En el año 1962, Arthur C. Clarke escribió la célebre frase «Cualquier tecnología suficientemente avanzada es indistinguible de la magia».

Para muchas personas, satnav es mágico. Saben que tiene algo que ver con los satélites, y que en cualquier momento que lo necesiten aparece un pequeño icono en su pantalla. Proporciona una ubicación precisa, en cualquier parte del mundo, en cualquier momento. Y la verdadera sorpresa es que es gratuito.

Por supuesto, sabemos que hay mucho más que eso, y que, quizá de manera decepcionante, ¡no es mágico! El GPS (o ahora GNSS, Global Navigation Satellite System) es una de las maravillas de la ingeniería del mundo y se diseñó solo quince años después de que el primer satélite hecho por el hombre se pusiera en órbita. En el año 1989, Trimble, una de las empresas pioneras, llamó al GPS el servicio del futuro y esto se mantuvo como el eslogan publicitario de Trimble durante varios años.  Cuánta razón tenían, el GNSS se ha vuelto omnipresente y sinónimo de posicionamiento, navegación y tiempo (PNT) que es un ancla de nuestra sociedad conectada impulsada por el móvil y los datos.

Solo en el Reino Unido, el Gobierno estima que «los servicios de PNT ... apoyan directamente alrededor de 254 mil millones de libras (13,4 %) de la economía del Reino Unido. Su importancia es tan crucial que se ha estimado que una pérdida de los servicios espaciales de PNT costaría a la economía del Reino Unido aproximadamente mil millones de libras por día»[1]. Un análisis reciente sugiere que, desde que se publicó en 2017, el número ha incrementado a 1,7 mil millones por día.

Por supuesto, esta dependencia de PNT, y GNSS en particular, tiene un riesgo. Este riesgo se ve agravado por la propia vulnerabilidad de estos sistemas: señales de baja potencia, transmisión utilizando una especificación abierta, transmitida desde aproximadamente 20 000 km por encima de la Tierra. Las interferencias, el redireccionamiento, los ataques cibernéticos y los desastres naturales pueden tener un impacto en el rendimiento, la fiabilidad y la integridad.

Las amenazas del uso de PNT basado en el espacio son reales y están bien documentadas. Veinte años de investigación publicada, políticas gubernamentales y demostraciones de alto nivel han arrojado luz sobre la escala de las amenazas. Pero este no es el tema de este artículo; el tema de este artículo es qué hacer al respecto.

Mientras que un apagón importante de GNSS (por cualquier número de razones) sería una molestia para el público general, incluso un apagón local puede provocar un panorama aterrador para la infraestructura esencial. El PNT (y suele ser la T (Tiempo) la que causa el mayor impacto) está tan integrado en las operaciones de la infraestructura esencial que los apagones pueden tener un impacto en las redes de comunicaciones, la distribución de energía, la logística, los servicios de emergencia, el transporte público, la defensa, las finanzas y mucho más.

Las buenas noticias son que:

• El problema es bien conocido – Sabemos cuáles son las amenazas, las herramientas que están disponibles, lo que se puede hacer y cuál puede ser el impacto.
• Las mitigaciones están disponibles – Se pueden implementar mitigaciones técnicas, procesales y legales para reducir el riesgo a un nivel aceptable para casi cualquier caso de uso, y, por lo general, el coste no es prohibitivo.

Entonces, ¿por qué seguimos hablando de esto?

Porque a pesar de todas las advertencias, toda la investigación, toda la inversión, todos los grupos de trabajo y presión, en realidad se ha hecho muy poco hasta la fecha.

¿Y por qué no se ha hecho nada? Bien, es sencillo:

• Hay muy pocos ejemplos de cosas malas que han ocurrido – los ejemplos de interferencias y redireccionamiento están en todos sitios, pero hay muy pocos ejemplos de impacto real.
• La concienciación es baja – los usuarios de GNSS (y PNT de forma más amplia) no son, por lo general, conscientes de la amenaza, la escala y el alcance de la amenaza, o su vulnerabilidad a la amenaza.
• Hay más preocupaciones inmediatas – Pandemias, ataques cibernéticos, accionistas, transformación TI; todas cambian de prioridades a supervivencia urgente y a corto plazo.
• Identificar los riesgos es un reto – mientras entendamos el problema bien, un negocio o sistema individual puede encontrar muy difícil identificar dónde se utiliza el PNT a lo largo de un sistema complejo de sistemas, o qué impacto y reacción en cadena puede haber.

Sin duda el mundo ha aprendido la lección que no deberíamos esperar a que se despliegue una emergencia, debemos planificar para mitigar el impacto de las amenazas por pequeño que pueda parecer el riesgo. ¿Qué debemos hacer?

Primero, necesitamos la intervención del gobierno. Muchos gobiernos, en particular los de EE. UU y Reino Unido, han publicado políticas y estudios durante los últimos veinte años que han arrojado luz sobre el problema, e inspirado medidas limitadas. Más recientemente, el esquema de conformidad de PNT de EE. UU[2], dos notas tec de NIST[3],,[4], y una estrategia de PNT del Reino Unido (todavía por publicarse) han fijado una clara dirección técnica para mitigar las amenazas, y para desarrollar sistemas de mitigación a nivel nacional e incluso internacional. Sin embargo, es necesaria una acción adicional del gobierno para imponer operadores de la infraestructura esencial para hacer frente a los riesgos a los que se enfrentan, y hacerlos responsables de demostrar un nivel aceptable de mitigación (como hacen para otros riesgos como los relacionados con los ataques cibernéticos).

Segundo, tenemos que poner al PNT en el contexto del suministro satisfactorio de los negocios. Necesitamos estructuras que nos permitan expresar y cuantificar el riesgo de una manera consistente y coherente que muestre los resultados a nivel de negocio. Y debemos ser capaces de demostrar (implementando a través del seguro de vida, pruebas, supervisión, normas, buenas prácticas) como una inversión limitada en mitigaciones puede reducir la exposición al riesgo a un nivel aceptable y ofrecer beneficios positivos para los negocios y accionistas.

Y tercero, necesitamos una tecnología y servicios sólidos y resistentes que se puedan entregar directamente a los clientes. La mayoría de los operadores de infraestructura esencial no están en el negocio de innovar sus sistemas de seguridad. La seguridad (y no se equivoquen, este es un problema de seguridad de fondo) es un mal necesario para la mayoría de las organizaciones, y (a no ser que tengan realmente retos únicos) quieren comprar los productos y servicios disponibles que resuelvan el problema. Por analogía, ninguna empresa pregunta a Symantec que le entregue un antivirus nuevo y personalizado, compras el software que venden.

Existe un amplio reconocimiento que ha llegado el momento para la seguridad de PNT. Se están tomando medidas en todo el mundo para implementar tecnologías y back‑ups alternativos de PNT para diversificar el origen de PNT e introducir redundancia y resistencia del suministro. Los gobiernos están empezando a poner en marcha políticas apropiadas. Ahora debemos comunicar la necesidad y las soluciones a los usuarios. De una forma u otra, pasará. Como el Baron West de Spithead (ex jefe de la Marina Real y miembro de la Cámara de los Lores) dijo recientemente en una entrevista con el Mundo GPS «Esperemos que la llamada de atención sea algo menos que un desastre nacional».

Autor: Richard Bowden