Consultoría & Consultores

¿Recordáis la película de Juegos de Guerra? Aquella en la que un joven Matthew Broderick  haciendo de hacker intenta infiltrarse en sistemas ajenos por simple curiosidad, pero su juego se complica cuando involuntariamente conecta su ordenador al del Departamento de Defensa americano, encargado del sistema de defensa nuclear.

Aquí hablamos de una película de ciencia ficción del 83, pero según un reciente informe de la Government Accountability Office (GAO), una agencia independiente de los Estados Unidos que realiza estudios estadísticos y auditorías para el Gobierno, en muchas ocasiones con la inclusión de Internet y las nuevas tecnologías, las aerolíneas no son conscientes de las posibles brechas que abren y pueden comprometer la seguridad de todos los pasajeros.

La GAO revela en su informe que los aviones comerciales podrían ser hackeados a través de su red WiFi, que daría a los atacantes una puerta de acceso para explotar las vulnerabilidades del sistema informático y hacerse con el control del aparato. ¿Pasamos por lo tanto del videojuego bélico al videojuego de aeronáutico?

Hasta hace poco, los sistemas electrónicos que se usaban para navegar un avión, conocidos como “aviónica”, funcionaban con autonomía, aislados del resto de los sistemas del vehículo, por lo que no estaban expuestos a riesgos de seguridad.

No obstante a partir de 2012 se ha producido el cambio hacia una tecnología que utiliza, para comunicarse con las torres de control y con otros aviones, sistemas basados en la tecnología GPS e Internet, y con una plena implantación prevista para este 2015

El peligro radica en que estas nuevas tecnologías de comunicación, incluyendo la conectividad IP, podrían dar acceso a individuos no autorizados y comprometer la aviónica. Las aerolíneas tienden a dar la mayor comodidad al viajero y proporcionar acceso a Internet a los pasajeros, así como a sistemas de entretenimiento en vuelo, por lo que cada vez son más los agentes que entran en contacto con los sistemas de comunicación.

Aunque la conexión entre el espacio de los pasajeros, los sistemas de control del avión, así como las comunicaciones aire-tierra para sistemas de aviónica están fuertemente protegidas mediante un firewall, los expertos indican que los cortafuegos también pueden ser vulnerados.

En teoría, el firewall del avión debería proteger a sus sistemas de cualquier intrusión de los usuarios  desde fuera del ámbito de la cabina, pero, al parecer, y aunque se cuente con ciertas barreras de seguridad para evitar ataques exteriores, si los controles del avión comparten la misma conexión o el mismo router que los dispositivos que utiliza el pasaje, éstas son posibles de derribar y acceder al sistema de la nave.

En teoría, un hacker podría utilizar la señal WiFi y alterar o modificar las comunicaciones por satélite, lo que a su vez podría interferir con los sistemas de navegación y de seguridad de la aeronave.

La posibilidad de que un hacker pueda cruzar la línea roja entre pasajeros y el control de las aeronaves depende en gran medida del hardware, el software y la configuración específica de cada aeronave.

Más allá de la intencionalidad del propio pasajero, también a través de los virus que en ocasiones están presentes en las páginas que visitan los viajeros, pueden abrir una puerta para que algún programa malicioso infecte o se instale en el control.

Según indican expertos en seguridad, la solución más interesante sería separar el software utilizado para los sistemas de aviónica del utilizado por los pasajeros para el entretenimiento en vuelo, a través de un firewall, aunque seguiría existiendo la posibilidad de que éste pueda ser hackeado, por lo que además debería buscarse una alternativa aún más segura.

El peligro es evidente. Estados Unidos ha comenzado a trabajar en un modelo que asegure la seguridad de los pasajeros de las aerolíneas y del avión en sí.Las medidas de seguridad, al igual que cualquier otro tipo de software, pueden ser hackeadas y nunca se los debe considerar infalibles: hackear un avión no resulta fácil, pero tampoco imposible.

Autor: Francisco Esteban es miembro del equipo de IT Advisory de KPMG en España

  • Por KPMG
  • 15/05/2015