Expertos encuentran vulnerabilidad en sistemas operativos de aeronaves

Los miembros de la industria de la aviación están preocupados por un potencial riesgo de seguridad para los pilotos y tripulación de algunas aeronaves. “Hoy en día cualquier sistema es explotable, la aviación no está a salvo de los hackers”, menciona Mark Lepak, especialista en análisis de vulnerabilidades.   

El problema está relacionado con el sistema de Red de Área de Controlador (usualmente llamado bus CAN). Este sistema de cables permite que los instrumentos de navegación de una aeronave establezcan canales de comunicación básica entres sí.

Acorde a los especialistas en análisis de vulnerabilidades, el sistema resultó ser vulnerable a una variante de ataque conocida desde hace tiempo. “Esto podría comprometer la integridad de un avión”, menciona Jonathan Stone, uno de los investigadores que descubrieron esta falla. 

Aunque es una vulnerabilidad realmente peligrosa, explotarla en un escenario real es altamente complicado, señalan los especialistas. Un actor de amenazas requeriría acceso físico a la aeronave para instalar un dispositivo capaz de alterar las lecturas de algunos de los sistemas de vuelo, como indicadores de velocidad y altitud del vuelo.

Sobre el escenario de ataque, Stone menciona: “Si una aeronave vuela en condiciones de mínima visibilidad, dependiendo completamente de sus instrumentos de vuelo, las lecturas falsas podrían tener consecuencias trágicas para los tripulantes”. Si bien es complicado que esto suceda, los expertos en análisis de vulnerabilidades señalan que es completamente factible, por lo que es necesario revelar los detalles acerca de esta falla.

Este informe ya ha sido compartido con múltiples miembros de la industria de la aviación e incluso ha llamado la atención del Departamento de Ciberseguridad e Infraestructura (CISA), que forma parte de la Agencia de Seguridad Nacional (DHS) de E.U. CISA ya ha emitido una alerta de seguridad informando sobre la vulnerabilidad. Es normal que pilotos y fabricantes estén preocupados por la posible explotación de estas vulnerabilidades, por lo que el informe de CISA se ha enfocado en un elemento fundamental en la prevención de estos incidentes: la seguridad física de las aeronaves.

En la protección de esta clase de tecnología es fundamental tener control total sobre las personas que cuentan con acceso físico a una aeronave. Cualquier acceso no autorizado podría poner en peligro la vida de los tripulantes.

Los controles de seguridad de los aviones más pequeños usualmente son más antiguos, por lo que además del control del acceso físico a la aeronave también es necesario implementar algunas actualizaciones en los sistemas para mitigar aún más el riesgo de explotación de estas fallas.

Los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los ataques que requieren de acceso físico al sistema objetivo afectan a toda clase de dispositivos, desde laptops y smartphones hasta sistemas industriales y los mencionados controladores de vuelo en una aeronave. Aunque el acceso físico implica una mayor complejidad para la explotación de estas vulnerabilidades, existen múltiples formas de engañar a los operadores de estos dispositivos para acceder al sistema objetivo, por lo que los administradores de sistemas y encargados de infraestructura deben contar siempre con todas las formas de protección necesarias y mitigar el riesgo de explotación.