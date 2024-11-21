Ahora que la mayoría de los procesos de la aviación están digitalizados, las aerolíneas y el sector en su conjunto deben dar prioridad a la ciberseguridad. Si un ciberdelincuente lanza un ataque que afecta a un sistema relacionado con la aviación, ya sea de una aerolínea o de un proveedor externo, pueden verse afectados todos los procesos, desde la seguridad hasta la comodidad de los pasajeros.
Para mejorar la seguridad en el sector de la aviación, la FAA propuso hace poco nuevas normas para reforzar la ciberseguridad en los aviones. Estas normas "protegerían los equipos, sistemas y redes de los aviones, motores y hélices de la categoría de transporte contra las interacciones electrónicas no autorizadas e intencionadas (IUEI) que pudieran suponer un riesgo para la seguridad". Si se aprueban, los cambios afectarán a todo el sector, incluidas las aerolíneas, los proveedores externos y los pasajeros.
Los ataques a la ciberseguridad y las vulneraciones de datos han afectado a todos los sectores de la industria aeronáutica en las últimas décadas. Entre los incidentes más destacados se encuentran la vulneración de datos de Cathay Pacific, que afectó a la información personal de más de nueve millones de pasajeros, y la violación de datos de SITA en 2021, que afectó principalmente a los miembros de Star Alliance y Oneworld. La página web del aeropuerto de Los Ángeles fue víctima de un ataque DDoS que la dejó fuera de servicio durante varias horas.
"La realidad es cruda: nuestro sector aeronáutico está bajo la amenaza constante de los ciberataques, un 74 % más desde 2020. Dado que el sector de la aviación contribuye con más del 5 % de nuestro PIB, 1,9 billones de dólares en actividad económica total y da empleo a 11 millones de personas, debemos tomar en serio estas amenazas cibernéticas para la aviación", afirmó la senadora estadounidense Maria Cantwell en una audiencia del Congreso celebrada el 18 de septiembre de 2024.
En general, el sector de la aviación recibe actualmente una calificación de B, según el informe The Cyber Risk Landscape of the Global Aviation Industry de 2024. Los investigadores descubrieron que las organizaciones con una calificación B tenían 2,9 veces más probabilidades de sufrir una vulneración de datos que las que habían obtenido una calificación A, lo que pone de manifiesto el gran impacto que pueden tener las pequeñas diferencias. Los ataques de ransomware siguen siendo una de las principales amenazas. Según un estudio reciente de Bridewell, el 55 % de los responsables de la toma de decisiones en materia de ciberseguridad en la aviación civil han reconocido haber sufrido un ataque de ransomware en los últimos doce meses. Cuando se les preguntó sobre el impacto del ataque, el 38 % informó de interrupciones operativas y el 41 % afirmó que su organización había perdido datos.
Ted Theisen, director general del departamento de ciberseguridad de FTI Consulting, afirmó que el uso generalizado de equipos y sistemas heredados en el sector aeronáutico carece de las características necesarias para protegerlos, como la instalación de actualizaciones críticas y la compatibilidad con nuevos protocolos. Además, dado que el sector aeronáutico suele externalizar los servicios a terceros, los proveedores pueden acceder a los sistemas y redes, lo que introduce vulnerabilidades.
"El personal distribuido y los sistemas distribuidos crean una superficie de ataque ampliada que aumenta los puntos de acceso que pueden ser explotados por los actores de amenazas", afirma Theisen. "Esta configuración dispersa dificulta la seguridad de los sistemas, la monitorización de las amenazas a la ciberseguridad y la mitigación del acceso no autorizado".
Mientras que la ciberseguridad aeronáutica se centra en las vulnerabilidades y los ataques a todos los sistemas relacionados con la aviación, las nuevas normas se centran en la ciberseguridad de los aviones propiamente dichos. Cada vez que un dato, desde la ubicación del vuelo hasta una alerta sobre un problema de mantenimiento, se envía desde un avión a una red, corre el riesgo de ser vulnerado por un tercero.
Dado que los datos se envían continuamente desde cada avión en vuelo, una gran cantidad de datos críticos están en riesgo cada día. La National Business Aviation Association a informado de que el enrutador de los aviones, que proporciona conectividad a la tripulación y a los pasajeros, supone una gran vulnerabilidad, especialmente si la contraseña del enrutador no se cambia con regularidad.
La FAA declaró que el hecho de que los aviones, junto con sus motores y sistemas de hélices, estén cada vez más conectados a redes y servicios de datos internos o externos fue un factor clave en las nuevas normas. Los diseños interconectados permiten que una vulnerabilidad provenga de una serie de fuentes nuevas, como ordenadores portátiles de mantenimiento, redes públicas y teléfonos móviles. Como resultado, los reguladores y profesionales del sector deben vigilar más de cerca los sistemas ante amenazas de ciberseguridad.
Desde 2009, la FAA ha ido emitiendo cada vez más "condiciones especiales" relacionadas con la ciberseguridad. Se trata de normas temporales para un caso específico a fin de abordar estas nuevas vulnerabilidades. El director ejecutivo del Servicio de Certificación de Aeronaves de la FAA, Wesley Mooty, declaró que cada una de estas desconexiones aumenta la complejidad, el coste y el tiempo de certificación tanto para el solicitante como para los reguladores. Como resultado, la FAA ha propuesto un paquete normativo que recoge las condiciones especiales de ciberseguridad más habituales con el fin de estandarizar los criterios para hacer frente a las amenazas cibernéticas, lo que reducirá los costes y el tiempo de certificación.
Las nuevas normas propuestas establecen que los solicitantes de certificaciones de productos deben garantizar que los equipos, sistemas y redes de cada avión estén protegidos contra las interferencias inducidas por equipos industriales (IUEI) que puedan afectar negativamente a la seguridad del avión.
Estos son los requisitos para proteger los activos tal como se describen en la documentación oficial de la FFA:
Aunque el objetivo de las nuevas normas es estandarizar los criterios de ciberseguridad, se espera que también tengan efectos adicionales. A menos que un producto se actualice y deba volver a certificarse, las nuevas normas solo afectan a los productos nuevos, no a los que se encuentran actualmente en el mercado. Al no tener que esperar a que se le conceda una consideración especial en materia de ciberseguridad, es probable que las aprobaciones sean más rápidas y los nuevos productos lleguen antes al mercado.
Además, las normas propuestas pueden afectar indirectamente a la experiencia del pasajero. Cuando se produce un incidente de ciberseguridad, la aerolínea, el aeropuerto o los proveedores externos suelen desconectarse, lo que provoca retrasos. Con los procesos de ciberseguridad estandarizados y la reducción de las vulnerabilidades, es menos probable que los pasajeros se vean afectados por los incidentes relacionados con la ciberseguridad.
"La implementación de reglas de ciberseguridad más estrictas también puede resultar en un aumento de los costes operativos para las aerolíneas, lo que podría afectar los precios de las tarifas aéreas", dice Itay Glick, vicepresidente de OPSWAT, una empresa de soluciones de ciberseguridad. "Aunque los pasajeros pueden experimentar un ligero aumento en el precio de los billetes, ya que las aerolíneas repercutirán los gastos de cumplimiento, el principal beneficio de estas nuevas regulaciones será una mayor seguridad y protección".
Mientras las normas propuestas pasan por el proceso de comentarios y aprobación, las organizaciones aeronáuticas, incluidos los aeropuertos, los proveedores externos y las aerolíneas, deben comenzar a planificar las nuevas directrices. Dado que las nuevas normas impondrán estándares más estrictos, Glick afirma que las organizaciones deben centrarse en sus protocolos de ciberseguridad, evaluaciones de seguridad y estrategias de respuesta a incidentes.
"Para prepararse para estos cambios, las aerolíneas deben llevar a cabo evaluaciones de riesgos exhaustivas para identificar vulnerabilidades e invertir en formación en ciberseguridad para los empleados, con el fin de mejorar su concienciación y capacidad de respuesta", afirma Glick. "Además, son cruciales los requisitos para tecnologías avanzadas como la detección de amenazas y la protección de endpoints. Para evitar tener que responder a incidentes, las aerolíneas tendrían que mejorar de forma proactiva su posición de seguridad para evitar un ataque con éxito".
