Artículo Técnico
César Chávez Martínez consultor Seguridad Informática
César Chávez Martínez Consultor Seguridad Informática

Ciberseguridad en aeropuertos y compañías de aviación civil

Con el empleo de la tecnología, las fronteras se vulneran cada segundo, aconteciendo en el mundo diversos incidentes de seguridad que ocurren a la vista y paciencia de los encargados de velar por el buen funcionamiento de las instalaciones críticas. Unos incidentes que, al no ser reportados, pasan a formar parte de la lista negra de las estadísticas.

avión British Airways aeropuerto

A través del presente artículo intentaré abordar la problemática relacionada con la ciberseguridad en los aeropuertos y la aviación civil, así como las medidas de prevención que, bajo mi punto de vista, deberían tomarse en cuenta. En el caso de la primera, es preciso reflexionar sobre temas como los que se exponen a continuación.

Rastreo de vuelos

Monitorear vuelos mediante información sensible es fácil, si bien por cuestiones de seguridad esta última no debería ser accesible. Los detalles del tráfico aéreo están disponibles a través de diversas apps y páginas web que muestran en tiempo real un mapa mundial de las aeronaves que surcan los cielos. Un número indeterminado de líneas áreas no cifra el número de vuelo ni detalles adicionales de especial relevancia. En manos inadecuadas, una información así es sumamente peligrosa para la ciberseguridad de los aeropuertos y la aviación civil.

Bases con datos abiertos

Numerosas compañías de aviación civil cuentan con bases de datos de identificación del personal aeroportuario. Muchas de ellas permiten el flujo de datos abiertos, posibilitando chequear nombres de pilotos activos y de la tripulación. Dicha información debería contar con una validación previa con el objetivo de que la misma no caiga en manos de criminales o terroristas. La mal llamada política de transparencia pone en riesgo la seguridad del personal operativo, vulnerable ante cualquier persona con fines maliciosos.

Seguridad periférica

Los sistemas de acceso biométrico no deben basarse únicamente en identificación dactilar, ya que la misma puede ser vulnerada. Es preciso proveer un acompañamiento en los accesos, pues automatizarlos podría traer consecuencias graves de seguridad.

Videovigilancia expuesta

Realizando una simple búsqueda de dorks dentro de un navegador popular, encontramos un buen número de videocámaras que están mal configuradas. En principio, tal situación no debería llamarnos la atención. Pero al revisar el top ten de resultados vemos que existe un hipervínculo a una cámara IP que permite monitorizar en vivo la pista de aterrizaje de un aeropuerto. ¿Cómo es posible? La configuración por defecto de diversas cámaras IP da pie a que usuarios no autorizados accedan a ellas y, en algunos casos, tomen su control; en este caso de las que se ocupan de vigilar las pistas de aterrizaje, los hangares de las aeronaves, el traslado de los equipajes, etc. Es decir, una labor que sólo debería ser accesible desde los sistemas de seguridad de las terminales aéreas.

Los detalles del tráfico aéreo están disponibles a través de diversas ‘apps’ y páginas web que muestran en tiempo real un mapa mundial de las aeronaves que surcan los cielos

Y esto no acaba aquí. Al seguir navegando por Internet, encontramos transmisiones en tiempo real desde aeropuertos de EEUU con enlaces que facilitan el control a distancia de las cámaras hasta el punto de poder llegar a modificar sus parámetros.

Frecuencias de radio de torres de control

Las frecuencias de radio no son cifradas y quedan expuestas a los radioaficionados. Asimismo, hay usuarios que han generado, a raíz de la nula seguridad de la banda de transmisión, páginas para el monitoreo en tiempo real de las comunicaciones de las torres de control, facilitando glosarios del código de lenguaje convenido que se emplea. La interceptación de estas comunicaciones conlleva distorsiones en los tiempos de respuesta, pérdidas de señal y otros incidentes que son reportados por los operadores. En las redes públicas podemos encontrar transmisiones en tiempo real de torres de control de todo el mundo. Además, diversos servidores graban las transmisiones durante las 24 horas del día. De suceder algún incidente, esas comunicaciones son vendidas al mejor postor, siendo los canales de televisión los principales clientes. Desgraciadamente, esta es una realidad constatada en algunos de los accidentes aéreos acaecidos en los últimos años.

Frecuencia de radar no encriptada

Al ser interceptadas, las señales enviadas a las torres de control pueden originar falsos ecos que se presentan a menudo y generan perjuicios en el tráfico aéreo. La creación de señales falsas interrumpe el tráfico aéreo, generando retrasos de vuelos o paralizaciones de aterrizajes –situaciones minimizadas por los operadores al reportar condiciones climáticas adversas–. Para entender esto, es preciso conocer el funcionamiento del transpondedor. Este aparato formula una consulta al avión y este responde con un código de cuatro dígitos que lo identifica, al tiempo que brinda una información sobre su posicionamiento.

El ADS-B (Automatic Dependent Surveillance-Broadcast) transmite sin autentificación ni codificación, siendo las frecuencias de transmisión empleadas 1090 MHz para la aviación comercial y 978 MHz para avionetas. Al respecto, existen páginas en la Red que permiten crear radares para la recepción y la transmisión; por lo tanto, un radioaficionado con conocimiento del código de la aviación civil podría invadir la señal de radio. La información del controlador del tráfico aéreo puede ser adulterada, suplantada o modificada. La invasión de la señal de radio generará grandes catástrofes, lo que obligará a constantes redadas de radios clandestinas en diversos países.

¿Es posible hackear aviones?

La creciente dependencia de los aviones a la tecnología facilita que muchos sistemas de aerolíneas sean vulnerables. Al tener deficiencias, un conocedor puede escalar privilegios y reescribir el código, lo que podría generar sabotajes a sistemas que permiten acceder a protocolos de coordenadas, contaminaciones por malware, etc. Se ha comprobado que es posible controlar un avión desde el wifi público otorgado para el entretenimiento. Casos así han sido presentados por el especialista Chris Roberts en el DEF CON, convención mundial de hackers celebrada en Las Vegas (EEUU). Y de ello han tomado buena nota en el FBI para reforzar la ciberseguridad en aeropuertos y la aviación civil.

Actividades no autorizadas

La renovación tecnológica es la base de una buena estructura que, basándose en políticas de seguridad, trae mejoras en el manejo de las infraestructuras críticas. Por ello, es necesario conocer los problemas que se desarrollan, siendo los más típicos las intrusiones a los sistemas web de las aerolíneas. En este caso, tenemos dos tipos de organizaciones. Por un lado, las de desfase tecnológico, entidades rezagadas tecnológicamente que no avanzan hasta que sus equipos están obsoletos, lo que genera accidentes y negligencias. Y por otro, las que asumen el riesgo de adquirir productos novedosos con fallos de seguridad que pueden ser aprovechados por los atacantes. En este sentido, lo recomendable sería mantener un tiempo promedio antes de invertir en nuevos equipos con el fin de asegurarse de su solvencia y garantizar la protección de los mismos.

Internet posibilita tomar el control de videocámaras cuya misión es vigilar las pistas de aterrizaje, los hangares de las aeronaves o el traslado de los equipajes en una instalación aeroportuaria

Generación de contenido

Las violaciones de seguridad a las infraestructuras críticas no están contempladas en los códigos penales ni en las leyes sobre delitos informáticos. Y tampoco se cuenta con sistemas de monitoreo gubernamental operativos. Muchos de los equipos de respuesta ante emergencias informáticas (CERT, por sus siglas en inglés) son manejados por cargos de confianza, impidiendo que desde el ámbito civil se articule un trabajo continuo que lleve a cabo sinergias con el fin de consolidar la labor del CERT.

Inhibidores de GPS

Es posible adquirir inhibidores de señales GPS. Su objetivo es generar ruido, interfiriendo en las frecuencias de transmisión. Además, pueden establecer enlaces de telemetría, clonar señales e interferir en el ILS (Instrument Landing System), sistema de ayuda durante la aproximación a la pista y el aterrizaje en situaciones de escasa o nula visibilidad.

Decálogo de consejos

Después de lo expuesto, convendría valorar el siguiente decálogo de consejos básicos para incrementar la ciberseguridad en los aeropuertos y en el ámbito de la aviación civil:

  1. Crear medidas de protección. Las violaciones de seguridad a las infraestructuras críticas no están contempladas en los códigos penales de muchos países o se encuentran incluidas, de manera muy genérica, en las leyes sobre delitos informáticos.
  2. Otra cuestión importante para la ciberseguridad en los aeropuertos es la habilitación de un sistema de monitoreo. No se cuenta con sistemas de monitoreo gubernamentales operativos. Los intereses secundarios o coyunturales deben dejarse de lado. Se requiere la construcción y la estabilidad de un sistema que facilite reportes de incidentes de seguridad en esta materia.
  3. Defenderse ante vehículos aéreos no tripulados. Si bien en muchos países no está regulado el tráfico y el vuelo de drones, la infraestructura crítica debería contar con bloqueadores de señal con el objetivo de que no se invadan las pistas de aterrizaje y se interfiera la señal de los radares. Un dron puede estar programado con una antena que transmita datos erróneos a una torre de control, siendo una amenaza potencial.
  4. Zonas wifi seguras. En distintos aeropuertos se cuenta con servicios de validación de usuarios para acceder a la conexión wifi. Se recomienda proveer un servicio en una red que no conecte unidades con privilegios elevados. También se deben regular y testear los servicios de entretenimiento que se brindan en los vuelos. Es otra medida a tener en cuenta en la ciberseguridad de los aeropuertos.
  5. Mantener un inventario. El operario de ciberseguridad aeroportuario debe tener un listado de las marcas y modelos de cámaras IP, ordenadores, radares y sistemas con información sensible, conociendo las fechas de compra de los equipos con el fin de planificar futuras adquisiciones y evitar el desfase tecnológico.
  6. Planificar actualizaciones. La información del punto anterior ayudará a resolver problemas de actualizaciones y conocer los zero-days vigentes sobre determinados equipos. El intercambio de información entre expertos en la materia proporcionará mejoras significativas.
  7. Capacitar al personal. Toda entidad ha de garantizar que los empleados dispongan de una información adecuada de seguridad informática, siendo los profesionales de TI los que deben mantenerse actualizados sobre fallos de seguridad con el fin de replicar a su personal sobre la arquitectura de las redes y el funcionamiento del sistema.
  8. En materia de ciberseguridad en aeropuertos también se debe realizar pentesting. Es necesario contar con personal capacitado para el desarrollo de hacking ético. Las pruebas de penetración deberían realizarse, al menos, una vez al año, ya que ayudan a conocer las vulnerabilidades de los sistemas informáticos de la infraestructura crítica.
  9. Crear protocolos de seguridad. Los mismos no deberían limitarse a la seguridad de la información. Las comunicaciones han de tener una posición preponderante para evitar actividades maliciosas y ciberataques.
  10. Disminuir las barreras administrativas. Un punto importante es el tiempo que se pierde en aprobar las compras. En muchas ocasiones se espera a que los equipos comiencen a fallar sin tener en cuenta que las reparaciones suelen ser más costosas que la inversión en nuevas dotaciones. La renovación tecnológica representa los cimientos de una buena estructura, que, basándose en políticas de seguridad, conlleva mejoras en la gestión de una infraestructura crítica.

Aterrizaje avión aeropuerto Bruselas