Advierten sobre riesgos de ciberataques vía Internet a los aviones comerciales

Hace unos días he comentado en éste blog, en un post sobre la posibilidad de vuelos comerciales sin pilotos, que el tema de los ataques cibernéticos a los aviones, es otro de los miedos que tiene la gente, aunque los expertos están señalando que representan un riesgo menor, para los viajeros, que el de un secuestrador o un piloto fuera de control.

En gran medida la gente comenzó a considerar la posibilidad de un ciberataque a un avión comercial, tras leer en los medios las varias teorías sobre la desaparición del Vuelo MH370 de Malaysia Airlines. 

Pero el tema, en áreas especializadas en seguridad, se trata desde hace ya tiempo. Por mencionar un caso, en 2013 se informó de una aplicación en Android que explotaba vulnerabilidades del software de seguridad de las aerolíneas y que permitían "controlar un avión comercial de pasajeros sin siquiera subirse a la nave".

En éstos días en varios medios pusieron notas señalando la posibilidad de un ciberataque, a los sistemas de un avión, mediante el uso de wifi a bordo, a partir de un informe de la Administración Federal de Aviación estadounidense que advierte sobre esa posibilidad.

777 Simulator Cockpit. Checklist diplayed. Foto de Kent Wien, en Flickr.

¿Es internet en los aviones una puerta para ataques terroristas?
Publicado por BBC Mundo.

Lo que parecía ser un nuevo estándar en el servicio de las aerolíneas comerciales, nacido de su voluntad de satisfacer a los usuarios deseosos de mantenerse permanentemente conectados a internet, ahora es motivo de preocupación.

El gobierno de Estados Unidos le solicitó a su Oficina de Fiscalización Superior (GAO, por sus siglas en inglés) que realizara una auditoría de las amenazas latentes para el sector aéreo. Y los expertos conlcuyeron que los servicios de wi-fi en pleno vuelo podrían terminar abriéndole una puerta a ataques terroristas.

De hecho, en el reporte de la GAO –que fue reseñado por el diario inglés The Guardian– se admite que un hacker viajando como pasajero podría teóricamente obligar a un avión a precipitarse a tierra.

Según los expertos, no sería fácil. Pero podría pasar.

"Los aviones modernos están incrementando su capacidad de conexión a internet. Esta conectividad potencialmente puede permitir acceso remoto a los sistemas de vuelo de la nave", se lee en el reporte de la GAO.

En opinión de esta institución, el esfuerzo de la Administración Federal de Aviación estadounidense (FAA, por sus siglas en inglés) y las líneas aéreas por modernizar la tecnología a bordo representa una vulnerabilidad que puede ser explotada para mal.

Misma red

El reporte resalta que la cabina de los pilotos y la de pasajeros están conectadas a internet a través de la misma dirección de conexión a la red.

Y aunque la conexión entre el sistema de acceso de los pasajeros y los sistemas del avión se encuentra fuertemente supervisada por firewalls (programas que bloquean el acceso a una red a desconocidos), los analistas señalan que los mismos no pueden ser asumidos como impenetrables.

"De acuerdo con expertos en seguridad cibernética entrevistados, la conexión a internet en la cabina debe ser considerada como un vínculo directo entre la aeronave y el mundo exterior, lo cual incluye potenciales actores malignos", dice el reporte.

Y se sabe que la FAA no verifica de forma exhaustiva el nivel de seguridad cibernética de los nuevos aviones antes de certificar que se encuentran en condiciones para operar comercialmente.

Además, entre otras vulnerabilidades detectadas también figura la capacidad para prevenir y detectar accesos no autorizados a la vasta red de computadoras y sistemas de comunicación que la FAA utiliza para monitorear vuelos alrededor del mundo.

Las recomendaciones

El reporte de la GAO reconoce que la Administración Federal de Aviación ha tomado pasos para mejorar sus políticas de seguridad cibernética, pero "existe margen de acción para otras modificaciones", en particular porque la responsabilidad de esta institución se diluye entre varias dependencias adscritas.

Entre las recomendaciones a la FAA para disminuir los niveles de riesgo figuran:

1. Evaluar el desarrollo del modelo de seguridad frente a amenazas cibernéticas
2. Crear un comité de seguridad cibernética que supervise la actividad de todas las oficinas de la FAA en Estados Unidos, y en el cual se incluya a la Oficina de Seguridad de la FAA como un miembro permanente.
3. Desarrollar un plan conjunto con el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés), para incorporar metodología, normas y tecnología que mejoren el funcionamiento de la FAA.

La pesadilla

En enero pasado, la GAO advirtió en un reporte previo que "existe una significativa debilidad en el área de control de vuelos, lo cual amenaza la capacidad de la FAA para garantizar la seguridad de las operaciones de sistema nacional de espacio aéreo de manera ininterrumpida".

El mes pasado otro informe de esta oficina revelaba que los sistemas de orientación de los aviones se encontraban bajo "un innecesario riesgo de ser hackeados".

La pesadilla que comienza a formarse en la mente de las autoridades estadounidense la resume el diputado estadounidense Peter DeFazio.

Para el congresista el peor escenario que tienen enfrente es uno donde un terrorista con una laptop se encuentra entre los pasajeros de un avión y toma el control de la nave usando la red wi-fi.

Una posibilidad remota, pero que hoy por hoy no se puede descartar. / Publicado por BBC Mundo.--

Nota relacionada:

• Hackers Could Commandeer New Planes Through Passenger Wi-Fi. "SEVEN YEARS AFTER the Federal Aviation Administration first warned Boeing that its new Dreamliner aircraft had a Wi-Fi design that made it vulnerable to hacking, a new government report suggests the passenger jets might still be vulnerable. Boeing 787 Dreamliner jets, as well as Airbus A350 and A380 aircraft, have Wi-Fi passenger networks that use the same network as the avionics systems of the planes, raising the possibility that a hacker could hijack the navigation system or commandeer the plane through the in-plane network, according to the US Government Accountability Office, which released a report about the planes today.  Wired: Threat Level by Kim Zetter.