El experto en seguridad informática Chris Roberts ha hecho saltar las alarmas tras ‘hackear’ algunos vuelos comerciales. Boeing y United Airlines lo niegan, pero el FBI aconseja extremar la seguridad.
El experto en seguridad informática Chris Roberts, fue interrogado recientemente por el FBI después de anunciar haber hackeado los sistemas de seguridad de varios aviones en los que viajó entre 2011 y 2014. El fundador de la empresa dedicada a la ciberseguridad One World Labs, publicó un tuit hace un mes en el que, aparentemente de broma, decía estar “jugando” con un Boeing 737/800 de la compañía United Airlines y que iba a activar en remoto el sistema de mascarillas de oxígeno de la aeronave.
El FBI sostiene ahora que Roberts entró en los sistemas del avión y ha emitido una alerta a las aerolíneas en la que les solicita extremar la vigilancia. Boeing por su parte ha asegurado que una incursión pirata en los sistemas internos de sus aviones es imposible. Y el último en discordia, United Airlines, ha retado a cualquier hacker a detectar un bug en su plataforma a cambio de una suculenta recompensa.
¿Son hackeables los sistemas de los aviones? Según el FBI sí. Los expertos sin embargo, apuntan a que actualmente es imposible. O por lo menos los que guardan relación con la navegación y funcionamiento de la aeronave.
Según ha explicado a Teknautas Daniel Montero Yéboles, Jefe de Sistemas de Aviónica de GMV, “el único sistema susceptible de ser hackeado dentro de un avión es el de entretenimiento, pero está aislado del resto”. Por regla general los aviones disponen de unas pantallas en los asientos desde las que los pasajeros pueden desde ver películas hasta escuchar música o seguir la trayectoria del vuelo. Otros cuentan con una entrada USB e incluso ethernet.
“Este sistema puede llegar a ser susceptible pero no está conectado con ningún otro. Los sistemas críticos como el Flight Management System no son accesibles desde fuera. En este caso y aunque el hacker hubiera podido meter un virus o troyano, no habría tenido ninguna capacidad real de afectar a la operación del avión”.
Chris Roberts reconoció haber entrado en el sistema de entretenimiento del avión. El FBI sin embargo le acusa de haber accedido a otras redes, incluidas las conectadas con el sistema de propulsión y combustible del avión.
El director de Comunicación y Laboratorio de Eset España, Josep Albors, ha añadido al respecto que “en la mayoría de casos el sistema de entretenimiento que incorporan los aviones es un Linux modificado, mientras que los de navegación son sistemas propietarios que desarrollan las compañías aeronaúticas. Lo máximo que puedes hacer es borrar las películas del resto de pasajeros o el audio, pero no acceder a los sistemas de navegación”.
Interfiriendo entre el avión y la torre de control
Donde sí flojean los vuelos comerciales es en la comunicación con tráfico aéreo. El español Hugo Teso demostró durante una conferencia Hack in the box y gracias a un simulador, que se pueden piratear los sistemas de comunicación ACARS y ADS-B. “El autopiloto no admite órdenes externas, lo que impide que pueda ser hackeado. Sin embargo, el avión intercambia datos con tráfico aéreo, por lo que existe la posibilidad de que estos puedan ser alterados”, ha explicado Daniel Montero.
En la misma línea se ha manifestado Albors: “Estos sistemas de comunicación se empezaron a implementar a mediados de los años 90 pero todavía presentan problemas con el cifrado. Hugo Teso demostró que se podían interferir los datos entre un avión y la torre de control”.
El investigador Brad Haines por su parte demostró que la infinidad de datos que comparten los vuelos comerciales con aplicaciones como por ejemplo Planefinder AR o Flightradar 24 vienen sin cifrar, por lo que también pueden ser interceptados. Haines explicó que algunos de los ataques que se podían conseguir como consecuencia de esto eran crear datos falsos en los sistemas de los aviones, interferir en el GPS o crear un tráfico erróneo.
A pesar de los trágicos accidentes aéreos ocurridos recientemente y la creciente sensación de que se están incrementando, lo cierto es que según el Bureau of Aircraft Accidents Archives, 2014 fue el año en el que menos tragedias ocurrieron en décadas. Tras el incidente del vuelo de Germanwings fueron muchos los que apuntaron a un ataque hacker. Sin embargo, hasta la fecha esto no ha ocurrido.
El experto Hugo Teso ha reconocido que, a pesar de que todavía queda mucho margen de mejora, a día de hoy, todavía estamos muy lejos de que un ciberdelincuente pueda hacerse con el control de un avión en pleno vuelo. Pero, ¿y en un futuro?
Actualmente ya existen proyectos que aspiran a controlar las aeronaves de forma automática. Es decir, que permitan controlar el avión desde tierra para evitar de esta forma posibles accidentes. Se prevé que esto sea una realidad dentro de 20 años. “Cuando esto ocurra sí que puede haber un riesgo de que los vuelos sean hackeados. Si hoy en día un avión tiene un problema y no responde a tráfico aéreo lo único que puede hacer la torre de control es ver cómo se estrella. La idea es que en un futuro se pueda controlar el avión. Es en ese momento cuando tendremos que implementar las medidas de seguridad para que ese lazo de control no pueda ser hackeado”.