Preguntas del examen Seguridad (Security) - AESA Drones A1-A3

Question 1

¿Qué precaución básica de ciberhigiene debe adoptar un piloto a distancia con respecto a las tarjetas de memoria (SD) extraídas de un dron que ha volado en áreas vulnerables?

Accepted Answer

Analizarlas con un software antivirus antes de abrir sus archivos en la red corporativa, para evitar transferir posible malware implantado durante la misión.

Answer

Lavarlas con agua destilada antes de conectarlas.

Answer

Guardarlas siempre en los bolsillos del pantalón.

Answer

Borrar las fotos borrosas para ahorrar espacio.

Question 2

Una sofisticada técnica empleada por hackers para vulnerar drones comerciales es el 'Firmware Downgrade Attack'. ¿En qué consiste esta amenaza?

Accepted Answer

Consiste en obligar, forzar o engañar al sistema del dron para que instale una versión antigua y obsoleta de su software, con el objetivo malicioso de reabrir fallos y vulnerabilidades de seguridad que el fabricante ya había parcheado.

Answer

Consiste en instalar el último software legítimo disponible pero muy lentamente.

Answer

Es el acto de apagar la pantalla del mando de control reduciendo el brillo al mínimo.

Answer

Consiste en cambiar las hélices por un modelo más pesado.

Question 3

En la jerga internacional de Seguridad Aérea y de control del espacio, se define un 'Rogue Drone' (Dron Hostil o no cooperativo) como:

Accepted Answer

Una aeronave no tripulada que vuela de forma deliberada e ilícita en zonas sensibles, anulando o careciendo de sistemas de identificación (Remote ID apagado), generalmente con intención de espiar, entorpecer operaciones o causar un ataque.

Answer

Un dron militar aliado que ha perdido temporalmente su batería.

Answer

Cualquier dron de juguete menor a 250 gramos volando en un parque de forma legal.

Answer

Un UAS operado exclusivamente por fuerzas de extinción de incendios en zonas forestales.

Question 4

En la seguridad de la información aeronáutica, existe la tríada 'CIA' (Confidencialidad, Integridad y Disponibilidad). ¿A qué se refiere la 'Integridad' de los datos de vuelo?

Accepted Answer

A la garantía de que los comandos de vuelo, las coordenadas y la telemetría no han sido alterados, manipulados ni modificados de forma ilícita por un tercero.

Answer

A que la información solo pueda ser vista por el piloto.

Answer

A que el enlace de radio esté siempre encendido.

Answer

A que el dron esté fabricado con fibra de carbono íntegra.

Question 5

¿Qué busca un ataque cibernético de 'Denegación de Servicio' (DoS o DDoS) dirigido contra el sistema de enlace C2 de un UAS o contra los servidores del operador?

Accepted Answer

Saturar o sobrecargar el sistema con un exceso de solicitudes o señales, haciendo que la comunicación colapse y el servicio deje de estar disponible para el piloto legítimo.

Answer

Cambiar el color de las luces LED del dron.

Answer

Mejorar la resolución de la cámara óptica a distancia.

Answer

Descargar legalmente los manuales de vuelo del fabricante.

Question 6

La instalación de dispositivos C-UAS que utilicen 'Inhibición de Radiofrecuencia' (Jammers) para neutralizar drones en espacio aéreo español:

Accepted Answer

Es competencia exclusiva y su uso está estrictamente reservado a las Fuerzas y Cuerpos de Seguridad del Estado o las Fuerzas Armadas, dado el altísimo riesgo de interferir en las comunicaciones civiles, de emergencia y aviación tripulada.

Answer

Puede ser instalada y utilizada libremente por cualquier empresa de seguridad privada.

Answer

Está recomendada para todos los ayuntamientos del país de forma abierta.

Answer

Se permite su uso libre si el dron intruso es de la Categoría Abierta.

Question 7

Si se realiza un vuelo comercial que captura imágenes de infraestructuras críticas, ¿cómo debe protegerse la información extraída a nivel de 'Security'?

Accepted Answer

Empleando protocolos de conexión seguros, enlaces C2 encriptados y almacenando la información sensible bajo estrictas medidas de ciberseguridad, contraseñas y cifrado de datos.

Answer

Usando tarjetas MicroSD genéricas y prestándolas a otros pilotos.

Answer

Transmitiéndola en directo por canales de radio analógicos sin cifrar.

Answer

Subiendo los vídeos en crudo a servidores públicos gratuitos en la nube.

Question 8

Si en el transcurso de una operación detectas a un individuo hostil y ajeno al equipo manipulando antenas direccionales o inhibidores (Jammer) apuntando deliberadamente a tu aeronave, debes de inmediato:

Accepted Answer

Activar los protocolos de emergencia (ej. aterrizar inmediatamente en un lugar seguro o abortar misión), poner a salvo al equipo humano y notificar urgentemente el ataque intencionado a la Policía o Guardia Civil.

Answer

Intentar embestir al individuo lanzándole el dron a máxima velocidad.

Answer

Aterrizar el dron cerca del individuo para asustarlo con el ruido.

Answer

Seguir operando con normalidad y subir la potencia del mando.

Question 9

El cifrado o encriptación informática del enlace de Mando y Control (C2 Link) del dron mediante protocolos robustos (como AES-128 o AES-256) tiene el principal objetivo técnico de:

Accepted Answer

Impedir de forma criptográfica que un tercero malintencionado pueda interceptar, leer o inyectar órdenes fraudulentas en la comunicación entre la emisora y el dron (mitigando su secuestro).

Answer

Comprimir enormemente los píxeles de los vídeos para que pesen menos.

Answer

Hacer que los motores funcionen en modo silencioso total.

Answer

Desbloquear zonas NFZ sin pedir permisos a los aeropuertos.

Question 10

En caso de recuperar un UAS profesional que había sido robado o extraviado temporalmente, antes de reintroducirlo en operaciones comerciales, el equipo de Security debe:

Accepted Answer

Poner el equipo en cuarentena y auditarlo exhaustivamente (hardware y software) para descartar que se haya instalado malware, rastreadores físicos o manipulado el código fuente.

Answer

Ponerlo a volar inmediatamente para comprobar que los motores giran.

Answer

Cambiarle la batería y limpiar la carcasa con alcohol.

Answer

Denunciar al fabricante por abandono del equipo.

Question 11

Un ataque de inyección maliciosa (Command Injection) dirigido a la estación de control terrestre (GCS) persigue:

Accepted Answer

Introducir comandos de código fraudulentos a través de las interfaces de comunicación para ejecutar acciones no autorizadas o tomar el control del sistema operativo del GCS.

Answer

Inyectar aire a alta presión en los rotores.

Answer

Mejorar la refrigeración de los motores mediante inyección electrónica.

Answer

Cargar la batería de la estación de control saltándose el limitador.

Question 12

Los sistemas tecnológicos C-UAS (Counter-UAS) diseñados para proteger aeropuertos o infraestructuras críticas emplean diferentes sensores. ¿Qué detecta un sensor C-UAS 'Acústico'?

Accepted Answer

La firma sonora única o 'huella acústica' que generan las hélices y los motores del dron al cortar el aire.

Answer

Las señales de radio Wi-Fi emitidas por el mando a distancia.

Answer

El calor emitido por las baterías LiPo.

Answer

El reflejo del sol en el chasis del dron.

Question 13

En el contexto de la manipulación de sistemas de UAS, una vulnerabilidad 'Zero-Day' (Día Cero) se refiere a:

Accepted Answer

Un fallo de seguridad en el software del dron que es desconocido por el fabricante y para el cual aún no existe un parche, siendo altamente explotable por piratas informáticos.

Answer

El día en que el dron sale de la fábrica sin haber sido encendido.

Answer

Un fallo de motor que ocurre exactamente a medianoche.

Answer

El tiempo que tarda el GPS en encontrar los satélites (0 días).

Question 14

Implementar una política de 'Contraseñas Robustas' para impedir el acceso no autorizado al software de vuelo (GCS) u a los paneles de gestión de operadores de AESA implica, como norma general:

Accepted Answer

Exigir una longitud adecuada (ej. +12 caracteres), combinación de letras mayúsculas, minúsculas, números y símbolos, prohibiendo el uso de datos personales predecibles o palabras de diccionario.

Answer

Usar la fecha de nacimiento del piloto, por ser fácil de recordar.

Answer

Usar la misma contraseña corta de 4 números para todos los dispositivos de la empresa.

Answer

No usar contraseñas y utilizar siempre el reconocimiento de voz en entornos ruidosos.

Question 15

¿Por qué es un enorme riesgo de 'Security' cargar dispositivos USB de entretenimiento personal (mp3, móviles no corporativos) conectándolos directamente al puerto de la Estación de Control Terrestre (GCS) del UAS?

Accepted Answer

Porque estos dispositivos personales pueden estar infectados con código malicioso que utilice la conexión USB (ataque de hardware) para infectar sigilosamente el software crítico de vuelo.

Answer

Porque consumen la batería de la estación terrestre.

Answer

Porque las canciones interfieren con la señal de la radio.

Answer

Porque el puerto USB se deforma con el uso prolongado.

Question 16

En la jerga de ciberseguridad, un 'Ataque de fuerza bruta' (Brute-force attack) contra la estación de tierra de un UAS busca:

Accepted Answer

Adivinar la contraseña de acceso al dispositivo probando sistemáticamente miles de combinaciones de caracteres a gran velocidad hasta dar con la correcta.

Answer

Golpear la pantalla de la tablet con un martillo hasta destruirla.

Answer

Acelerar los motores del dron hasta que se fundan por sobrecalentamiento.

Answer

Robar el equipo de las manos del piloto usando violencia física.

Question 17

Un ataque cibernético tipo 'Man-in-the-Middle' (MitM) aplicado a la operación de un UAS ocurre cuando:

Accepted Answer

Un ciberdelincuente se interpone secretamente en la comunicación de red entre el mando del piloto y el dron, interceptando, leyendo o alterando los comandos de vuelo en tiempo real.

Answer

Un pájaro se cruza exactamente en la línea visual entre el piloto y la aeronave.

Answer

El copiloto toma el radiocontrol sin permiso del piloto principal.

Answer

Una torre de control envía una orden de aterrizaje oficial.

Question 18

Fomentar la 'Cultura de Protección' (Security Culture) implica que si el equipo en tierra detecta a personas extrañas merodeando, haciendo croquis o fotografiando intensamente las antenas y estaciones base de la compañía:

Accepted Answer

Debe considerarse una posible actividad hostil de vigilancia o reconocimiento (pre-atentado o pre-robo) y reportarse de inmediato a las autoridades o responsables de seguridad de la empresa.

Answer

Debe ignorarse al 100%, la calle es de todos.

Answer

Se les debe invitar a sentarse junto a los ordenadores de vuelo.

Answer

Se les debe vender una copia de la grabación del dron.

Question 19

Al fundamentar una política proactiva y consolidar una 'Cultura de Seguridad y Protección' (Security Culture) robusta, la Dirección de cualquier empresa operadora de drones debe primar:

Accepted Answer

Implementar programas de concienciación en ciberseguridad, formación periódica contra ataques, y establecer canales internos para que la tripulación reporte de inmediato robos, debilidades informáticas o personas sospechosas en el campo.

Answer

Esconder los fallos del equipo a los empleados para que no sufran ansiedad.

Answer

Delegar su seguridad de la información comprando drones de marcas extranjeras caras.

Answer

Evitar por todos los medios conectar los ordenadores de la empresa a cualquier red eléctrica.

Question 20

Si durante un despliegue operativo en la vía pública un transeúnte se acerca a la zona de exclusión y formula de manera insistente preguntas técnicas muy inusuales (ej. frecuencias de radio exactas usadas, cifrado del C2 o protocolos de pérdida de enlace), la tripulación del UAS debe:

Accepted Answer

Considerar el acto como un posible intento de obtención de inteligencia u objetivo hostil (Ingeniería Social pre-ataque), mantener la cautela de la información confidencial y reportarlo al oficial de seguridad.

Answer

Responder a todo con la máxima precisión para demostrar conocimiento.

Answer

Dejarle pilotar el dron unos minutos para satisfacer su curiosidad.

Answer

Pedirle que grabe la conversación para las redes sociales.

Question 21

¿Por qué las transmisiones de vídeo puramente 'Analógicas' de baja latencia (habituales en drones FPV) representan una vulnerabilidad crítica inaceptable en misiones policiales o de inspección de seguridad privada?

Accepted Answer

Porque la arquitectura analógica carece de capacidad de encriptación; cualquier persona con unas simples gafas FPV sintonizadas en el canal adecuado puede visualizar subrepticiamente en directo toda la operativa de seguridad táctica.

Answer

Porque las baterías se agotan debido al intenso calor del transmisor.

Answer

Porque la calidad de la imagen hace que los ladrones se vean borrosos.

Answer

Porque emiten radiación perjudicial para los ojos del operador.

Question 22

Una medida básica y sumamente eficaz para proteger la estación de control en tierra (Mando a distancia, tablet o PC) contra el uso no autorizado es:

Accepted Answer

Establecer contraseñas robustas, utilizar métodos de autenticación biométrica y no dejar nunca el dispositivo de control desatendido ni desbloqueado.

Answer

Poner una pegatina oficial de AESA en la parte posterior del mando.

Answer

Envolver la tablet en papel de aluminio reflectante.

Answer

Volar exclusivamente de noche para no llamar la atención.

Question 23

Falsificar deliberadamente el número de registro de operador o colocar una placa identificativa falsa (matrícula) en un UAS con el fin de cometer un acto ilegal o de espionaje se considera:

Accepted Answer

Un acto muy grave contra la 'Security' de la aviación de Estado, constituyendo un delito penal análogo a volar una aeronave tripulada con matrícula falsificada.

Answer

Una falta puramente estética sin repercusión.

Answer

Una táctica completamente aceptable para proteger la intimidad del piloto comercial.

Answer

Un defecto atribuible exclusivamente al fabricante de la pegatina.

Question 24

Si modificamos ilícitamente el software del dron para alterar el valor de MTOM (Peso Máximo) reportado y así evitar los bloqueos de seguridad del fabricante, estamos incurriendo en:

Accepted Answer

Una falsificación de parámetros de vuelo y vulneración de la ciberseguridad que compromete la aeronavegabilidad certificada y expone al operador a responsabilidades penales.

Answer

Una optimización aerodinámica aprobada por AESA.

Answer

Un mantenimiento preventivo básico.

Answer

Una mejora del rendimiento de la batería.

Question 25

Metodológicamente en la gestión de una operadora de UAS, ¿cuál es la diferencia principal entre un SRA (Security Risk Assessment / Evaluación de Protección) y un SORA (Evaluación de Seguridad Operacional)?

Accepted Answer

El SORA evalúa riesgos accidentales, técnicos y humanos frente a terceros; mientras que el SRA identifica, evalúa y mitiga amenazas intencionadas, maliciosas, ataques y actos ilícitos deliberados contra la operación.

Answer

Son exactamente el mismo documento exigido por EASA.

Answer

El SRA se usa en Europa y el SORA en América.

Answer

El SORA se aplica a drones y el SRA a aviones tripulados.

Question 26

La destrucción segura (borrado criptográfico o destrucción física en fragmentos) de las tarjetas SD y los discos duros de a bordo antes de retirar, enviar a reparar o vender un dron comercial evita principalmente:

Accepted Answer

La recuperación de información sensible, fotografías de infraestructuras críticas y rutas estratégicas (waypoint logs) por parte de terceros no autorizados y analistas forenses.

Answer

Que el dron pese más de lo especificado en la hoja técnica.

Answer

Que las aduanas cobren más impuestos por la venta.

Answer

Que el GPS del dron nuevo funcione mal.

Question 27

Si un atacante logra 'emparejar' (Pairing / Binding) ilícitamente su propio radiocontrol con tu aeronave mientras está encendida en tierra, tomando el mando exclusivo, ha realizado un ataque de:

Accepted Answer

Secuestro de enlace o Hijacking, vulnerando el control de acceso del hardware.

Answer

Denegación de servicio (DDoS).

Answer

Phishing telefónico.

Answer

Ataque de fuerza mecánica.

Question 28

Para garantizar la 'Security' (Protección física) de un sistema UAS y sus datos, el operador debe:

Accepted Answer

Almacenar la aeronave, la estación de tierra y las baterías en un lugar seguro, bajo llave y protegido contra el acceso físico no autorizado, manipulaciones o el robo.

Answer

Aparcar el dron en zonas públicas sin vigilancia para fomentar la transparencia.

Answer

Dejar la emisora encendida dentro del coche con las ventanas bajadas.

Answer

Pintar el dron con pintura de camuflaje militar.

Question 29

¿Por qué representa una vulnerabilidad crítica de Ciberseguridad mantener operativas las contraseñas Wi-Fi o claves de fábrica 'por defecto' (ej. 000000 o 12345678) en los módulos de transmisión o estaciones terrestres del UAS?

Accepted Answer

Porque son públicas, predecibles y universales, permitiendo a cualquier pirata informático cercano infiltrarse en la red del equipo, secuestrar la telemetría, sustraer el vídeo o tomar el control remoto.

Answer

Porque estas contraseñas agotan rápidamente las baterías del mando remoto.

Answer

Porque el fabricante desactivará el dron a distancia por no leer el manual.

Answer

Porque AESA exige obligatoriamente contraseñas de exactamente 5 dígitos.

Question 30

Un ataque de 'Phishing' que logre sustraer las credenciales, contraseñas y certificados electrónicos del perfil oficial de un Operador en el registro de AESA generaría una catástrofe legal porque:

Accepted Answer

Los ciberdelincuentes podrían registrar drones de forma ilícita, solicitar autorizaciones a su nombre o modificar datos, exponiendo al operador original a responsabilidad penal en caso de actos criminales.

Answer

El atacante solo tendría acceso a descargar los manuales de pilotaje gratuitos de la web.

Answer

AESA no permite a nadie entrar en su plataforma sin escanear el iris del piloto.

Answer

El dron físico del operador se incendiaría automáticamente al cambiar la contraseña.

Question 31

La aplicación de los principios de 'Identity and Access Management' (IAM) en la flota de una operadora estipula que a la figura del Observador Visual (VO):

Accepted Answer

Se le deben denegar los privilegios administrativos para modificar parámetros críticos de vuelo o el firmware del dron, limitando sus accesos informáticos estrictamente a lo indispensable para su función observadora.

Answer

Se le debe proporcionar la contraseña maestra o de 'Root' de todos los drones de la compañía por si el piloto falta.

Answer

Se le debe dar acceso total a la cuenta bancaria de la empresa.

Answer

No se le debe permitir llevar teléfono móvil personal bajo ningún concepto.

Question 32

La utilización estandarizada de una red privada virtual (VPN) para conectar los dispositivos de la Estación de Control Terrestre con los servidores en la nube de la corporación garantiza:

Accepted Answer

El cifrado y tunelización segura del tráfico de datos en tránsito, protegiendo la información sensible (coordenadas, fotos, contraseñas) de posibles interceptaciones (sniffing) en redes de internet públicas.

Answer

Que el dron pueda volar más allá del límite de las nubes.

Answer

Una recarga automática de las baterías de la emisora.

Answer

Evitar el pago mensual del software de vuelo al fabricante.

Question 33

A nivel de ciberseguridad, ¿qué significa que los datos almacenados en la tarjeta de memoria y el disco duro interno del UAS (Data at Rest) estén encriptados?

Accepted Answer

Que la información está cifrada mediante algoritmos criptográficos, impidiendo que un tercero no autorizado que robe o encuentre el dron pueda leer los archivos e imágenes sin la clave de descifrado.

Answer

Que los datos se borran automáticamente cada 24 horas.

Answer

Que los vídeos ocupan menos espacio en la memoria.

Answer

Que el dron no puede ser detectado por radares.

Question 34

A nivel de Protección y Defensa Nacional (AVSEC), ¿cuál es la razón técnica y jurídica principal por la que está estrictamente prohibido que un ciudadano, guarda jurado o empresa civil utilice inhibidores de frecuencia (Jammers) contra drones?

Accepted Answer

Porque bloquean el espectro radioeléctrico público de forma indiscriminada, pudiendo neutralizar e interferir gravemente las comunicaciones de emergencia, aviación comercial, policía y redes civiles de la zona.

Answer

Porque son aparatos muy caros y no pagan impuestos.

Answer

Porque provocan incendios en los árboles cercanos.

Answer

Porque aumentan la contaminación lumínica urbana.

Question 35

¿Cómo catalogan las fuerzas del orden y la OACI el hecho de manipular, armar o modificar ('Weaponization') un dron civil de carga para transportar sustancias químicas letales o artefactos explosivos improvisados?

Accepted Answer

Como el escenario de amenaza (Threat) más crítico y de máxima prioridad dentro del marco de la Protección (AVSEC) y el antiterrorismo frente al uso de vehículos no tripulados.

Answer

Como una alteración estética menor del chasis.

Answer

Como un incidente rutinario que solo requiere multa económica de la aseguradora.

Answer

Como un error inofensivo si el vuelo se efectúa en el desierto.

Question 36

Una medida de 'Security' altamente recomendable para el acceso a la Estación de Control en Tierra (tablet o portátil) y a las cuentas del operador en la nube es la implementación de MFA. ¿Qué significa?

Accepted Answer

Multi-Factor Authentication (Autenticación Multifactor), que requiere al menos dos métodos de verificación (ej. contraseña y un SMS o huella) para autorizar el acceso.

Answer

Magnetic Field Avoidance (Evasión de campo magnético).

Answer

Manual Flight Authorization (Autorización de vuelo manual).

Answer

Multiple Frequency Antenna (Antena de múltiple frecuencia).

Question 37

El sistema de Identificación a Distancia Directa (Remote ID) obligatorio en los UAS actúa indirectamente como una potente medida disuasoria de Security porque:

Accepted Answer

Emite en tiempo real el número de registro del operador, la posición de la aeronave y del piloto, permitiendo a las Fuerzas de Seguridad interceptar a infractores o desbaratar vuelos anónimos malintencionados.

Answer

Impide por completo que el dron se estrelle contra otros aviones.

Answer

Aumenta el rendimiento y autonomía de la batería un 20%.

Answer

Dispara misiles virtuales a los drones intrusos.

Question 38

A nivel de análisis de Amenazas (Threats), ¿qué riesgo físico real representa la emisión desprotegida de datos del sistema 'Identificación a Distancia' (Remote ID) si los actores criminales tienen receptores adecuados?

Accepted Answer

El sistema emite coordenadas precisas en directo; si no existen filtros de protección de datos, un actor hostil puede triangular y rastrear la ubicación exacta del piloto en tierra para agredirlo o robar la estación.

Answer

Ninguno, el Remote ID blinda al operador con un escudo láser.

Answer

Que la policía imponga multas por exceso de velocidad del dron.

Answer

Que los pájaros ataquen al dron siguiendo la señal de radio.

Question 39

Para prevenir la inyección de código malicioso durante las actualizaciones Over-The-Air (OTA) del sistema del dron, los fabricantes emplean la 'Firma Digital Criptográfica'. Su finalidad es:

Accepted Answer

Garantizar la autenticidad y la integridad absoluta del paquete, asegurando que el software proviene legítimamente del fabricante original y no ha sido alterado en el camino por un atacante.

Answer

Hacer que el archivo de actualización pese menos megabytes.

Answer

Cobrar derechos de autor por cada actualización descargada.

Answer

Traducir los manuales técnicos del dron automáticamente.

Question 40

Para proteger la 'Disponibilidad' (Availability) del servicio de drones de una empresa frente a un ataque de ransomware (secuestro de datos informáticos), la mejor defensa proactiva es:

Accepted Answer

Mantener sistemas de copias de seguridad (Backups) redundantes, cifrados y almacenados fuera de la red principal (Offline), permitiendo restaurar el sistema sin ceder a la extorsión.

Answer

Apagar todos los ordenadores y volver a usar mapas de papel.

Answer

Pagar a los secuestradores siempre de forma inmediata.

Answer

Comprar drones que no utilicen GPS.

Simulacro de examen Seguridad (Security) - AESA Drones A1-A3

Simulacro de examen Drones A1-A3 Seguridad (Security) 40 preguntas en 40 minutos