El Departamento de Seguridad Nacional de E.U. (NHS) decidió lanzar una alerta de seguridad para los pilotos y tripulantes de aeronaves pequeñas y helicópteros después de que especialistas en auditorías de seguridad publicaran un reporte que afirma que es posible hackear sus sistemas de vuelo bajo determinadas circunstancias, lo que compromete la integridad de aeronaves y tripulantes.
Este inconveniente habría sido detectado y reportado por una firma privada de ciberseguridad, que posteriormente lo notificó a las autoridades federales. En el aviso, el DHS recomienda a los propietarios restringir el acceso físico no autorizado a las aeronaves al menos hasta que la industria desarrolle las mitigaciones necesarias para corregir el problema.
Gracias a las estrictas medidas de seguridad existentes en los aeropuertos de E.U., la vulnerabilidad no ha sido explotada en ambientes reales. No obstante, funcionarios del NHS consideran que es necesario revelar al público esta información para prevenir cualquier intento de explotación.
Por su parte, los expertos en auditorías de seguridad de la firma de seguridad Rapid7 afirman que la vulnerabilidad consiste en la interrupción de los mensajes electrónicos transmitidos a través de la red de la aeronave, situación que impacta en los sistemas de vuelo. “Múltiples funciones, como lecturas del motor, datos de la brújula, entre otras lecturas, podrían ser manipuladas para enviar mediciones falsas al piloto de un avión”, mencionaron los expertos.
Al igual que los autos modernos, los sistemas de vuelo de los aviones cada vez dependen en mayor medida de las comunicaciones en red. No obstante, la industria automotriz anticipó este avance y ya se han implementado múltiples medidas para proteger a los conductores y pasajeros y corregir las vulnerabilidades.
Los expertos en auditorías de seguridad enfocaron su estudio en las aeronaves más pequeñas ya que sus sistemas son más fáciles de replicar o comprar, a diferencia de los aviones más grandes, que deben cumplir con medidas de seguridad más complejas. Además, las fallas no aplican para los aviones con sistemas de control mecánico.
Aunque los miembros de la industria destacan que es necesario evadir múltiples controles de seguridad físicos para explotar estas fallas, lo que incrementa considerablemente la complejidad del ataque, es necesario concientizar a los propietarios de estas aeronaves y a sus usuarios frecuentes sobre los riesgos de no asumir los controles requeridos.
Recientemente, la Administración Federal de Aviación (FAA) declaró que el acceso físico no autorizado a una aeronave es un escenario poco probable en la práctica, pues un potencial atacante, además de contar con acceso físico, deberá tener conocimientos sobre el funcionamiento de estos sistemas.
La ciberseguridad en la aeronáutica es un tema que se ha vuelto recurrente entre los miembros de la industria, investigadores y firmas de seguridad. Hace un par de meses, el Departamento de Transporte de E.U. publicó un informe revelando que la FAA no contaba con un marco de ciberseguridad ni con protocolos de actuación en caso de un incidente de hacking o similares. La FAA se comprometió a implementar nuevas políticas de seguridad informática que deberán estar listas para finales del mes de septiembre.
Acorde a especialistas en auditorías de seguridad del Instituto Internacional de Seguridad Cibernética (IICS), la alerta del NHS especifica que los propietarios de pequeñas aeronaves deben revisar completamente los sistemas de vuelo, específicamente los sistemas electrónicos conocidos como bus “CAN” para mitigar cualquier riesgo de explotación.
Básicamente, el bus CAN es el sistema nervioso de estas aeronaves; si un hacker lograra comprometer su integridad podría interceptar las lecturas del vuelo de manera inadvertida o, en el peor de los casos, incluso podría tomar control total de la aeronave.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
