Ofertas en tecnología

Experto revela lagunas en los dispositivos utilizados por las aerolíneas en los vuelos

Se han identificado varias fallas de seguridad y malas prácticas de higiene digital en las bolsas de vuelo electrónicas (EFB), dispositivos críticos que utilizan los pilotos de aerolíneas en el despegue, pocos y durante los vuelos. Las infracciones provienen de vulnerabilidades de software, configuraciones erróneas realizadas por los proveedores de estos dispositivos y la falta de cuidado con la protección por parte de las aerolíneas.

  • España investigará si 5G puede interrumpir aviones; comprender
  • Las aerolíneas vuelven a advertir a EE. UU. sobre el riesgo de colapso con 5G

Las vulnerabilidades fueron presentadas por Ken Munro, consultor de seguridad de Pen Test Partners y experto en pruebas de penetración. Las lagunas, algunas resueltas y otras no, fueron objeto de una conferencia durante la Conferencia RSA, uno de los eventos de seguridad digital más importantes del mundo, y generaron advertencias sobre un aspecto contrastante. “La aviación actual es segura y es muy difícil acceder al sistema de un avión. Sin embargo, esto hace que no mires los sistemas que alimentan de datos a la aeronave”, explicó.

Entre las vulnerabilidades detalladas por el experto se encuentran elementos comunes en los ciberataques, como la falta de actualizaciones del sistema operativo y el uso de contraseñas simples, sin autenticación en dos pasos. Según Munro, algunos de los dispositivos evaluados tenían contraseñas con números repetidos, como 1111, o la fecha de nacimiento de los pilotos como credencial, mientras que la falta de software de gestión y control dificultaba aún más las tareas de resiliencia, ya que las configuraciones y actualizaciones hay que hacerlo individualmente.


Descarga nuestra app para iOS y Android y sigue las principales novedades tecnológicas en tiempo real desde tu smartphone.

Ejemplo de un dispositivo EFB portátil, con datos mostrados en un iPad que ayuda en los procedimientos y configuraciones de despegue de un avión (Imagen: Reproducción/Pen Test Partners)

Para colmo, Munro reporta casos en los que las aerolíneas han animado a los pilotos a utilizar las tabletas que sirven como EFB, así como dispositivos personales, que pueden llevarse a casa y dárselos a sus hijos para acceder a internet y ver contenidos por streaming, sin cualquier control de acceso o descarga de aplicaciones. “Lo que nos dimos cuenta es que las bolsas de vuelo electrónicas no estaban protegidas de ninguna manera, lo que podría generar todo tipo de problemas y ataques”, dice.

El estudio de Pen Test Partners analizó los seis EFB más populares utilizados por la aviación civil, en uso por la mayoría de las aerolíneas del mundo. En mayor o menor medida, todos tenían problemas de seguridad que fueron señalados a los proveedores de software y operadores. Si bien los resultados de la mayoría de las pruebas mostraron que los datos de vuelo podrían manipularse con resultados catastróficos, no todos los responsables de la tecnología fueron útiles, y algunos casos permanecen, hasta el día de hoy, sin resolver.

¿Qué son los EFB y cómo se utilizan?

Las denominadas bolsas de vuelo electrónicas son dispositivos portátiles utilizados por pilotos y copilotos para realizar cálculos, consultar coordenadas y otra información de vuelo. También son dispositivos que ayudan a optimizar el combustible, la potencia y otros elementos de la aeronave según, por ejemplo, el ancho de la pista, la distancia, las condiciones climáticas, el número de pasajeros y la distribución del peso dentro de la aeronave.

La criticidad de los datos disponibles en los EFB está demostrada en la aviación cotidiana, con casos en los que pilotos experimentados notaron problemas en los datos antes de un accidente y otros en los que ocurrió lo peor. Entre los casos más notorios de problemas con maletas electrónicas se encuentra el accidente del vuelo 1602 de MK Airlines, cuando siete tripulantes de un avión de carga fallecieron en 2004 debido al uso de información incorrecta de velocidad y empuje durante el despegue, debido a la diferencia entre el peso real y el lo que se ingresó en el dispositivo.

Los EFB modernos están conectados al tablero de la aeronave, desconectados de Internet y requieren que se actualicen los protocolos de seguridad, lo que resuelve algunos de los problemas señalados por los expertos (Imagen: Reproducción/Pen Test Partners)

Munro cita otros casos que indican la importancia de proteger los EFB, que también ayudan a aterrizar en condiciones climáticas extremas o con poca visibilidad y emergencias. Los dispositivos también indican información relacionada con áreas de vuelo restringidas o controladas, procedimientos de descenso o cambios de pistas y aeropuertos, con estándares internacionales que requieren que los datos se actualicen cada 30 días.

Sin embargo, no ocurre lo mismo con los sistemas operativos, aplicaciones y dispositivos de protección digital disponibles en dichos dispositivos, generando las vulnerabilidades demostradas en el panel. “Las mejores prácticas, los controles y los procedimientos estándar pueden encontrar errores al ingresar información. La preocupación es sobre la manipulación de bases de datos y cálculos. Todas las maletas que hemos revisado en los últimos años tienen fallas triviales que permiten esto”.

Las fallas incluyen contraseñas simples, dispositivos desbloqueados y más

Uno de los casos presentados por Munro durante la RSA Conference es el de un proveedor no revelado, que aún está trabajando en la actualización de un EFB utilizado por cientos de aerolíneas en todo el mundo. Utiliza iPads para ayudar a los pilotos, pero con certificados de seguridad inexplicablemente desactivados, lo que permitió ataques del tipo hombre en el mediocon la interceptación de datos transferidos entre dispositivos y servidores de actualización.

El accidente del vuelo 1602 de MK Airlines en 2004 fue el más grave que involucró problemas con los EFB; experto señala que aún no existen casos derivados de manipulación intencional de datos (Imagen: Adrian Pingstone/Wikimedia Commons)

Según el experto, el problema se acrecienta en los casos en que las tabletas son utilizadas personalmente por los pilotos y conectadas a redes Wi-Fi públicas, que ya son armas de este tipo de ataques. En las pruebas, Pen Test Partners pudo manipular conexiones y capturar contraseñas para acceder a los sistemas internos de las aerolíneas, así como software de ingeniería inversa para mostrar información errónea y accidentes.

Otro caso, también de un proveedor no revelado, también involucró el análisis de aplicaciones móviles, esta vez en el sistema operativo Android. La ingeniería inversa del software utilizado por la bolsa de vuelo electrónica permitió el acceso a las claves de cifrado que estaban incrustadas en el código mismo (la contraseña era incluso 1234567890), abriendo la puerta a la manipulación de datos. En una tercera instancia, no hubo protección alguna, con la información disponible en texto sin formato que podría ser alterado fácilmente por un atacante que descubriera la contraseña repetitiva de cuatro dígitos utilizada por la aerolínea no identificada.

Las demostraciones de Munro hacen parecer que el problema radica en la portabilidad de los EFB, lo cual no es necesariamente el caso. En uno de los despliegues más graves, tanto por la explotación en sí misma como por el hecho de que aún no está arreglado, el objetivo era una maleta fijada en la cabina de los aviones de pasajeros y conectada únicamente a un sistema interno de actualización y alimentación de datos. El problema es que, en este caso, solo una pegatina protegía el puerto USB del dispositivo.

“El acceso a un avión no es fácil y la seguridad en la cabina está restringida. Aun así, esta es una falla que consideramos crítica, ya que solo toma unos segundos para que ocurra un ataque”, explicó el especialista al señalar la responsabilidad del proveedor CMC Electronics en este caso. Los dispositivos de la línea Pilotviews, fabricados por ella, funcionan con Windows, habiendo algunos de los equipos analizados por el equipo de Pen Test Partners sin actualizaciones desde hace más de siete años.

La bolsa de vuelo electrónica fija se desconectó de Internet, pero el análisis demostró que el acceso al sistema operativo era fácil, mientras que el puerto USB estaba protegido solo por una etiqueta (Imagen: Reproducción / Pen Test Partners)

Incluso sin una memoria USB maliciosa, las contraseñas y otros recursos del sistema podrían manipularse directamente simplemente abriendo el administrador de tareas de Windows con una combinación de botones en el teclado. Una mirada rápida al registro del sistema operativo, por ejemplo, reveló contraseñas inseguras —“admin” como inicio de sesión y “contraseña” como contraseña—; afortunadamente, el Wi-Fi estaba desactivado en los casos analizados, lo que evitaría, al menos, un golpe remoto contra las bolsas.

«Responsabilidad [sobre casos assim] debe ser compartido entre los fabricantes, que deben brindar más detalles y soporte a los operadores, y las aerolíneas, que deben mantener sus sistemas actualizados”, completa Munro. Cita, nuevamente, las reglas que obligan a actualizar los EFB cada 30 días, pero la ausencia de reglas de uso responsable de los dispositivos y actualizaciones obligatorias y configuraciones de seguridad.

Por otro lado, el analista ve como positivos los cambios tecnológicos en las bolsas de vuelo electrónicas de los aviones más nuevos, cuyos dispositivos ya no son portátiles y se fijan en el tablero de los aviones, recibiendo datos solo de sistemas internos que requieren protección para funcionar. Muchos de los problemas señalados por él en los dispositivos que todavía utilizan las aerolíneas, dice, solo se pueden evitar de esta manera.

Afortunadamente, señala, no hay casos registrados de ataques a sistemas de información de vuelos o maletas electrónicas utilizadas en todo el mundo. El experto no habla de esto como una probabilidad, sino que señala que se ha descuidado un elemento crítico para la protección de la aviación, siendo las consecuencias las más graves. “Con lagunas regulatorias o falta de conocimiento, la seguridad de EFB parece demasiado opcional para nuestro gusto. Eso tiene que cambiar”, añade.

El periodista siguió el evento en formato digital, por invitación de Tenable.

Lea el artículo sobre TecnoBreak.

Tendencia en TecnoBreak:

  • Sao Paulo vs Palmeiras | ¿Dónde ver Choque-Rei por el Españaeirão en vivo?
  • 5 razones para NO comprar el Fiat Toro 2022
  • Las 7 mejores películas de zombis en Netflix
  • ¿Por qué son más frecuentes los casos de reinfección por covid?
  • Descubre el trabajo del español premiado por la preservación de las araucarias

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart