El crecimiento y evolución de la industria aeronáutica, ha logrado poner en relieve la intrusión de la continuidad, aceleración y expansión del uso de tecnologías de la información y comunicación, abriendo paso a la innovación e interdependencia tecnológica. Todo esto ha implicado en paralelo la existencia de un nivel de riesgo eminente que evoluciona también de forma creciente y acelerada, pasando de ser extraordinario o temporal, a un nivel de riesgo común y permanente, el cual pudiese ser asumido partiendo de tres aspectos importantes: el primero la transformación digital en todos sus procesos, siendo estos cada vez más interconectados y dependientes de la tecnología; el segundo el número de posibles ataques cibernéticos a los que actualmente podría estar expuesto el sector, y el tercero la prevención y detección temprana.
Transformación digital
El sector de la aviación gira cada vez más alrededor de un sin números de actividades digitalizadas y dependientes de la tecnología: cadenas de suministro, productos, servicios de información, redes, y tecnologías operativas. En la actualidad la industria se centra en desarrollar sistemas y herramientas tecnológicas que son capaces de facilitar las operaciones, la seguridad aeroportuaria, el mantenimiento y control de todos los procesos que componen el sistema de aviación.
Aeropuertos, aerolíneas, empresas de gestión del tránsito aéreo, así como proveedores de servicios IT, cada vez más se encuentran conectados a través de sistemas y servicios dispuestos para el fortalecimiento de la capacidad y rendimiento del transporte aéreo. Una interconectividad que hace posible establecer conexiones y enlazar diferentes activos y unidades de la aviación, que facilitan el intercambio de información aeronáutica, desde sistemas para el mantenimiento en sitio y/o remoto, controles de acceso, enlaces, transferencia de datos y comunicaciones entre aeronaves, sistemas operativos y de gestión de aerolíneas, conectividad de pasajeros en la red de las aeronaves, monitoreo del tráfico en tiempo real, entre otros, son ejemplos claros de la transición y transformación digital de la industria aeronáutica.
Posibles ataques cibernéticos
Diversas intenciones: ideales políticos, religiosos, sociales, y sobre todo la ambición económica, pudiesen dar a lugar a infinidades de ataques. En el panorama internacional, las ciberamenazas con mayor impacto siguen siendo aquellas encabezadas por grupos organizados patrocinados por Estados, donde el objetivo generalmente es el robo de información para potenciar sus estrategias a través del ciberespionaje, y la interrupción de servicios esenciales por medio del sabotaje, aunado a diferentes ataques contra datos personales con la finalidad de delinquir, logrando el robo de credenciales, la suplantación de identidad, el secuestro de información, entre otros ciberdelitos.
Algunos de los métodos que presentan un mayor índice de crecimiento, evolución y adopción en la actualidad por parte de los ciberatacantes son:
- El código dañino se manifiesta en este orden, como un vector de ataque habitual y significativo utilizado como parte integral en la mayoría de los escenarios de ciberataques, ejemplo de ello el ciberespionaje los cuales utilizan este tipo de ataque para explotación de vulnerabilidades de activos que soportan el funcionamiento y operatividad de infraestructuras criticas, con la finalidad de obtener información sobre el grado de madurez en la implementación de medidas de seguridad de las organizaciones e instituciones bases de cada nación, entre otros propósitos.
- El uso de malware, la propagación de códigos maliciosos a través del correo electrónico, técnicas de ingeniería social y sofisticación del phishing para persuasión de usuarios, así como el diseño de sitios web falsos para engañar y facilitar el acceso a datos confidenciales; reclutamiento y entrenamiento de recursos humanos para grupos hacktivistas y terroristas, generación de contenido y noticias falsas para influir en la conducta y comportamiento social, empresarial y moral.
- Ataques de denegación de servicio (DDoS), saturación o inundación de gran cantidad de tráfico a servicios en línea y plataformas, usando redes de bots, persiguiendo generalmente la divulgación de información confidencial extraída de los sitios web atacados, mediante la desfiguración de estas páginas y acciones DDoS.
- Restricciones en el acceso a sistemas, manipulación de sistemas operativos, y cifrado de ficheros de datos de usuarios por medio de ransomware, donde los atacantes solicitan algún tipo de rescate (monetario) para eliminar el bloqueo o descifrado, causando por lo general pérdida masiva de datos, daños a la reputación de la organización y perjuicios económicos.
- Ataques indirectos mayormente conocidos como ataques a la cadena de suministro de las empresas objetivos reales o finales, donde proveedores o empresas tercerizadas de servicios y productos IT, son utilizadas como puente para lograr la materialización o fin propio del ataque. Entre otras variantes de ataques que enmarcan la actividad delictiva en el ciberespacio.
Según el Centro Criptológico Nacional (CCN-CERT España), el número de agentes de amenazas ha ido en aumento debido a la facilidad de acceso a nuevas herramientas de ataques y la dificultad para rastrear y comprobar la autoría de estos ciberdelitos; lo que ha causado mayor presencia en el ciberespacio de actores de ataques haciendo uso de múltiples técnicas.
Ahora bien, ¿a qué se enfrenta la industria aeronáutica?, realmente ¿se encuentra expuesta o vulnerable a posibles ataques cibernéticos? La respuesta, definitivamente es si. Cada componente del sistema de aviación se encuentra soportado por diferentes elementos o activos susceptibles a ataques, debilidades internas como accesos a sistemas desde el interior del perímetro de seguridad, errores de configuración de equipos, redes, software, falta de mantenimiento o actualización de la infraestructura o plataforma tecnológica, divulgación accidental de datos, entre otras vulnerabilidades, incrementan la accesibilidad y efectividad de posibles ataques.
La aviación civil es un sector sensible y crítico, de esto ya no debería surgir la menor duda. Por tanto, sus prioridades actuales deben estar en consonancia con el panorama cambiante de las amenazas y los desafíos presentes durante el 2020-2021 y los años venideros. En base a las señalizaciones del Grupo de Trabajo de Seguridad de Productos A-ISAC: “La pandemia impulsó una desaceleración global en los viajes aéreos, pero no hubo disminución en el nivel de ataques contra redes, tecnologías operativas y productos” [ISAC 2021: Encuesta anual de riesgo cibernético de ciberseguridad de la aviación].
Lo citado supone un aumento de los ciberataques contra las empresas y organizaciones que conforman el sector de la aviación, recientes estudios apuntan una mayor sofisticación y escalada de técnicas adversarias como la interrupción y la suplantación de identidad en las señales del sistema de posicionamiento global, entre otros sistemas de los cuales dependen el procesamiento y la gestión de la información aeronáutica, lo que representa una evolución rápida de riesgos, que podrían afectar e interrumpir la capacidad de las operaciones y la seguridad de la aviación.
Lo expuesto, subraya la importancia de la prevención y la detección temprana, como mecanismo de resguardo y protección a la infraestructura critica que soporta las actividades y operatividad del transporte aéreo, mediante proyectos bien definidos y delimitados que comprendan la gestión de activos, riesgos asociados, gestión de vulnerabilidades, conciencia de seguridad, entre otros planes y acciones que permitan la concreción de un marco de ciberseguridad en aviación civil.
Prevención y detección temprana
La ciberseguridad es una herramienta y un componente primordial para asegurar la capacidad de resiliencia o recuperación de los procesos interconectados del sector de la aviación civil, los cuales operan en un marco complejo ecosistema tecnológico, donde el riesgo cibernético deber ser abordado a través de esfuerzos continuos, permanentes y puntuales.
Identificar y conocer el riesgo de ciberseguridad es un requisito fundamental para la aviación civil, en el cual se requiere la gestión, aceptación, organización de procesos y capacidad técnica, para la obtención de información y comprensión de las vulnerabilidades potenciales, así como de los escenarios de amenazas, para formular e implementar mecanismos de prevención, detección temprana, y recuperación.
El intercambio de información es también un aspecto primordial que deberá fortalecerse y delinearse entre las partes interesadas que integran el sistema de aviación, la transparencia y claridad en los contratos, servicios, soportes, equipos, diseño de sistemas, redes, entre otros activos, deben ser acordados bajo consideraciones de ciberseguridad y objetividad ante la gestión del riesgo. Todo esto, a través de un dialogo permanente y transparente, donde se facilite un marco de apoyo, que garantice la reducción de riesgos por incumplimiento o ausencia de medidas preventivas y correctivas, así como la creación de espacios para el fomento de habilidades y destrezas de personal calificado, que pueda prevenir y reaccionar ante incidentes cibernéticos e investigar la rápida evolución de las ciberamenazas; requiriéndose de esta forma, el establecimiento de equipos de emergencia y unidades responsables para el desarrollo e implementación de planes de contingencia y recuperación.
Como es posible observar, el abordaje de la ciberseguridad en aviación civil, debe ser de forma integral, incluyendo no solo la tecnología, sino también cada uno de los procesos, responsables, personas o usuarios, y todos los elementos como actores que integran el sector, en sinergia con una cultura de ciberseguridad que apunte a la adopción de mejores prácticas para la protección y resguardo de los activos tecnológicos e informáticos asociados a las operaciones de aviación civil.
Ivana Acosta Rossi
Msc en Tecnologías de la Información y Comunicación
Inspector Aeronáutico AVSEC.
Responsable del Plan de Acción Nacional de Ciberseguridad en Aviación Civil (Venezuela)
Comments