WASHINGTON (CNN) – En la actualidad, cientos de vuelos comerciales podrían ser vulnerables a que sus computadoras a bordo sean objeto de ataques cibernéticos y sean controladas de forma remota por alguien que utilice la red Wi-Fi de pasajeros del avión, o incluso por alguien que se encuentre en tierra, según un nuevo informe de la Oficina de Rendición de Cuentas del Gobierno (GAO, por sus siglas en inglés).
Uno de los autores del informe, Gerarld Dillingham, le dijo a CNN que entre los aviones se incluye el Boeing 787 Dreamliner, el Airbus A350 y el A380, y todos tienen cabinas de mando avanzadas que están conectadas al mismo sistema Wi-Fi que usan los pasajeros.
“Las tecnologías modernas de comunicación, entre ellas la conectividad IP, se utilizan cada vez más en los sistemas de los aviones, lo que crea la posibilidad de que individuos no autorizados puedan tener acceso y comprometer los sistemas aviónicos de la aeronave”, según el informe, el cual se basa en entrevistas realizadas con expertos en seguridad cibernética y aviación.
Los investigadores del gobierno que escribieron el informe dicen que en teoría, es posible que una persona con solo una computadora portátil haga lo siguiente:
- Apropiarse de la aeronave
- Introducir un virus en los ordenadores de control de vuelo
- Poner en riesgo la seguridad del vuelo al asumir el control de los ordenadores
- Apoderarse de los sistemas de aviso o incluso de los de navegación
Dillingham dice que aunque los aviones modernos podrían ser vulnerables, existen varios mecanismos de redundancia incorporados en los sistemas del avión que podrían permitir que un piloto corrija un problema.
El informe explica que a medida que el sistema de control del tráfico aéreo se actualiza para utilizar la tecnología basada en Internet, tanto en tierra como en los aviones, la aviónica podría verse comprometida. Los sistemas de los aviones más antiguos no se basan tanto en Internet, por lo que el riesgo para las aeronaves de hace 20 años o más, es menor.
El informe de la GAO no traza un plan sobre cómo se podría hacer esto, pero dice que alguien tendría que traspasar la barrera de control de acceso que separa el Wi-Fi del resto de los sistemas electrónicos del avión. Los investigadores de la GAO dicen que hablaron con cuatro expertos en seguridad cibernética sobre las vulnerabilidades de la barrera de control de acceso “y los cuatro dijeron que, debido a que las barreras de control de acceso son componentes de software, podrían ser burladas y ser objeto de ataques cibernéticos como cualquier otro software”.
El piloto comercial John Barton dijo lo siguiente a CNN: “Hemos visto el caso de hackers que logran acceder al Pentágono, así que pensaría que ingresar al sistema informático de un avión probablemente es bastante sencillo en este punto”.
El informe añade lo siguiente: “De acuerdo con los expertos en seguridad cibernética que consultamos, la conectividad a Internet en la cabina debería ser considerada como un vínculo directo entre el avión y el mundo exterior, lo cual incluye a participantes posiblemente maliciosos”.
“Un virus o malware colocado en sitios web que los pasajeros visitan podría crear la oportunidad para que un atacante malicioso tenga acceso al sistema de información a bordo con conectividad IP por medio de sus máquinas infectadas”, según el informe.
Dice que otra manera en la que un hacker puede tener acceso a las computadoras del avión es por medio de una conexión física y señala que siempre que haya un vínculo físico, como un conector para USB en el asiento de pasajeros, si esos cables están unidos de cualquier forma a la aviónica de la aeronave, ese vínculo crea una vulnerabilidad.
Esto fue lo que los expertos le dijeron a los investigadores: “Si los sistemas de la cabina se conectan a los sistemas aviónicos de la cabina de mando y utilizan la misma plataforma de conexión, en este caso IP, un usuario fácilmente podría burlar la barrera de control de acceso e ingresar al sistema aviónico de la cabina de mando desde la cabina”.
Miembros del Comité de Transporte e Infraestructura de la Cámara, al igual que senadores del Comité de Comercio, solicitaron el informe. El representante Peter DeFazio, demócrata por Oregón, quien es el miembro de mayor antigüedad del comité de la Cámara, le dice lo siguiente a CNN: “Este informe expuso una amenaza real y seria: los ataques cibernéticos contra un avión durante el vuelo”.
Él dice que la Administración Federal de Aviación (FAA, por sus siglas en inglés) “debe enfocarse en estándares de certificación de aeronaves que impedirían que un terrorista con una computadora portátil en la cabina o en tierra tome control de un avión por medio del sistema Wi-Fi de pasajeros. Se trata de una vulnerabilidad seria”.
El informe concluye que la FAA necesita trabajar en una certificación de la aviónica de una aeronave que dará cuentas de estas vulnerabilidades y las eliminará como posibles amenazas para la aviación comercial.
Una fuente con conocimiento del informe le dice a CNN que los expertos en seguridad cibernética afirman que estas vulnerabilidades existen y estos escenarios son posibles. Pero no está claro hasta qué punto llegó la GAO para probar cualquiera de estos posibles escenarios. En el informe, la GAO no dice si esto se basa en pruebas reales o solo en modelos teóricos.
El piloto Barton señala que “esto es algo que tomará mucho tiempo, ya que será examinado por los mejores expertos del mundo y personas que trabajan en seguridad para lograr que esta tecnología sea segura”.
En una carta dirigida a la GAO, Keith Washington, el secretario adjunto interino para la administración con la FAA, dijo que la agencia “reconoce que las amenazas cibernéticas para los sistemas de información federales se están convirtiendo en un riesgo más importante y están evolucionando rápidamente, y es cada vez más difícil detectarlas y defenderse en contra de ellas. Tomamos este riesgo muy en serio”.
Washington añadió que “es muy importante mencionar que la FAA ya había iniciado un programa integral para mejorar las defensas de la seguridad cibernética de la infraestructura del NAS (Control del Espacio Aéreo Nacional), así como de otros sistemas de suma importancia de la FAA. Estamos aumentando de manera significativa nuestra cooperación y coordinación con otras organizaciones de inteligencia y seguridad cibernética a lo largo del gobierno federal y el sector privado”.
“El Dreamliner y el A350 en realidad fueron diseñados para disponer de tecnología que pueda evolucionar hasta permitir realizar intervenciones por control remoto entre el piloto y tierra, o en el caso de que hubiera una emergencia en el aire”, dijo Barton. Pero rápidamente añadió que “Va a pasar mucho tiempo antes de que lleguemos al punto en el que esa tecnología sea segura”.
Boeing dijo que está comprometida a diseñar aeronaves seguras.
“Los aviones Boeing tienen más de un sistema de navegación a disposición de los pilotos”, dijo la compañía en un comunicado. “Ningún cambio en los planes de vuelo que sea ingresado en los sistemas del avión puede llevarse a cabo sin la revisión y la aprobación del piloto. Además, otros sistemas, múltiples medidas de seguridad y procedimientos operativos de cabina ayudan a garantizar la seguridad de las operaciones de los aviones”.
Airbus emitió un comunicado que decía lo siguiente: “Airbus, en sociedad con nuestros proveedores, constantemente evalúa y revisa la arquitectura del sistema de nuestros productos, con la mirada puesta en establecer y mantener los más altos estándares de seguridad. Más allá de eso, no discutimos detalles de diseño ni medidas de seguridad públicamente, ya que tal debate podría ser contraproducente en relación con la seguridad”.