS en viajar desde el satélite hasta el receptor proporciona la medida de la distancia entre ambos. Sin embargo, esta medición se ve afectada por los retardos que se producen al atravesar la ionosfera. Los sistemas de aumentación, como WAAS y EGNOS, proporcionan datos que permiten corregir estos errores en las mediciones de distancia. El Code Phase de la señal recibida es una medida de esta distancia e indica qué sección de la transmisión codificada de un satélite llega en un momento dado. La fase de código se estima comparando el código de Número Pseudoaleatorio (PRN) único del satélite con una copia local de este código. Si hay coincidencia, el receptor ha detectado la señal. Estos códigos tienen una duración de 1 milisegundo para GPS C/A y de 4 milisegundos para Galileo E1, y debido a la velocidad de la luz, cada uno de estos códigos abarca una distancia efectiva de 300 km y 1200 km, respectivamente, de extremo a extremo durante la transmisión. Al medir la fase del código con precisión de unos pocos nanosegundos, el receptor puede calcular la distancia al satélite con una exactitud de unos pocos metros. La fase de la portadora también se puede medir para determinar la distancia entre el satélite y el receptor con una exactitud de centímetros.


Nav Data o Datos de navegación: Los datos de navegación contienen diversos parámetros que se utilizan durante el funcionamiento del receptor, como los parámetros orbitales del satélite y las correcciones del reloj. Además, proporcionan información sobre el estado de los satélites GPS. Si el suplantador emite datos de navegación incorrectos (lo cual suele ser habitual), el receptor GNSS puede seguir calculando resultados erróneos incluso después de abandonar la zona de suplantación y volver a recibir las señales de alcance reales. Esto continuará hasta que el receptor se reinicie manualmente o los datos de navegación caduquen y se actualicen automáticamente (lo cual puede que nunca ocurra si el suplantador emite sus datos de forma que la fecha de caducidad -el timestamp del que hablamos antes- de los datos de navegación falsificados se haya establecido en un futuro lejano).

Doppler shift o Efecto Doppler: Los satélites GPS orbitan a unos 20.200 km sobre la Tierra en la llamada órbita terrestre media (MEO) y se desplazan a gran velocidad con respecto a los receptores. Esta velocidad relativa al receptor produce un efecto Doppler en la señal recibida en comparación con una situación en la que tanto el transmisor como el receptor permanecen estáticos. Las mediciones del efecto Doppler se utilizan en los cálculos de posición y velocidad del receptor. La monitorización de mediciones Doppler anómalas, en comparación con otras fuentes de velocidad en la aeronave, proporciona a los fabricantes de receptores un valioso indicador de posibles ataques de suplantación de identidad (spoofitting).

RAIM: Los receptores GPS incorporan algoritmos de Monitorización Autónoma de la Integridad del Receptor (RAIM) para detectar y mitigar señales GPS erróneas. Estos algoritmos ofrecen cierta protección contra errores derivados de una transmisión satelital defectuosa. Por ejemplo, RAIM detecta la suplantación de identidad cuando el receptor rastrea señales satelitales reales y falsas que provocan datos de medición inconsistentes si solo una o un número muy reducido de señales se ven afectadas por la suplantación, mientras que la gran mayoría no lo están. El límite de integridad horizontal (HIL) de RAIM debe ser válido antes de que los sistemas de la aeronave utilicen los datos del GPS.

Los algoritmos RAIM tradicionales protegen contra un único satélite defectuoso mediante el cálculo de todas las soluciones PVT con validación cruzada. Si una posición se desvía claramente del resto, con errores residuales mucho menores en cada señal que llega a ella, se detecta la presencia de un único satélite defectuoso. El aumento de la carga computacional al pasar de 1 satélite defectuoso a N satélites defectuosos es exponencial. El sistema RAIM nunca se diseñó para proteger contra la suplantación de identidad y no puede detectar un caso en el que todas las señales sean suplantadas y, por lo tanto, proporcionen información consistente.

¿Por qué no basta con dejar una ubicación falsa y volar a otra sin spoofing?

Debido al diseño de los receptores GPS, la única forma de garantizar su fiabilidad tras cualquier ataque de suplantación es restablecer completamente su estado interno, ya sea apagándolo y encendiéndolo, o enviando un comando de reinicio en frío por software. Incluso hay casos de receptores tan dañados que ha sido necesario un restablecimiento completo de fábrica, enviándolos al fabricante.

Esto es cierto incluso si el receptor parece haberse recuperado tras abandonar la zona afectada por la suplantación. De hecho, es posible que siga emitiendo información errónea durante el vuelo, incluso horas después. Para el lector interesado, aquí encontrará una explicación detallada.

En la ilustración que sigue vemos un avión (CL650) volando de una parte del mundo sin problemas hacia otra en la que un grupo de satélites están siendo suplantados (área gris con los falsos satélites en negro).

Los satélites transmiten continuamente sus datos orbitales, que el receptor descarga periódicamente. Estos datos se denominan efemérides. La descarga tarda entre 20 y 30 segundos, y cada satélite solo transmite los suyos. La efeméride contiene una marca de tiempo (timestamp) que actúa como «fecha de caducidad» para ese conjunto de datos. Si la hora actual es muy posterior a la fecha de caducidad, el receptor normalmente rechazará el uso de esos datos orbitales y esperará a que se descarguen nuevas efemérides.

Si los datos de efemérides son incorrectos (por ejemplo, debido a una descarga corrupta o a un ataque de suplantación), no se podrá calcular la distancia correcta al satélite al recibir sus datos de sincronización. El siguiente escenario que se describe aquí ilustra la situación en la que un receptor del avión continúa dando mediciones erróneas muchas horas después de haber abandonado una zona afectada por la suplantación.

En este escenario, consideremos un receptor que inicialmente funciona correctamente y rastrea los satélites GPS numerados del 1 al 3, que se encuentran sobre el horizonte. Los demás satélites están bajo el horizonte. El receptor entra entonces en una zona de interferencia (zona gris en la ilustración de arriba) y suplantación de señal. Se pierde entonces la señal de los satélites. El suplantador emite señales de los satélites 10, 11 y 12, por lo que el receptor se conecta a ellos y descarga sus efemérides (a partir de las señales del suplantador, no de los satélites reales). 

El suplantador también transmite la hora (timestamp) con varias horas de anticipación (es común ver fechas y horas falsificadas en las regiones de interferencia actuales). El receptor, ya habiendo sido infectado (el término correcto es contaminado, pero a mi me gusta más el término infección como si se tratara de un PC), reporta posiciones, velocidades y horas incorrectas. El piloto ignora los datos y atraviesa la zona de suplantación. Las señales falsificadas de los satélites 10 al 12 se desvanecen al volar de vuelta, al igual que la señal de interferencia, y el receptor vuelve a captar las señales reales del cielo, es decir, las de los satélites 1, 2, 3. La posición y la hora parecen correctas, y podría suponerse que el receptor se ha recuperado.

Sin embargo, esto no es así, como se explicará a continuación.

A medida que la aeronave continúa su vuelo previsto y transcurre una hora o más, los satélites visibles en el cielo comienzan a cambiar. Recuérdese que los satélites viajan muy deprisa y su periodo orbital es de la mitad de un día sideral (11 horas, 58 minutos y 2 segundos). Esto quiere decir que salen por el horizonte unas dos veces al día.


Algunos de los satélites del grupo 1, 2, 3 pasan por el horizonte y algunos de los satélites reales del grupo falsificado (del 10 al 12) comienzan a ascender. El receptor los sintoniza entonces y decodifica los datos de tiempo y las efemérides de los satélites reales. Sin embargo, la hora de aplicabilidad correspondiente a los datos falsificados permanece en la memoria del receptor, y la marca de tiempo clave sigue estando una hora adelantada con respecto a la transmitida por los satélites reales. En consecuencia, el código crítico del receptor que verifica estas marcas de tiempo no activa la sustitución de los datos orbitales falsificados por los reales. Esto solo ocurrirá en el futuro, cuando haya transcurrido el tiempo suficiente para que la fecha de caducidad de los datos de efemérides falsificados se sitúe en el pasado, en lugar de seguir en el futuro. Y aquí empiezan los problemas:

El receptor intenta ahora utilizar las mediciones satelitales reales con los datos orbitales falsificados e incorrectos aún almacenados en su memoria. El resultado son cálculos sin sentido y grandes discrepancias entre las mediciones satelitales. Mediante el RAIM, el receptor intenta detectar e ignorar un único satélite defectuoso. El filtro de Kalman del sistema de navegación también proporciona una capa adicional de protección contra un pequeño número de mediciones satelitales erróneas.

Sin embargo, a medida que transcurre el tiempo y los satélites siguen apareciendo y desapareciendo, finalmente se ven muy pocos satélites útiles y la mayoría de las señales GPS auténticas provienen del grupo 10 al 12, con datos orbitales incorrectos. Para entonces, el receptor está emitiendo datos inutilizables y erróneos, y es probable que su rendimiento se degrade aún más a medida que los satélites útiles desaparecen uno a uno bajo el horizonte. Aunque la hora sea correcta, el posicionamiento se ha deteriorado progresivamente. El mejor escenario posible sería que el receptor se reiniciara en frío (cold reset), pero la mayoría no lo hará. En su lugar, realizarán un "reinicio en caliente", que consiste en volver a adquirir la señal de los satélites y reiniciar el filtro de Kalman, pero, fundamentalmente, sin borrar todos los datos orbitales de la memoria.

Se suele decir que el receptor queda bloqueado, "Bricked" es el término preciso en inglés y ello puede significar que nuestro avión está desde ese momento AOG dependiendo de la severidad de la avería. Aircraft On The Ground (AOG) son situaciones críticas en las que una aeronave no puede continuar el vuelo por problemas técnicos. Representa un gran gasto para la compañía. Un receptor bricked tendrá que ser desmontado del avión (normalmente son sistemas LRU o reemplazables en línea). Si mantenimiento no puede desbloquear el aparato deberá ser enviado al fabricante. Este decidirá si merece la pena repararlo o poner uno nuevo. El receptor averiado (bricked) probablemente formará parte de un conjunto de ellos que ya se encuentre en alguna estantería... "Another brick in the wall".

5.- Reconociendo las señales falsas

Poder reconocer de inmediato las señales que indica un spoofing es esencial para poder mitigar los efectos del ataque. Existen muchas indicaciones de que algo extraño ocurre. No solo es la posición calculada por nuestro sistema de gestión de vuelo o el desplazamiento de los mapas en el MFD. Una de las primeras señales podría ser el reloj. Aquí mostramos el reloj que llevan instalados los Airbus. Tal como se aprecia, la hora que muestra es UTC y no GPS, aunque el reloj toma el tiempo del GPS y la perilla de la derecha está seleccionada en GPS en vez de tiempo interno (INT). Vamos a ver cuál es la diferencia entre estos tiempos. 

Una vez más recordamos que estamos hablando de forma genérica y no nos basamos en un modelo de avión en particular. Cuando se aplica corriente al avión antes de arrancarlo, el tiempo que se muestra en el reloj suele estar almacenado en los CMC (Centra Maintenance Computer) u otro ordenador de a bordo similar (dependiendo el modelo de avión). Este tiempo inicial mostrado es lo que se suele denominar tiempo interno (INT) en el instrumento. Más adelante en el proceso de arranque, cuando la geometría de los satélites es la correcta y se empieza a descargar la información satélital, el reloj muestra la hora calculada por el GPS. Para entender la diferencia entre estas señales horarias nos fijaremos en el siguiente gráfico:


A día de hoy, el cálculo del tiempo se lleva a cabo por organismos oficiales de forma científica y controlada como parte del Sistema Internacional de medidas. El Tiempo Atómico Internacional (TAI, por sus siglas en francés, temps atomique international) es un estándar de tiempo atómico de alta precisión basado en el transcurso teórico del tiempo propio en el geoide terrestre. El TAI es un promedio ponderado del tiempo registrado por más de 450 relojes atómicos en más de 80 laboratorios nacionales de todo el mundo. Es una escala de tiempo continua, sin segundos intercalares, y constituye la principal realización del Tiempo Terrestre (con una diferencia horaria fija). Es la base del Tiempo Universal Coordinado (UTC), que se utiliza para la medición del tiempo civil en toda la superficie terrestre y que sí utiliza segundos intercalares. Tal como se puede ver en la ilustración que se muestra arriba, existe un adelanto de 37 segundos entre el UTC y el TAI. La diferencia entre el UTC y el GPS es de 18 segundos a día de hoy. El tiempo GPS y el UTC coincidían el 6 de enero de 1980.

¿Por qué es tan importante que el tiempo UTC/GPS sea correcto?

El Tiempo Universal Coordinado (UTC), también conocido como "hora Zulú", es crucial en la aviación porque proporciona una referencia horaria global y constante. Su uso evita la confusión causada por las múltiples zonas horarias y los cambios del horario de verano, garantizando la seguridad y la coordinación de las operaciones aéreas en todo el mundo. 

Razones generales de su importancia
  • Estandarización global: La aviación es una industria global con aeronaves que cruzan múltiples zonas horarias. El UTC crea un idioma horario universal que permite a pilotos, controladores de tráfico aéreo y personal de tierra de diferentes países operar bajo un mismo marco de tiempo, sin importar su ubicación geográfica.
  • Planes de vuelo precisos: Los planes de vuelo, que incluyen detalles cruciales como la hora de salida, la ruta y la hora de llegada estimada, se registran y comunican en UTC. Esto asegura que todas las partes involucradas utilicen los mismos datos cronológicos para la planificación y el seguimiento.
  • Información meteorológica consistente: Los informes y pronósticos meteorológicos para la aviación se emiten en UTC. Esto es vital para la seguridad, ya que las condiciones del tiempo pueden influir en la ruta y la duración del vuelo. Al usar una hora estándar, todos los pilotos y controladores pueden interpretar la información meteorológica de manera uniforme y precisa.
  • Coordinación de la comunicación: La comunicación por radio entre aeronaves y torres de control en diferentes lugares del mundo se realiza en UTC. Esto elimina cualquier ambigüedad relacionada con las zonas horarias y asegura que los mensajes se entiendan y actúen de manera correcta y oportuna.
  • Ausencia del horario de verano: El UTC es una referencia constante que no se ajusta por el horario de verano. Esto elimina una posible fuente de error y confusión, ya que los horarios de verano varían entre países y pueden cambiar en diferentes fechas.
  • Evidencia en investigaciones: En caso de un incidente o accidente, los registros del vuelo se analizan minuciosamente. El uso del UTC garantiza que todos los datos cronológicos de la "caja negra", las comunicaciones y los informes estén perfectamente sincronizados y no se vean afectados por los cambios de hora locales, lo que facilita la investigación.
Todo lo anterior es importante, pero en el caso del spoofing el tiempo que se muestra en nuestro reloj de a bordo también se emplea para muchas otras cosas. En efecto, basta con echar un vistazo a los planos y diagramas técnicos de nuestro avión para darnos cuenta de que este parámetro es un "input" esencial para muchos otros subsistemas. El tiempo erróneo de nuestro reloj se envía al ADS-B OUT / ADS-B IN, al CPDLC, Data Recorders, ELTs, etc. etc. El daño causado por un reloj descontrolado es inmenso y puede dar lugar amuchos problemas. 

Una de las soluciones propuestas para mitigar los problemas del reloj es volver a seleccionar (INT), pero esto (una característica AIRBUS) no se puede hacer en muchos aviones BOEING que carecen de esta función de tiempo interno. 

Otro ejemplo muy claro de que estamos sufriendo el spoofing se puede ver a continuación en el CDU de un Airbus:


En la imagen podemos ver un claro ejemplo de suplantación de GPS durante la fase de crucero: la posición del FMS es correcta a la izquierda (utiliza una función degradada que fija la posición gracias al triple mixing de los IRS), pero el GPS muestra a la derecha otra posición diferente (34º en vez de 35º); se está suplantando la señal del GPS. Obsérvese también que la altitud del GPS es incorrecta, y los valores de ruta verdadera (TTRK) y velocidad sobre el terreno (GS) son cero; todos estos son indicios de suplantación. A320, FIR de ORBB.

La altitud incorrecta puede afectar a muchos otros subsistemas. Uno de los más conocidos es el TAWS (a veces conocido como GPWS o EGPWS). La altitud geométrica obtenida mediante GPS, junto con un mapa topográfico, se utiliza en el EGPWS para alertar a los pilotos de que están volando demasiado bajo. Se puede ver perfectamente el efecto de esto en el vídeo de este Airbus que vuela a 37.000 pies y sin embargo, recibe alertas de proximidad del terreno.


Curiosamente, los aviones más antiguos que solamente incorporan GPWS no suelen tener este problema, ya que en los GPWS se utiliza el Radio Altímetro (RA) en vez de la altura GPS y las bases de datos. ¿Qué hacer en estos casos? 

Es obvio que en vuelo de crucero a 37.000 pies de altura no se debe reaccionar a los avisos del sistema de evitación del terreno, aunque es algo muy disruptivo para un piloto bien entrenado que sabe que debe actuar en cuestión de fracciones de segundo y ejecutar una maniobra. Podríamos intentar desconectarlo... pero es una solución subóptima desde muchos puntos de vista. Hoy en día es una de las soluciones que se recomiendan. ¿Pero qué pasaría si estas señales falsas del EGPWS ocurren por debajo de la MSA/MEA? No nos quedaría más remedio que reaccionar a los avisos.  

Muchas tripulaciones deciden solventarlo borrando o deseleccionando el GPS en la CDU para que la señal no se mezcle en otros subsistemas. En el vídeo que se muestra a continuación se puede ver como el piloto de un Legacy 600 de Embraer hace esto en un CDU de la casa Honeywell:



¿Resuelve esto el problema? Solo parcialmente y en cualquier caso afectaría al cálculo de posición del FMS, pero no para otros sistemas. Muchos aviones reciben la señal GPS desde el propio receptor y no desde la unidad CDU. En esos casos, lo que se suele recomendar es algo que siempre se ha tratado de evitar en aviación. Tirar del CB para desconectarlo. Desde casi los inicios de la aviación los CBs eran el último recurso para desconectar o resetear un sistema. La regla de oro no escrita era que esto solo se podía hacer en el suelo y solo una vez, excepto la bomba de combustible que no se debería tocar nunca. Bien, ya no es así. Con el problema del spoofing la recomendación en muchos aviones es precisamente la de tirar de los CBs apropiados. 


Hoy en día, mantenimiento suele poner collarines de colores para marcarlos y no meter la pata a la hora de tirar de un CB que no corresponda. No es la mejor solución, pero suele ser efectiva en muchos casos. Todo depende del tipo de avión. ¿Qué ocurre con los A330 por ejemplo? Los pilotos del A330 saben muy bien que el CB que deben desconectar no está instalado en los paneles del cockpit como en la mayoría de los aviones. En su lugar deberían abandonar el cockpit y acceder por una trampilla a la bodega de aviónica. Como vemos y tal como se decía al principio, cada avión es diferente y la casuística es enorme.

Otras formas de reconocer que el sistema está siendo afectado por spoofing es la generación de mensajes de aviso en el EICAS/ECAM:


Estas y otras indicaciones son una muestra clara de que el GPS ha fallado y la posición calculada por el FMS puede ser incorrecta. Debajo se muestra un cuadro de Airbus donde se detallan estos mensajes por familia de modelos cuando existe jamming. Como se puede ver las diferencias son enormes entre modelos... El piloto debe conocer en profundidad el avión que vuela. El A220 en realidad no es ni siquiera un Airbus, fue construido por Bombardier y ahora forma parte de la familia Airbus.

Fuente: https://safetyfirst.airbus.com/gnss-interference/

El problema de los MMRs y los sistemas de navegación híbridos

Las señales GPS falsificadas interfieren con las señales GPS normales de la constelación, lo que provoca que se reciba un conjunto completo de señales GPS afectadas. Todos los parámetros que adquiere el receptor GPS de la aeronave se verán afectados de forma consistente:
  • Incoherencia en la posición de navegación, como advertencias de discrepancia de posición GNSS/FMS;
  • Diferencias anormales entre la velocidad respecto al suelo y la velocidad aerodinámica verdadera;
  • Desfase horario;
  • Problemas con el INS/IRS.

Hoy en día, el nivel de complejidad de las aeronaves es enorme. Los fabricantes tratan de integrar muchas funciones en elementos remplazables en línea. Los receptores modernos ya no son independientes. Los fabricantes suelen compactar en un solo módulo varios elementos (GNSS/GPS, ILS, MLS, etc.) para integrarlos y que estos sean más eficientes. Estos receptores se denominan MMR (Multi Mode Receivers). Gran problema con el spoofing. El cableado de los diagramas deja claro que una señal incorrecta del GPS viajará por toda una serie de subsistemas afectando a todos ellos. Como ejemplo podemos ver el caso del A220 (Nacido C-Series de Bombardier):


En este caso el GNSS/GPS manda la señal a la unidad IRU y esta la envía todos esos sistemas que se pueden ver en la tabla. Es un sistema de navegación híbrido donde el fabricante ha tratado de mejorar los cálculos efectuados por el sistema inercial (el cual acaba sufriendo desviaciones con el tiempo) con el GPS, que en teoría es correcto, aunque pase el tiempo. Debajo se muestra una captura del simulador del CL650 de X-plane donde se puede ver cómo se calcula la EPU (ANP en terminología BOEING).


En la imagen, el CL650 se encuentra en tierra y sin problemas en el GPS. Un sistema híbrido como este hace una serie de cálculos para que la EPU/ANP sea mínima. El cálculo de posición del GPS es perfecto y dice que estamos en el cockpit (véase la etiqueta azul GNSS). Hay tres IRSs que cada cual calcula su posición y los tres juntos nos dan la solución de navegación denominada Triple Mixing (las tres etiquetas y el circulito pequeño). ZUE/FRI/STR son estaciones DME que también se utilizan en el cálculo de posición. El FMS (etiqueta negra) tiene en cuenta todos estos cálculos y con ellos posiciona el avión en la etiqueta negra FMS. El conjunto de datos genera una EPU de 0,01 MN (unos 18,5 metros) alrededor de ese punto calculado por el FMS. 

Para una explicación detallada de esto se puede ver el vídeo donde doy una charla online a los pilotos del RACV (Real Aeroclub de Vizcaya):


El FMS está comprometido si utiliza el GPS para realizar la solución de navegación. En este caso lo mejor es deseleccionar el GPS como se ha visto antes en el vídeo. De esta forma la jerarquía del FMS queda supeditada a la disponibilidad de estaciones DME/VOR y al IRS. El alineamiento puro es el más efectivo en estos casos. 

Otros subsistemas afectados podrían ser los ADIRS/ADIRU, dependiendo del fabricante. En cuanto a las funciones asociadas al FMS, el AUTOTUNNING también podría verse afectado. La capacidad de sintonizar las estaciones terrestres se podría ver comprometida. El Auto-Tunning se realiza con la posición calculada de la aeronave. Si el GPS sufre spoofing y de repente el avión se encuentra muchas millas náuticas fuera de ruta, el FMS que cuenta con una lista de radioayudas cercanas, intentará infructuosamente sintonizar las que se encuentren supuestamente más cerca. La tripulación deberá sintonizar las radioayudas manualmente. 

Debajo se muestra un diagrama con las MAU (Modular Avionic Unit) del Embraer E-Jet. El GPS se encuentra integrado dentro de las MAU 1 y MAU 3 Todas estas tarjetas electrónicas forman parte del mismo chasis y se encuentran interconectadas por medio del ASCB-D (un bus de datos de aviónica de alta velocidad) y el ARINC 429. Los datos corruptos de un GPS infectado (contaminado) por spoofing viajarán por el bus a los sistemas que lo requieran. 


En el E-Jet los sistemas son los que se muestran a continuación:


Como se puede ver incluso el ELT se vería comprometido. Si el avión sufre un accidente, los equipos SAR de búsqueda y rescate podrían pasar mucho tiempo intentando encontrar el avión en una zona equivocada. Como se puede ver claramente, deseleccionar los FMS en el CDU no soluciona todos los problemas.

6.- Mitigando los efectos

Aparte de las acciones llevadas a cabo por la tripulación del avión, existen desde hace tiempo diferentes iniciativas de la industria para tratar de solventar el problema del spoofing. Entre ellas se encuentran las siguientes:

Monitorización y análisis de señales
  • Monitorización de la intensidad de la señal: Las señales GPS auténticas son relativamente débiles; las señales anormalmente fuertes pueden indicar un intento de suplantación.
  • Detección de suplantación coherente: Existen técnicas para detectar suplantación sofisticada, donde una señal falsa imita a la real, buscando un aumento repentino en la relación señal/ruido o un pico de probabilidad de anomalía.
  • Análisis del tiempo de llegada: Esta técnica verifica si las señales satelitales llegan dentro de los intervalos de tiempo esperados, ya que un suplantador puede causar anomalías.
  • Análisis del ángulo de llegada: Mediante una matriz de antenas, los receptores pueden determinar la ubicación de la señal. Si el ángulo de una señal "auténtica" varía demasiado, podría ser un indicio de suplantación.
  • Detección de distorsión de la señal: Algunos sistemas pueden identificar distorsiones o interrupciones en la señal, como aumentos repentinos en la amplitud o la fase de la portadora.
Métodos multisensor y multiconstelación
  • Comparación de múltiples fuentes: Comparar las señales GPS con las de otros sistemas de navegación por satélite (p. ej., GLONASS, Galileo, BeiDou) puede ayudar a identificar discrepancias.
  • Verificaciones de consistencia: Un sistema puede verificar la consistencia entre la solución de posición, velocidad y tiempo (PVT) del GPS y los datos de otros sensores a bordo, como acelerómetros y unidades de medición inercial.
Soluciones de hardware y software

  • Antenas de matriz en fase    : Estas antenas pueden concentrarse en las señales provenientes del cielo y atenuar las señales terrestres, lo que las hace más resistentes a los ataques de suplantación desde tierra.
  • Aprendizaje automático: Se pueden entrenar modelos de aprendizaje profundo con datos de sensores y registros GPS para aprender a diferenciar entre trayectorias legítimas y falsificadas.
  • Métodos criptográficos: Los sistemas pueden cifrar las señales satelitales, lo que dificulta su suplantación sin las claves de descifrado adecuadas. Autenticación y verificación
  • Galileo OS-NMA: El sistema Galileo ofrece un servicio de autenticación de mensajes de navegación de servicio abierto (OS-NMA) para autenticar los datos de navegación, con planes para extender esta capacidad al GPS.
  • Sistema de autenticación GPS Chimera: El programa GPS de EE. UU. también está desarrollando un sistema de autenticación basado en satélites para mejorar la protección de los usuarios civiles contra la suplantación de identidad.
Hoy en día se habla mucho del sistema DFMC que se puede ver a continuación:

DFMC - Dual Frequency Multi-Constellation- Se trata de un método de utilización de más de una señal. L1 (la antigua señal GPS) + la nueva L5. Además de la doble señal, se utilizarían sistemas de aumentación que ya describimos en otros artículos de este Blog y varias constelaciones distintas (GPS + GALILEO). 

Otras soluciones pasan por implementar la famosa y tan cacareada brújula cuántica que mide las irregularidades del campo mágnético terrestre y otros métodos muy novedosos de navegación que implican la medición del spin del electrón. Además de estas soluciones a futuro, también se escuchan voces que claman por la vuelta de antiguos sistemas muy probados y robustos, pero puestos al día, como el famoso LORAN-C y la tradicional astronavegación. 

Existen muchos otros métodos, pero todos sufren el mismo problema, a corto plazo no pueden utilizarse. Existe un proceso lento (tedioso e inacabable) de certificación hasta que las autoridades de aviación civil autorizan su uso. La solución rápida pasa por entrenar a los pilotos.


La solución de entrenar a los pilotos no está exenta de complicaciones. Los pilotos están sobrecargados de trabajo en muchos casos. Añadir una nueva fase de entrenamiento en un tema tan complejo no es sencillo. Se necesita entender con gran profundidad el avión que operamos y cuáles son las implicaciones de este problema en nuestro modelo concreto. Además, debido a la falta de procedimientos claros y un entrenamiento apropiado, puede darse el caso de que la tripulación tenga un conflicto a la hora de decidir cuál es la mejor forma de actuar en algún momento determinado. 


Como guía orientativa, el GPS Spoofing WorkGroup ha publicado un informe final sobre este problema y ha hecho muchas recomendaciones. La guía para entrenar pilotos se podría basar en el esquema del siguiente gráfico que resume las acciones a llevar a cabo en cada fase del vuelo:


De momento las autoridades de aviación civil, como la EASA no han aprobado regulaciones concretas sobre como atacar el problema. Lo único que existe en la página de la EASA pa día de hoy son boletines informativos. Para más información se puede ver la página de la EASA: 
https://ad.easa.europa.eu/ad/2022-02R3


Sumario de cómo prevenir el Spoofing

Los fabricantes de aviones y los fabricantes de equipos están trabajando en diversas estrategias para mitigar esta amenaza:
  • Sistemas de navegación redundantes: La mayoría de las aeronaves comerciales ya cuentan con sistemas de navegación inercial (INS) que utilizan giroscopios y acelerómetros para rastrear la posición independientemente del GPS. Esto proporciona una redundancia crucial.
  • Tecnología anti-suplantación: Los receptores GPS más recientes incorporan sistemas de detección de anomalías. Estos sistemas analizan las señales GPS para detectar discrepancias en la intensidad, la sincronización o la dirección de la señal. Si se detecta un patrón inusual, el sistema puede descartar la señal sospechosa.
  • Algoritmos de filtrado avanzados: Los sistemas de navegación fusionan datos de múltiples fuentes (GPS, INS, radiobalizas, etc.). Algoritmos sofisticados pueden detectar si los datos GPS no coinciden con los de otras fuentes y priorizar la información que parece más fiable.
  • Actualizaciones de software y hardware: Los fabricantes de aviónica están desarrollando nuevas generaciones de receptores GPS más robustos y resistentes a las interferencias.
En resumen, la prevención se basa en la redundancia, la detección y la fusión de datos.

Otros artículos del Blog sobre el GPS/GNSS:


Eu mesmo me causo pavor (...sobre todo por las mañanas cuando me miro al espejo).

Comentarios

Publicar un comentario

Entradas populares de este blog

El MAC o cuerda aerodinámica media

De -
Imagen
La relación entre el Centro de Presiones (sustentación) y el Centro de Gravedad es de gran importancia ya que afecta muchas consideraciones aerodinámicas relacionadas con el rendimiento, la estabilidad y la capacidad de control del avión. Dado que es útil conocer la posición C de G en relación con las fuerzas aerodinámicas y la posición del Centro de Presión normalmente se define en relación a la cuerda, es conveniente referirse a la posición C de G en términos similares. Recordemos que en aeronáutica, el término cuerda se refiere a la línea recta imaginaria que une el borde de salida con el centro de la curvatura del borde de ataque de un perfil alar. Calcular la cuerda media es bastante simple cuando el avión tiene un ala completamente rectangular como la que se muestra en la figura. La cuerda media estándar (CME) (en inglés CAV o "chord average") es la distancia promedio calculada matemáticamente de todas las diferentes longitudes de las cuerdas de...
Read more »

Sistema de detección de fuego y extinción

De -
Imagen
Los capítulos ATA que tratan este sistema Para saber qué son estos capítulos es conveniente visitar la entrada que tengo dedicada a ellos: https://greatbustardsflight.blogspot.com/2015/04/que-son-los-capitulos-ata.html Lo relativo al fuego se trata en el capítulo 26: 26 PROTECCIÓN CONTRA EL FUEGO 26-00 General 26-10 Detección 26-20 Extinción 26-30 Supresión de explosiones (no tratado aquí) Más concretamente los que se tratan aquí son: ITEM: 26-10-1 ENGINE FIRE DETECTION LOOPS ITEM: 26-10-2 ENGINE OVERHEAT DETECTION LOOPS ITEM: 26-10-3 APU FIRE DETECTION SYSTEM ITEM: 26-10-4 MAIN LANDING GEAR BAY OVERHEAT DETECTION SYSTEM ITEM: 26-10-5 BAGGAGE OR CARGO COMPARTMENT SMOKE DETECTORS ITEM: 26-10-6 LAVATORY SMOKE DETECTION SYSTEMS ITEM: 26-10-7 CREW REST FACILITY- BUNK SMOKE DETECTION SYSTEM ITEM: 26-20-1 ENGINE/ APU FIRE EXTINGUISHER DISCS (THERMAL AND DISCHARGE) ITEM: 26-20-2 APU FIRE EXTINGUISHING SYSTEM ITEM: 26-20-3 LAVATORY FIRE EXTINGUISHING SYSTEMS ITEM: 26-20-4 PORTABLE FIRE EXTINGU...
Read more »

Definiciones de las velocidades de despegue

De -
Imagen
V1, VR y V2 son velocidades indicadas (IAS) y son las que utiliza el piloto durante el despegue. Las demás velocidades son certificadas y se utilizan solo para el cálculo de las actuaciones de despegue. Estas velocidades certificadas son necesarias para asegurar que las velocidades operacionales son seguras desde el punto de vista de la controlabilidad, frenado y velocidad máxima de los neumáticos. Todas estas limitaciones son de sentido común.   Por ejemplo, V LOF ≤ V MAX TIRE . Esto asegura que, durante la carrera de despegue, no se exceda el límite de los neumáticos; o V 1min ≤ V 1 : esto garantiza que, si ocurre un fallo de motor cerca de V 1 , se obtendrá suficiente control direccional en caso de que el piloto decida continuar con el despegue.; o, por ejemplo, 1,1 V MCA ≤ V 2 : esto garantiza que, en caso de fallo de motor, se obtendrá suficiente control direccional en vuelo, etc. etc. V FE   Velocidad de fallo de motor – La velocidad en la que s...
Read more »