Preguntas del examen Seguridad (Security) - AESA Drones A1-A3

Question 1

A nivel de Protección y Defensa Nacional (AVSEC), ¿cuál es la razón técnica y jurídica principal por la que está estrictamente prohibido que un ciudadano, guarda jurado o empresa civil utilice inhibidores de frecuencia (Jammers) contra drones?

Accepted Answer

Porque bloquean el espectro radioeléctrico público de forma indiscriminada, pudiendo neutralizar e interferir gravemente las comunicaciones de emergencia, aviación comercial, policía y redes civiles de la zona.

Answer

Porque son aparatos muy caros y no pagan impuestos.

Answer

Porque provocan incendios en los árboles cercanos.

Answer

Porque aumentan la contaminación lumínica urbana.

Question 2

Si durante un despliegue operativo en la vía pública un transeúnte se acerca a la zona de exclusión y formula de manera insistente preguntas técnicas muy inusuales (ej. frecuencias de radio exactas usadas, cifrado del C2 o protocolos de pérdida de enlace), la tripulación del UAS debe:

Accepted Answer

Considerar el acto como un posible intento de obtención de inteligencia u objetivo hostil (Ingeniería Social pre-ataque), mantener la cautela de la información confidencial y reportarlo al oficial de seguridad.

Answer

Responder a todo con la máxima precisión para demostrar conocimiento.

Answer

Dejarle pilotar el dron unos minutos para satisfacer su curiosidad.

Answer

Pedirle que grabe la conversación para las redes sociales.

Question 3

En la seguridad de la información aeronáutica, existe la tríada 'CIA' (Confidencialidad, Integridad y Disponibilidad). ¿A qué se refiere la 'Integridad' de los datos de vuelo?

Accepted Answer

A la garantía de que los comandos de vuelo, las coordenadas y la telemetría no han sido alterados, manipulados ni modificados de forma ilícita por un tercero.

Answer

A que la información solo pueda ser vista por el piloto.

Answer

A que el enlace de radio esté siempre encendido.

Answer

A que el dron esté fabricado con fibra de carbono íntegra.

Question 4

En ciberseguridad aplicada a drones, ¿qué es un ataque de 'Jamming' (interferencia intencionada)?

Accepted Answer

La emisión maliciosa de señales de radio de alta potencia para saturar, bloquear o cegar el enlace de mando (C2) o la señal GPS, provocando la pérdida de control de la aeronave.

Answer

La falsificación de las coordenadas satelitales para engañar al piloto.

Answer

El robo físico del dron mientras se encuentra aparcado en la base.

Answer

La infección de la tarjeta MicroSD con un virus de ordenador.

Question 5

Una medida básica y sumamente eficaz para proteger la estación de control en tierra (Mando a distancia, tablet o PC) contra el uso no autorizado es:

Accepted Answer

Establecer contraseñas robustas, utilizar métodos de autenticación biométrica y no dejar nunca el dispositivo de control desatendido ni desbloqueado.

Answer

Poner una pegatina oficial de AESA en la parte posterior del mando.

Answer

Envolver la tablet en papel de aluminio reflectante.

Answer

Volar exclusivamente de noche para no llamar la atención.

Question 6

La compra e instalación de hélices, placas o baterías falsificadas o de procedencia dudosa (Hardware Counterfeiting) afecta gravemente a la 'Security' (además de la Safety) debido a que:

Accepted Answer

Pueden contener microcomponentes ocultos diseñados para el robo de datos o sabotaje, además de carecer de las medidas de seguridad del fabricante original frente a intrusiones físicas.

Answer

Tienen un color diferente al original.

Answer

Anulan la validez de las tarjetas de crédito usadas.

Answer

Generan ruidos que molestan a los transeúntes.

Question 7

Alterar de forma ilegal y deliberada el código interno (Jailbreak / Hackeo) de un UAS comercial para desactivar sus limitaciones de fábrica, como el límite de altitud y el sistema de geoperimetraje (Geofencing), con el fin de penetrar en un aeropuerto:

Accepted Answer

Constituye un delito doloso y un acto ilícito gravísimo contra la Protección de la Aviación (Security), duramente penalizado, ya que anula barreras tecnológicas críticas de mitigación de riesgo.

Answer

Es una práctica lícita avalada por los clubes de ingeniería inversa.

Answer

Es una maniobra válida únicamente para pilotos de la Categoría Abierta.

Answer

Solo acarrea la pérdida de la garantía del aparato.

Question 8

El apoderamiento ilícito, hackeo o 'secuestro' cibernético (Hijacking) de un UAS en pleno vuelo comercial se considera normativamente:

Accepted Answer

Un acto de interferencia ilícita y un delito muy grave contra la seguridad de la aviación civil, debiendo ser reportado de emergencia a las autoridades de seguridad del Estado y de aviación.

Answer

Un fallo mecánico menor o avería de fábrica.

Answer

Un error común por mala calibración geomagnética de la brújula.

Answer

Un riesgo asumible y tolerado dentro de la Categoría Abierta.

Question 9

En caso de detectar la presencia persistente de un dron no identificado ('Rogue Drone') sobrevolando directamente una refinería o instalación energética nacional a baja cota, el equipo de seguridad en tierra debe:

Accepted Answer

No intentar derribarlo por medios propios (riesgo de explosión o daños mayores), activar los protocolos de amenaza AVSEC internos y avisar de urgencia a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Answer

Lanzarle piedras u objetos contundentes para derribarlo.

Answer

Aplaudir e intentar salir en el vídeo que está grabando el dron.

Answer

Apagar las luces de toda la refinería para que el dron no pueda ver nada.

Question 10

Si un atacante logra 'emparejar' (Pairing / Binding) ilícitamente su propio radiocontrol con tu aeronave mientras está encendida en tierra, tomando el mando exclusivo, ha realizado un ataque de:

Accepted Answer

Secuestro de enlace o Hijacking, vulnerando el control de acceso del hardware.

Answer

Denegación de servicio (DDoS).

Answer

Phishing telefónico.

Answer

Ataque de fuerza mecánica.

Question 11

Un ataque de inyección maliciosa (Command Injection) dirigido a la estación de control terrestre (GCS) persigue:

Accepted Answer

Introducir comandos de código fraudulentos a través de las interfaces de comunicación para ejecutar acciones no autorizadas o tomar el control del sistema operativo del GCS.

Answer

Inyectar aire a alta presión en los rotores.

Answer

Mejorar la refrigeración de los motores mediante inyección electrónica.

Answer

Cargar la batería de la estación de control saltándose el limitador.

Question 12

¿Por qué es un enorme riesgo de 'Security' cargar dispositivos USB de entretenimiento personal (mp3, móviles no corporativos) conectándolos directamente al puerto de la Estación de Control Terrestre (GCS) del UAS?

Accepted Answer

Porque estos dispositivos personales pueden estar infectados con código malicioso que utilice la conexión USB (ataque de hardware) para infectar sigilosamente el software crítico de vuelo.

Answer

Porque consumen la batería de la estación terrestre.

Answer

Porque las canciones interfieren con la señal de la radio.

Answer

Porque el puerto USB se deforma con el uso prolongado.

Question 13

El uso de redes móviles comerciales (4G/LTE/5G) para el enlace de Mando y Control (C2) de un UAS BVLOS expone la operación a riesgos cibernéticos externos que no existen en los enlaces de radio directa, principalmente porque:

Accepted Answer

El control de la aeronave depende de la infraestructura pública de telecomunicaciones de un tercero, susceptible a ataques de red generalizados, caídas de servicio de la operadora y latencias imprevistas.

Answer

Las redes móviles no funcionan de noche.

Answer

AESA prohíbe el uso de tarjetas SIM en drones.

Answer

Las baterías del dron explotan al conectarse a redes 5G.

Question 14

Al transferir datos confidenciales de una misión comercial (ej. inspección de seguridad) desde el campo a los servidores de la empresa a través de una red móvil pública, el operador debe utilizar:

Accepted Answer

Una VPN (Red Privada Virtual) u otro protocolo de túnel cifrado para proteger la información contra interceptaciones en la red pública.

Answer

Un simple correo electrónico sin encriptar.

Answer

Cables de cobre para evitar el uso del Wi-Fi.

Answer

La red de radiofrecuencia abierta del propio dron.

Question 15

Para mitigar la amenaza de un ataque interno (Insider Threat) de un ex-empleado descontento, una política básica de seguridad lógica requiere:

Accepted Answer

Revocar y anular de manera inmediata todos sus accesos, contraseñas, credenciales de red y entrega física de equipos en el mismo momento de su desvinculación laboral.

Answer

Permitirle mantener el acceso a la telemetría como cortesía profesional.

Answer

No hacer nada, la ética profesional garantiza la seguridad.

Answer

Avisar a los demás empleados para que le cambien las claves manualmente.

Question 16

A nivel de ciberseguridad, ¿qué significa que los datos almacenados en la tarjeta de memoria y el disco duro interno del UAS (Data at Rest) estén encriptados?

Accepted Answer

Que la información está cifrada mediante algoritmos criptográficos, impidiendo que un tercero no autorizado que robe o encuentre el dron pueda leer los archivos e imágenes sin la clave de descifrado.

Answer

Que los datos se borran automáticamente cada 24 horas.

Answer

Que los vídeos ocupan menos espacio en la memoria.

Answer

Que el dron no puede ser detectado por radares.

Question 17

Para garantizar la 'Security' (Protección física) de un sistema UAS y sus datos, el operador debe:

Accepted Answer

Almacenar la aeronave, la estación de tierra y las baterías en un lugar seguro, bajo llave y protegido contra el acceso físico no autorizado, manipulaciones o el robo.

Answer

Aparcar el dron en zonas públicas sin vigilancia para fomentar la transparencia.

Answer

Dejar la emisora encendida dentro del coche con las ventanas bajadas.

Answer

Pintar el dron con pintura de camuflaje militar.

Question 18

En el sector de los operadores profesionales de UAS y aeronáutica de vanguardia, adaptar o implementar auditorías y normas internacionales como la norma ISO/IEC 27001 persigue el propósito esencial de:

Accepted Answer

Establecer, auditar y certificar un Sistema de Gestión de la Seguridad de la Información (SGSI) robusto, garantizando legalmente la confidencialidad, integridad y disponibilidad de los datos operacionales de la compañía frente a cualquier amenaza.

Answer

Normalizar la altura y peso de las maletas de los drones.

Answer

Pagar menos cuotas a la asociación europea de pilotos deportivos.

Answer

Certificar que el dron puede volar a temperaturas de -20°C.

Question 19

En el contexto de la protección de espacios aéreos y aeropuertos, la tecnología militar o policial designada con el acrónimo C-UAS (Counter-UAS) engloba:

Accepted Answer

Sistemas antidrones (inhibidores, radares dedicados, láseres o interceptores cinéticos) diseñados exclusivamente para detectar, rastrear y neutralizar físicamente UAS hostiles o intrusos.

Answer

Aplicaciones de software para contar las horas de vida útil de un rotor.

Answer

Sensores que evitan la condensación de hielo en las palas.

Answer

Aeronaves con motores que giran en sentido contrario a las agujas del reloj.

Question 20

Al fundamentar una política proactiva y consolidar una 'Cultura de Seguridad y Protección' (Security Culture) robusta, la Dirección de cualquier empresa operadora de drones debe primar:

Accepted Answer

Implementar programas de concienciación en ciberseguridad, formación periódica contra ataques, y establecer canales internos para que la tripulación reporte de inmediato robos, debilidades informáticas o personas sospechosas en el campo.

Answer

Esconder los fallos del equipo a los empleados para que no sufran ansiedad.

Answer

Delegar su seguridad de la información comprando drones de marcas extranjeras caras.

Answer

Evitar por todos los medios conectar los ordenadores de la empresa a cualquier red eléctrica.

Question 21

En el contexto de la ciberhigiene de un operador de UAS, ¿qué riesgo de seguridad entraña conectar un dispositivo USB (pendrive) de origen desconocido al ordenador que se utiliza como Estación de Control (GCS)?

Accepted Answer

El USB podría contener 'malware' (virus, troyanos) diseñado para infectar el sistema, robar credenciales de vuelo, alterar rutas o comprometer el control del dron.

Answer

Que la batería del ordenador se agote un 50% más rápido.

Answer

Ninguno, los ordenadores utilizados para volar drones son inmunes a virus terrestres.

Answer

Que el dron inicie automáticamente el despegue.

Question 22

La Organización de Aviación Civil Internacional (OACI) estipula y define el concepto de AVSEC (Aviation Security) como:

Accepted Answer

La combinación y aplicación de medidas, recursos humanos y materiales destinados exhaustivamente a proteger a la aviación civil de los actos de interferencia ilícita.

Answer

La ciencia encargada de diseñar paracaídas balísticos para drones de clase C2.

Answer

El departamento que regula las velocidades máximas de acercamiento a las nubes.

Answer

La ley comercial que obliga a contratar pólizas de daños a terceros.

Question 23

En el incipiente ecosistema de control aéreo U-Space, un ataque cibernético de Denegación de Servicio (DoS) ejecutado contra un proveedor de servicios U-Space (USSP) tendría como finalidad:

Accepted Answer

Colapsar los servidores centrales con peticiones falsas, impidiendo la tramitación de autorizaciones de vuelo, cegando la conciencia situacional y paralizando la gestión segura del espacio aéreo automatizado.

Answer

Bajar el precio de los seguros de drones comerciales.

Answer

Mejorar la privacidad de los pilotos frente a la policía.

Answer

Descargar películas ilegales usando los satélites GPS.

Question 24

Como parte del ciclo de vida seguro del equipo, ¿por qué es crítico revocar y borrar los certificados digitales, tokens y contraseñas de la Estación de Control Terrestre de un dron que ha sido dado de baja o vendido?

Accepted Answer

Para neutralizar cualquier riesgo de que un comprador tercero, analista externo o pirata pueda acceder a la nube del operador corporativo o a la red empresarial utilizando las credenciales almacenadas en caché en el dispositivo.

Answer

Para que el nuevo propietario no tenga que usar el modo avanzado.

Answer

Para evitar que el fabricante bloquee la aeronave de forma remota.

Answer

Para que la pantalla del dispositivo se vea con más nitidez.

Question 25

En la jerga de ciberseguridad, un 'Ataque de fuerza bruta' (Brute-force attack) contra la estación de tierra de un UAS busca:

Accepted Answer

Adivinar la contraseña de acceso al dispositivo probando sistemáticamente miles de combinaciones de caracteres a gran velocidad hasta dar con la correcta.

Answer

Golpear la pantalla de la tablet con un martillo hasta destruirla.

Answer

Acelerar los motores del dron hasta que se fundan por sobrecalentamiento.

Answer

Robar el equipo de las manos del piloto usando violencia física.

Question 26

En el supuesto de que tu aeronave sea hackeada, secuestrada de tus mandos mediante un ataque cibernético comprobado, e intercepte de forma hostil y sostenida el espacio aéreo controlado de un aeropuerto (CTR/ATZ):

Accepted Answer

Es una contingencia absoluta de 'Security' (acto ilícito). Obliga a comunicar inmediatamente y de urgencia el ataque y la posición a la Torre de Control y a las Fuerzas de Seguridad para proteger el tráfico tripulado.

Answer

El problema se clasifica como una avería puramente meteorológica.

Answer

El operador debe apagar el teléfono y huir para evitar repercusiones.

Answer

Solo debes enviar un correo electrónico al servicio técnico del fabricante.

Question 27

Durante la ejecución de una misión en la Categoría Específica, acordonar físicamente con vallas o cintas y vigilar la Estación de Control Terrestre ayuda directamente a la 'Security' al:

Accepted Answer

Evitar que transeúntes curiosos o personas con intenciones hostiles accedan físicamente a los equipos, corten cables, roben datos o agredan al piloto mientras tiene la vista ocupada en la aeronave.

Answer

Impedir que el viento mueva o derribe las antenas de comunicación.

Answer

Crear una sombra cómoda que mejore la visión en la tablet del piloto.

Answer

Reducir significativamente la contaminación acústica en la ciudad.

Question 28

Falsificar deliberadamente el número de registro de operador o colocar una placa identificativa falsa (matrícula) en un UAS con el fin de cometer un acto ilegal o de espionaje se considera:

Accepted Answer

Un acto muy grave contra la 'Security' de la aviación de Estado, constituyendo un delito penal análogo a volar una aeronave tripulada con matrícula falsificada.

Answer

Una falta puramente estética sin repercusión.

Answer

Una táctica completamente aceptable para proteger la intimidad del piloto comercial.

Answer

Un defecto atribuible exclusivamente al fabricante de la pegatina.

Question 29

Implementar una política de 'Contraseñas Robustas' para impedir el acceso no autorizado al software de vuelo (GCS) u a los paneles de gestión de operadores de AESA implica, como norma general:

Accepted Answer

Exigir una longitud adecuada (ej. +12 caracteres), combinación de letras mayúsculas, minúsculas, números y símbolos, prohibiendo el uso de datos personales predecibles o palabras de diccionario.

Answer

Usar la fecha de nacimiento del piloto, por ser fácil de recordar.

Answer

Usar la misma contraseña corta de 4 números para todos los dispositivos de la empresa.

Answer

No usar contraseñas y utilizar siempre el reconocimiento de voz en entornos ruidosos.

Question 30

¿Por qué las transmisiones de vídeo puramente 'Analógicas' de baja latencia (habituales en drones FPV) representan una vulnerabilidad crítica inaceptable en misiones policiales o de inspección de seguridad privada?

Accepted Answer

Porque la arquitectura analógica carece de capacidad de encriptación; cualquier persona con unas simples gafas FPV sintonizadas en el canal adecuado puede visualizar subrepticiamente en directo toda la operativa de seguridad táctica.

Answer

Porque las baterías se agotan debido al intenso calor del transmisor.

Answer

Porque la calidad de la imagen hace que los ladrones se vean borrosos.

Answer

Porque emiten radiación perjudicial para los ojos del operador.

Question 31

El secuestro cibernético (Takeover) del perfil y la cuenta oficial de un piloto a distancia en el registro nacional gubernamental (AESA) permitiría a un atacante:

Accepted Answer

Registrar aeronaves fantasma para actos ilícitos bajo tu identidad, cancelar flotas de drones legítimos, falsificar autorizaciones y cometer gravísimos delitos de suplantación con repercusiones penales para el titular.

Answer

Únicamente descargarse el título en formato PDF.

Answer

Mejorar la calificación del examen del piloto de 80 a 100.

Answer

Borrar el historial de infracciones de tráfico del coche del piloto.

Question 32

La vulnerabilidad de la 'Cadena de Suministro' (Supply Chain Risk) en la compra de flotas de UAS hace referencia a:

Accepted Answer

El riesgo de que proveedores, fabricantes o intermediarios hostiles hayan insertado puertas traseras (backdoors), chips de espionaje o código malicioso en el hardware/software del dron antes de que llegue al operador final.

Answer

La probabilidad de que el envío por paquetería llegue con retraso.

Answer

El coste de los aranceles aduaneros en las fronteras europeas.

Answer

El peligro de rotura de las hélices durante el montaje en la línea de producción.

Question 33

¿Cuál es la respuesta procedimental correcta que deben tomar las Fuerzas de Seguridad y el operador de infraestructura al neutralizar tecnológicamente e interceptar un 'Dron Hostil' sobrevolando una petroquímica?

Accepted Answer

Asegurar y acordonar la zona de impacto, no manipular la aeronave para no borrar huellas o detonar cargas, e incautar el equipo mediante cadena de custodia para un riguroso análisis forense físico y digital.

Answer

Tirarlo a un contenedor de basura general para que no estorbe.

Answer

Buscar al piloto en Instagram para pedirle explicaciones amigablemente.

Answer

Vender las piezas del dron en subasta pública al día siguiente.

Question 34

El 'Geofencing' o geovallado electrónico impide vuelos en zonas sensibles. Sin embargo, este anillo de protección perimetral interno del dron puede ser engañado y vulnerado por piratas informáticos mediante:

Accepted Answer

GPS Spoofing, inyectando coordenadas satelitales falsificadas que hacen creer al dron que se encuentra en una zona totalmente libre de restricciones.

Answer

Disparos con armas de fogueo a la carcasa exterior.

Answer

Volar de noche apagando las luces LED.

Answer

Cambiar el idioma de la aplicación de vuelo.

Question 35

De acuerdo con los estándares internacionales, la 'Concienciación en Ciberseguridad y Protección' (Security Awareness) inculcada al personal de una operadora de drones representa:

Accepted Answer

La primera, más crítica y efectiva barrera de defensa humana o escudo corporativo ('Human Firewall') para detectar amenazas físicas, abortar ataques de ingeniería social o frenar intentos de suplantación (Phishing).

Answer

Una pérdida de tiempo operativo que solo interesa a las aseguradoras.

Answer

Un curso que solo deben realizar los ingenieros informáticos de la empresa.

Answer

Una práctica exclusiva de las aerolíneas militares.

Question 36

¿Por qué constituye un grave riesgo de 'Security' que el fabricante deje habilitados y sin contraseña los puertos de depuración física (Debug ports / JTAG) en la placa base del dron comercial?

Accepted Answer

Porque proporcionan a cualquier atacante con acceso físico a la aeronave una vía directa (puerta trasera de hardware) para extraer el código fuente, modificar parámetros de vuelo y esquivar bloqueos de fábrica.

Answer

Porque consumen demasiada energía de la batería LiPo.

Answer

Porque las aseguradoras cobran más por los puertos expuestos.

Answer

Porque el dron volará más despacio.

Question 37

Las mitigaciones en C-UAS pueden ser 'electrónicas' o 'cinéticas'. ¿Qué es una mitigación cinética contra un dron hostil?

Accepted Answer

La intervención física para derribar o capturar el dron (ej. redes lanzadas, proyectiles, o aves de presa adiestradas).

Answer

El uso de inhibidores de señal de radio (Jammers).

Answer

La suplantación de sus señales de GPS (Spoofing).

Answer

La orden verbal por megafonía para que el piloto aterrice.

Question 38

El ataque cibernético y electrónico conocido como 'Spoofing' consiste en:

Accepted Answer

Enviar señales falsas o fraudulentas (por ejemplo, coordenadas GPS ficticias) al receptor del UAS para engañarlo, suplantar su ruta y tomar el control ilícito de su navegación.

Answer

Bloquear la señal de vídeo con ruido blanco para que el piloto no vea nada.

Answer

Atacar físicamente las antenas del mando con herramientas.

Answer

Usar un puntero láser de alta potencia para cegar la cámara óptica.

Question 39

Si el dron y la emisora de control (CS) son robados violentamente del vehículo del operador, ¿qué acción de 'Security' se debe tomar de forma urgente?

Accepted Answer

Denunciar el robo inmediatamente a las Fuerzas y Cuerpos de Seguridad del Estado y notificar a AESA, ya que un tercero podría usar la aeronave (ligada a tu registro) para cometer atentados u actos ilícitos.

Answer

Comprar un equipo nuevo y olvidar el suceso.

Answer

Borrar la cuenta personal en la red social de la marca del dron.

Answer

Dar de baja el seguro médico del piloto a distancia.

Question 40

El principio de ciberseguridad conocido como 'Security by Design' (Seguridad desde el Diseño) exige que los fabricantes de UAS:

Accepted Answer

Integren las medidas de ciberprotección, cifrado y autenticación desde la fase inicial del desarrollo del software y hardware, y no como un parche a posteriori.

Answer

Pinten el dron de colores llamativos para que sea seguro.

Answer

Deleguen toda la seguridad informática en el piloto.

Answer

Publiquen el código fuente del dron en internet para que cualquiera pueda modificarlo.

Simulacro de examen Seguridad (Security) - AESA Drones A1-A3

Simulacro de examen Drones A1-A3 Seguridad (Security) 40 preguntas en 40 minutos