Los Ciberdelitos ya los podemos encontrar en todos los sistemas, sólo nos faltaba saber de hackeos a aviones, nadie ni nada está libre de estos delincuentes. La vulnerabilidad de los sistemas es el talón de Aquiles de la Ciberseguridad, que por cierto, debe avanzar a pasos agigantados para estar por delante de los delitos y proteger todos los sistemas y a los ciudadanos en general.
Boeing 757, hackeado
Cuando oímos alguna noticia referente a un hackeo normalmente lo asociamos a un ordenador, a un sistema de información de una empresa, o a un móvil. Pocas personas pensarían en que un coche o un avión han podido ser hackeados.
Pero hoy en día, en plena revolución del Internet de las cosas (IoT), ya todo es posible, y no es de extrañar que recientemente se haya sabido que un Boeing 757 ha sido hackeado.
Aunque el hackeo del avión se produjo en septiembre del año pasado, no ha sido hasta principios de este mes de noviembre que desde el Departamento de Seguridad de Estados Unidos (DHS) lo ha hecho público. Parece ser que un equipo de expertos de la División de Seguridad Cibernética necesitó sólo dos días para lograr acceder remotamente a los sistemas internos de un Boeing 757, que estaba estacionado en un aeropuerto de Atlantic City (New Jersey), sin tener acceso físico a él, ni ninguna ayuda desde el interior, sino a través de las comunicaciones de radiofrecuencia. Nada más se sabe del hackeo del avión, no han querido dar más detalles sobre el suceso, afirmando que es información clasificada.
Robert Hickey, gerente del programa de aviación dentro de la División de Seguridad Cibernética de DHS, que fue quien destapó el hackeo del Boeing 757, también comentó que tanto los modelos más nuevos del Boeing 737, como el Boeing 787 y el Airbus Group A350 fueron diseñados teniendo en cuenta la seguridad, a diferencia del Boeing 757, que ya no se fabrica desde 2004, pero que aún es usado en algunas de las grandes aerolíneas norteamericanas como American Airlines, United y Delta Airlines (parece ser que representa el 90% de los aviones comerciales de hoy en día). También da la casualidad que desde 2011 el jet personal del presidente Trump, el llamado Trump Force One, es también un 757.
El mismo Hickey comentaba que el “Plan Nacional de Protección de Infraestructura” estadounidense, aunque en él se distinga entre transporte marítimo, de superficie y aviación, finalmente la investigación se centra en la protección del transporte terrestre, no así en los sistemas de reserva y programación de las aerolíneas. Afirma que se necesita investigar más en el transporte aéreo para comprender cuales son sus problemas, ya que ir aplicando parches en cada avión cuando se descubre una vulnerabilidad cibernética representa un costo prohibitivo que llevaría a la bancarrota a cualquier aerolínea que viera como ésta afecta a la mayoría de su flota. A modo de ejemplo, comenta que se puede llegar a tardar un año en cambiar una línea de código de una pieza de equipo de un avión, y el coste puede llegar a alcanzar el millón de dólares. Hickey concluye que ni en las Fuerzas Aéreas ni en el sector comercial de Estados Unidos, hay equipos de mantenimiento que sean capaces de detectar y solucionar las amenazas cibernéticas que pueden encontrarse a bordo de un avión.
En 2013 también se habló de hackeo de un avión a partir de un dispositivo Android
Fue Hugo Teso, un experto en seguridad de una consultoría alemana, el que en una conferencia de seguridad demostró que, tras tres años de investigación, había encontrado la manera de hackear el sistema interno de un avión mediante el uso de una aplicación de un dispositivo Android. Teso consiguió redirigir un avión virtual sólo tocando un mapa desde su móvil.
Tras su demostración no quiso revelar las vulnerabilidades en ciberseguridad que había encontrado y explotado para realizar el hackeo, pero sí desveló que podía enviar datos a aviones comerciales, aprovecharse de errores en el software de gestión de vuelo, y enviar señales de radio a los aviones para ejecutar comandos, incluso los que indican cambio de altitud, dirección o velocidad.
La Administración Federal de Aviación estadounidense (FAA) tras el exitoso hackeo del avión virtual por parte de Teso se apresuró a declarar ante CBSNews.com mediante un correo electrónico, que la técnica seguida por el consultor de seguridad alemán no podía reproducirse en un avión real, puesto que no funcionaría en el hardware de vuelo certificado. Un portavoz de la compañía de aviación Honeywell y Rockwell Collins, víctima del hackeo virtual, comentó además que el hackeo en un entorno virtual no aplicaría en un entorno real.
Ante la evidencia de las vulnerabilidades en ciberseguridad encontradas estos últimos años en aviones, es de vital importancia que tanto estos, como los coches (otro día hablaremos de ellos y sus hackeos), usen sistemas diseñados teniendo en cuenta su ciberseguridad, puesto que es la única manera de protegerlos de cualquier intento de hackeo.
Estudia Ciberseguridad en INISEG junto a los líderes del área. Titulaciones universitarias y técnicas, un mundo especializado para que seas capaz de sobrellevar los desafíos a los que se enfrentan los profesionales de esta área de manera permanente.
Fuentes consultadas:
https://www.cbsnews.com/news/homeland-security-hacked-boeing-757-jetliner/
https://www.boeing.com/history/products/757.page