La integración de drones en el sector energético ha sido una tendencia creciente durante la última década. Estos dispositivos se utilizan principalmente para realizar inspecciones visuales en activos de difícil acceso, como líneas eléctricas, torres de alta tensión, turbinas eólicas, subestaciones, parques solares y gasoductos. La adopción de drones ha permitido a las empresas reducir los riesgos de seguridad en el trabajo y mejorar la eficiencia de las inspecciones. Actualmente su uso se enfoca a realizar inspecciones para mantenimiento predictivo y preventivo prolongando así la vida útil de los activos. También se usan para tareas de vigilancia, tanto ambiental (prevención de vertidos o incendios) como del perímetro de seguridad. Se espera que en el futuro puedan efectuar muchas de estas tareas en modo autónomo incrementando las capacidades actuales minimizando el riesgo.

Sin embargo, la compañía especializada en ciberseguridad, Fortinet, advierte de que el uso de drones también plantea importantes desafíos de ciberseguridad:
· Estos dispositivos pueden ser modificados para recoger datos y realizar intrusiones en redes específicas, lo que los convierte en una amenaza, tanto física como cibernética, para las infraestructuras críticas. Para mitigar estos riesgos, a finales de 2023, los reguladores de aviación de EE.UU. y la UE adoptaron normas de identificación remota que exigen que los drones difundan su posición y la ubicación de su piloto. Esta medida tiene implicaciones significativas para los operadores de infraestructuras críticas que utilizan drones en sus operaciones.
· La seguridad de los datos transferidos a la nube es otra preocupación importante. En 2019, un proveedor estadounidense de plataformas de drones dejó expuesta una base de datos en la nube, revelando nombres de clientes y datos de cuentas. En 2018, se descubrió una vulnerabilidad en la infraestructura en la nube de la plataforma de software y gestión de drones DJI, que podría haber permitido a los atacantes acceder a imágenes capturadas por drones, registros de vuelo y datos de ubicación.

Desde la UE ya se está trabajando para que los drones cumplan la normativa vigente:
· La Ley de Ciberresiliencia (CRA) de la UE exige que los productos con elementos digitales estén respaldados durante al menos cinco años.
· La normativa NIS2, que se aplica a todos los productores de energía, incluye requisitos para la gestión de riesgos, la notificación de incidentes y la seguridad de la cadena de suministro.
· Además, los drones vendidos y utilizados en la UE deben cumplir con las normas de identificación remota de la Agencia Europea de Seguridad Aérea (AESA).

Para responder a incidentes relacionados con ciberataques hacia y desde drones, es esencial contar con un plan que incluya pasos para la contención, erradicación y recuperación. El cifrado de datos en reposo y en movimiento es fundamental, así como el uso de VPN y marcos de confianza cero. Muchas redes industriales de grandes entornos (aguas, química, oil&gas) no consideraban cifrado de comunicaciones detrás de su vallado perimetral por considerar que no había una amenaza creíble y los drones vienen a desmontar esta creencia.

La seguridad de la cadena de suministro también es un reto complejo. Es crucial realizar comprobaciones de las listas de materiales de software y hardware y revisar las políticas de privacidad de los drones.

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos recomienda incorporar los drones y sus componentes a un marco de ciberseguridad para IoT.