Artículo Técnico
Eduardo Reyes López, subgerente de Seguridad Aeroportuaria del Grupo Aeroportuario del Pacífico (GAP).
Eduardo Reyes López Subgerente de Seguridad Aeroportuaria Grupo Aeroportuario del Pacífico (GAP)

Seguridad integral: ciberseguridad y AVSEC, un enfoque holístico

Eduardo Reyes López, subgerente de Seguridad Aeroportuaria del Grupo Aeroportuario del Pacífico (GAP), advierte sobre la importancia de enfocar la ciberseguridad en el ámbito AVSEC de forma apropiada.

silueta de un avión en un panel digital

Según Eduardo Reyes López (GAP), la ciberseguridad en el ámbito AVSEC requiere un enfoque específico.

La industria aeronáutica es y será una de las primeras en innovar el uso de nuevas tecnologías, desde sofisticados sistemas globalizadores para las reservaciones y venta de boletos hasta aquellos diseñados para la operación de las aeronaves como sistemas de navegación y comunicación. De ahí la importancia de analizar la ciberseguridad en el ámbito AVSEC.

Desde hace ya algunos años, el Anexo 17 de la Organización de Aviación Civil Internacional (OACI) ha incorporado normas y métodos recomendados (SARPS) tendientes a hacer frente a las ciberamenazas contra la seguridad de la aviación civil. Sin embargo, su integración dentro del sistema AVSEC (seguridad de la aviación civil) pareciera no ser tan sencillo, pues hay una línea muy delgada entre la seguridad informática relacionada con sistemas convencionales de información y comunicación y aquella específica para prevenir actos de interferencia ilícita.

Interferencia ilícita

En primer lugar, es imperativo que especialistas en ciberseguridad conozcan el concepto de acto de interferencia ilícita de OACI para poder definir el alcance de las contramedidas de seguridad. Ello es así porque en muchas ocasiones se asume que las medidas para hacer frente a las amenazas de sistemas informáticos convencionales apliquen también a temas AVSEC y no es así.

En el primer caso, el objetivo es el robo de información para la comisión de fraudes, principalmente, políticos y económicos. Pero en el ámbito AVSEC las consecuencias van desde daños materiales en infraestructuras críticas de la aviación civil hasta la muerte de personas derivada de un acto de interferencia ilícita donde se hayan visto involucrados sistemas informáticos.

Base regulatoria

Otro factor importante para una integración exitosa de la ciberseguridad en el ambiente AVSEC es el establecimiento de una regulación en materia de ciberseguridad, por parte de la autoridad aeronáutica, que sea consistente con el Anexo 17 de la OACI y las ciberamenazas de seguridad de la aviación civil identificadas por parte del Estado basadas en una evaluación de riesgos.

Sin una base regulatoria será complicado que aeropuertos, aerolíneas y prestadores de servicio puedan gestionar de manera eficiente sus riesgos de ciberseguridad. Y se puede caer fácilmente en el error de gestionar las ciberamenazas a la seguridad de la aviación civil como si fueran ciberdelincuencia y no como ciberterrorismo.

Enfoque específico

El gran secreto de la integración de la ciberseguridad en el ambiente AVSEC es estar conscientes de cuánto depende la vida de las personas (pasajeros, tripulaciones, comunidad del aeropuerto y población en general) de las computadoras o sistemas informáticos, así como de la vulnerabilidad de los mismos. Si somos capaces de identificar esto, el camino, sin duda, será mucho más fácil.

La ciberseguridad en el ámbito AVSEC no es posible tratarla de la misma manera que aquella para las compras en línea de productos o servicios. Es más, ni siquiera con aquella establecida para instituciones financieras cuya capacidad técnica está más que probada. La labor de ciberinteligencia por parte de las organizaciones gubernamentales juega un papel preponderante para anticiparse a posibles ciberataques, así como el intercambio de información entre instituciones y Estados.

Según un estudio de Canalys, los ciberataques de ransomware crecieron en 2020 en un 485% a nivel mundial, siendo la ciberamenaza más latente hoy en día en los sistemas de información. Este tipo de ataque impide el acceso a la información y, para recuperarlo, los hackers suelen solicitar un rescate económico. En un entorno AVSEC, un ciberataque de ransomware podría ser catastrófico si, como moneda de cambio por la liberación de presos políticos (generalmente esta es una demanda de grupos terroristas), la información de los sistemas de control de tránsito aéreo fuera adulterada de tal manera que se pudieran ocasionar impactos entre aeronaves en vuelo.

dos aviones comerciales se cruzan en el cielo
La posibilidad de ocasionar impactos entre aviones en vuelo es una de las amenazas para la ciberseguridad AVSEC.

¿Cómo integrar ciberseguridad y AVSEC?

La integración de la ciberseguridad en la seguridad de la aviación civil es tan fácil pero, a la vez, tan compleja como hacer coincidir perfectamente dos piezas de rompecabezas. Una integración entre ambos tipos de seguridad permitirá analizar de manera holística los riesgos con un enfoque y criterio unificados optimizando los recursos de toda organización (infraestructura, equipamiento, procedimientos y humanos, como lo define la OACI), minimizando los riesgos y maximizando la eficacia de los procesos. Para lograr esta integración es necesario considerar lo siguiente:

  1. Personal experto en ciberseguridad debe estar familiarizado con el concepto OACI de acto de interferencia ilícita para definir el alcance de las contramedidas de seguridad.
  2. Debe existir un marco regulatorio para la prevención de ciberamenazas de seguridad de la aviación civil por parte de la autoridad aeronáutica acorde al Anexo 17 de OACI y que proporcione un criterio y metodología homologada en toda la industria para evaluar riesgos de ciberseguridad AVSEC.
  3. Elaboración de procedimientos internos en las organizaciones conforme a las regulaciones AVSEC nacionales e internacionales vigentes que involucren medidas de prevención de ciberataques a la seguridad de la aviación civil. Y que consideren ciberamenazas externas identificadas por el Estado u organismos nacionales e internacionales, así como internas de la organización.
  4. El intercambio de información entre autoridades con la industria de la aviación, así como entre los diversos actores del sector aeronáutico, es indispensable para identificar de manera oportuna nuevas ciberamenazas y cómo hacer frente a ellas con base a experiencia de otras organizaciones y Estados.
  5. Utilizar un criterio homologado de evaluación y gestión de riesgos de seguridad informática AVSEC que pueda ser utilizado para evaluar otro tipo de riesgos AVSEC que no sean de ciberseguridad.
  6. Incluir en los programas de instrucción de todo el personal del sector aeronáutico temas de concientización de ciberamenazas, cómo prevenirlas y cómo hacerles frente en caso de que se presenten.
  7. Establecer esquemas de medición de efectividad de las contramedidas de seguridad ante ciberataques AVSEC mediante pruebas de vulnerabilidad de sistemas de información y comunicación, auditorías y simulacros.
  8. Creación de un esquema de mejora continua del sistema de gestión, con la finalidad de tomar acciones que contribuyan a la disminución del riesgo de ciberataques AVSEC y basados en una evaluación de riesgos.

La tarea no es fácil. En la actualidad debemos ver a la ciberseguridad como parte integral de cualquier sistema de gestión, tener la capacidad de incorporar la identificación de ciberamenazas en cualquier entorno de trabajo en donde el uso de las nuevas tecnologías de información y comunicación sea un elemento clave para el negocio como lo es la aviación.

Mucho dependerá de qué tanto estemos preparados para anticiparnos a estas amenazas que, sin duda, son las que hoy en día evolucionan con mayor rapidez. Y en ese trascurrir del tiempo, si nos detenemos tan sólo un momento, podemos quedarnos muy atrás haciéndonos más vulnerables, poniendo en riesgo la seguridad y la permanencia de nuestro negocio.