1

¿Tiene miedo a volar? ¡Tiene razón!

aviontarde
La falta de seguridad en las tecnologías de comunicación utilizadas por la industria de la aviación hace que sea posible explotar vulnerabilidades, en forma remota, sobre los sistemas críticos de a bordo tanto de aviones comerciales como de ataque en vuelo, y a esta lógica no escapa tampoco el automóvil que utiliza a diario.

La ausencia de elementos de seguridad en la red de ADS-B, utilizada para el seguimiento de aeronaves, y en la red ACARS, el sistema de enlace de datos para transmitir mensajes entre cada aeronave y las estaciones de tierra por radio o por satélite, pueden ser utilizadas para explotar las vulnerabilidades de los sistemas de gestión de vuelo.

Cualquier cibercriminal no necesita exponerse para trazar una estrategia y practicar cuál es el mejor camino para explotar una vulnerabilidad, con solo invertir unos pocos dólares en eBay puede encontrar un sistema de gestión de vuelo (FMS), fabricado por Honeywell o una unidad de Teledyne ACARS para la gestión de un avión.

Pero si quien está detrás de perpetrar un ataque es un gobierno, las posibilidades se multiplican por 10, por 1000 o por lo que su imaginación quiera.
Las computadoras de vuelo automatizan tareas de a bordo relacionadas con la navegación, la planificación de vuelo, predicción de trayectoria, la orientación, etc.
El FMS está directamente conectado a otros sistemas críticos como receptores de navegación, controles de vuelo, el motor y los sistemas de combustible, pantallas de aviones, sistemas de vigilancia y otros, de modo que, al comprometer, un atacante podría teóricamente comenzar a atacar sistemas adicionales.
La identificación de objetivos potenciales y la recopilación de información básica sobre ellos a través de ADS-B resulta muy fácil, porque hay muchos lugares en línea que recopilan y comparten datos ADS-B, como flightradar24.com, que también tiene aplicaciones móviles para el seguimiento de un vuelo.
ACARS se puede utilizar para recoger aún más información sobre cada objetivo potencial, y combinando esta información con otros datos, es posible determinar con un grado bastante alto grado de certeza para saber cuál es el modelo de FM que una determinada aeronave está usando.
Una vez hecho esto, un atacante podría enviar mensajes ACARS específicamente diseñados al avión objetivo y explotar las vulnerabilidades identificadas en el código de su FMS.

Con el fin de hacer esto, el atacante podría construir su software definido por el propio sistema de radio, lo que tendría un límite de rango dependiendo de la antena se utiliza, o podría introducirse en los sistemas de uno de los dos principales proveedores de servicios de tierra y utilizarlos para enviar mensajes ACARS, una tarea que probablemente sería más difícil, pero no imposible.

América Latina es un banco de pruebas idea para los cibercriminales en este sentido, la poca rigidez de los sistemas sumado a la falta de normativas para atender estas vulnerabilidades conspiran a favor de contar con un campo de práctica ideal para secuestrar aviones desde tierra o simplemente ocasionarle fallas para que se estrellen.

El próximo 11/9 ya puede estar en marcha

 

Por Marcelo Lozano – Director de CIO AMERICA LATINA

 

Nota del Editor: la foto es meramente ilustrativa y no representa a ninguna compañía en particular.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.