«Hackers»: el peligro no sólo está en el aire

EE UU y Reino Unido han prohibido embarcar portátiles y tabletas en ciertos vuelos. Sin embargo, la amenaza terrorista no sólo se esconde en las maletas. Los piratas informáticos son capaces de manejar un avión desde tierra

Todo comenzó en 1988. Aquel año el vuelo 103 de Pan Am explotó sobre Lockerbie, Escocia, debido a la bomba que un terrorista ocultó dentro de un radiocasete Toshiba y que se encontraba en la bodega. La explosión mató a los 259 pasajeros y a otras 11 personas que se encontraban en tierra. El 2 de febrero de 2016 un avión de la aerolínea Daallo (con base en Dubai) tuvo que realizar un aterrizaje de emergencia en Somalia después de que una bomba dentro de un ordenador portátil explotara y dejara un agujero en el fuselaje. La única víctima mortal fue el terrorista suicida.

Desde que Estados Unidos primero, y luego Gran Bretaña prohibieran que se subieran a bordo de ciertos vuelos, portátiles o tabletas, ríos de tinta han corrido para justificar o, por el contrario, para explicar por qué la medida no es eficaz. Pese a que la Administración de Seguridad del Transporte (TSA) de EE UU no ha explicado nada aún, para Bennet Waters, del Grupo Chertoff (consultores de seguridad), se debería a que en los portátiles se puede esconder suficiente explosivo como para volar un avión. Algo que los smartphones no permiten por tamaño. Pero podría haber una alternativa a los explosivos: el hackeo.

En 2015, el experto en ciberseguridad Chris Roberts publicó un tuit en el que aseguraba haberse introducido en el Sistema de Entretenimiento de A Bordo (IFE, por sus siglas en inglés) de un avión y que desde allí, pudo entrar en uno de los cerebros de la nave, el FMC (Flight Management Computer), el ordenador de gestión de vuelo. «Alguien quiere un poco de oxígeno», bromeó Roberts en su perfil, asegurando que podía activar las mascarillas.

Si bien mucha gente se lo tomó en broma, otros le otorgaron el beneficio de la duda, ya que Roberts trabaja en la seguridad de numerosas empresas y gobiernos. Una de las primeras consecuencias fue que al mes siguiente a Roberts le prohibieron embarcar en un vuelo. Y, al poco tiempo, el FBI llamó a su puerta con una orden de registro para analizar sus portátiles y «hablar» con él.

En la entrevista que mantuvo con los agentes y según consta en el informe, Roberts afirma que hackear el IFE es algo que hizo varias veces, entre 15 y 20 entre 2001 y 2015. De hecho, asegura que también pudo reescribir parte del código de seguridad para conseguir que uno de los motores de la nave aumentara su potencia unos segundos. Esto lo habría conseguido tanto mediante el wifi del avión como colocando un cable modificado, conectado al SEB (Seat Electronic Box, el acceso al sistema de entretenimiento que tiene cada asiento).

Pese a estas afirmaciones, son muchas las voces dentro de la industria que se niegan a creer en ello. La propia Boeing publicó una declaración señalando que ambos sistemas, los de entretenimiento y los de gestión de vuelo están comunicados pero sólo por un canal de ida: así es cómo podemos ver por la pantalla la ubicación, altitud y velocidad de la nave. Esto se debe a que usan un bus de datos (un sistema para transferir información) ARINC 429 que sólo envía la latitud, longitud y velocidad al sistema IFE. Pero nada más. La mayoría de los expertos coinciden en que sería muy difícil enviar información a este bus, sin conectarse de otro modo directamente a él. Pero hay un problema: no todos los aviones utilizan el ARINC 429. Algunos también usan el modelo ARINC 629. Y este sí permite la comunicación de ida y vuelta.

Tras el informe del FBI, el Government Accountability Office (GAO), una oficina que audita, evalua e investiga las tareas de otras agencias, hizo su propio expediente. Un documento de 60 páginas titulado «La Agencia Federal de Aviación (FAA) necesita un análisis más exhaustivo de la ciberseguridad como agencia en su transición hacia la próxima generación». Y en él detalla que quien quiera hackear el sistema de un avión comercial debería pasar por todos los cortafuegos que separan la red wifi de los sistemas de gestión de vuelo.También afirma que entrevistaron a cuatro expertos en ciberseguridad sobre las posibles vulnerabilidades de los cortafuegos y que «todos coincidieron en que son componentes de software y pueden ser hackeados al igual que cualquier otro».

Pero... ¿y si estuvieran equivocados? Es decir, toda esta información se basa en la acción de un experto. ¿Hay otros que hayan conseguido algo parecido? Sí. Rubén Santamarta, consultor de ciberseguridad de IOActive (especializada en la seguridad en el transporte) ha firmado un informe de 25 páginas que demuestra cómo un pasajero potencialmente podría acceder a los sistemas de gestión de vuelo desde la cabina de pasajeros. «No podemos afirmar que se pueda hacer en todos los aviones –señala el informe–, cada nave es diferente y debe estudiarse cada caso en particular. El problema es que los fabricantes de un avión pueden haber creado un sistema específico y otras empresas modificarlo».

Pero eso no es lo que produce mayor alerta. Hay algo más sorprendente. «Un hacker – explica Santamarta – puede introducirse, desde su casa, en el ordenador de un pasajero a bordo de un avión. Y desde allí hackear el sistema de gestión de vuelo. Sin tan siquiera haberse acercado al aeropuerto». Otros expertos en seguridad también coinciden. Eugene Kaspersky, director de Kaspersky Labs, aseguró en una entrevista en CNN que «la realidad es que los sistemas modernos, coches, aviones y hasta barcos, están altamente informatizados y me temo que sus sistemas no son 100% seguros».

Para Tom Patterson, jefe de seguridad de Unisys y antiguo asesor de la Casa Blanca, la «culpa» la tendría la necesidad de abaratar costes. «El peso es una de las cuestiones más importantes. Antes, todos los sistemas estaban aislados y cada uno tenía su propio cableado, lo que hacía que un ataque fuera mucho más complejo. Ahora, sin embargo, muchos sistemas comparten el cableado para que los aviones sean más ligeros».

Si bien es cierto que es posible colocar una bomba en un ordenador, el riesgo es evidentemente menor que el de colarse en los sistemas más vulnerables y hackear un avión. Sobre todo porque para ello no tienen que embarcar en ningún país de los señalados como conflictivos y, de hecho, ni siquiera tienen que estar a bordo. Por lo tanto, ante la pregunta de si es posible hackear un avión, la respuesta es sí. Pero no todos. Sólo aquellos cuyos sistemas sean más vulnerables. Y quizá allí es donde deban apuntar primero los gobiernos, antes que a los pasajeros.

Las ciudades donde es necesario facturar el portátil

La reciente prohibición de embarcar en la cabina de pasajeros ordenadores portátiles y tableta afecta a aquellos vuelos directos que se dirigen a Estados Unidos desde Amman (Jordania); Kuwait; El Cairo (Egipto); Estambul (Turquía); Jeddah y Riyadh (Arabia Saudita); Casablanca (Marruecos); Doha (Qatar) y Dubai y Abu Dhabi. Todas las compañías aéreas deben cumplir esta norma. Para los británicos, la prohibición incluye los vuelos directos desde Turquía, El Líbano, Jordania, Egipto, Túnez y Arabia Saudí. Y no, no hay forma de eludir la prohibición. No consideran que los rayos X sean una medida de seguridad suficiente, ni quitarle la batería en los casos que existiera alguna duda. Por ello, si hay que enviar a la bodega el ordenador, lo más aconsejable es hacerse con un disco duro portátil para los archivos más importantes, poner el portátil en una maleta dura y coger un seguro de viaje. Por si acaso, que nunca se sabe.