Cómo garantiza la EASA la resiliencia de la aviación frente a las ciberamenazas

THIS PAGE IS ALSO AVAILABLE IN:

A medida que la digitalización y la interconexión mundial avanzan cada vez más, la exposición a las ciberamenazas resulta cada vez más apremiante. Los expertos en seguridad de la información suelen afirmar que ya no es cuestión de "si", sino de "cuándo" una determinada entidad será objetivo de los ciberdelincuentes. El sector de la aviación no es inmune a estas amenazas. Ciertas amenazas para la seguridad de la información pueden perturbar las operaciones o afectar a la seguridad aérea.una sombra de aeronave superpuesta a una esfera de tono azul hecha de 1 y 0 para representar «cibernética»

La misión de la EASA consistente en garantizar la seguridad de los viajes aéreos en Europa (y en todo el mundo) incluye la mitigación de los riesgos para la seguridad de la información. El paquete reglamentario de la Unión Europea (UE) exige que los riesgos para la seguridad de la información sean identificados, evaluados y tratados de manera proporcionada por organizaciones activas en todo el ecosistema de la aviación civil y a continuación controlados para evitar efectos adversos en la seguridad de los ciudadanos. Este ecosistema incluye las organizaciones implicadas en el diseño, la producción, el mantenimiento, las operaciones, la formación y todas las actividades necesarias para garantizar la seguridad de las operaciones de vuelo.

¿Cuáles son las amenazas para la aviación y de dónde proceden?

La aviación es un «sistema de sistemas» que comprende, junto con los productos aeronáuticos y sus tecnologías asociadas, personas, procesos y otros activos intangibles que, a su vez, son vulnerables a las amenazas para la seguridad de la información. 

Todos los diferentes sistemas son complejos y presentan una elevada interconexión. Son innumerables las vías de ataque que pueden desembocar en un problema de seguridad y el avión es la última línea de defensa. Cualquier vínculo entre la aeronave y tierra (inalámbrico o no), cualquier componente de mantenimiento, cualquier sistema industrial y, por supuesto, la cadena de suministro se encuentran sujetos en todos los casos a amenazas potenciales. una imagen en tonos negros y azules con líneas y cerraduras blancas interconectadas. De fondo se ve el torso de un hombre con su mano sujetando un candado.Estas amenazas constituyen posibles violaciones derivadas del acceso no autorizado, el uso, la divulgación, la perturbación, la modificación y/o la destrucción de la información y los sistemas de información implicados en el sistema de aviación. Muchos ataques pueden encontrar su raíz en la negligencia o la falta de concienciación de los empleados.  

Las amenazas pueden proceder de diversas partes, incluidos agentes de la ciberdelincuencia, hacktivistas e incluso agentes patrocinados por el Estado. La motivación que subyace a estos ataques puede ser de índole financiera, política o personal, como el reconocimiento o la sensación de éxito. 

 

¿Qué sectores de la aviación parecen atraer en mayor medida a los agentes malintencionados?

De acuerdo con los datos recopilados por el equipo de Inteligencia sobre Ciberamenazas de la EASA, los aeropuertos parecían ser el objetivo más popular para los ciberataques a finales de 2024, concentrando más del 50% de los ataques dirigidos contra la aviación. La mayoría de los ataques corresponden a la categoría denegación de servicio, es decir, cuando los ciberdelincuentes saturan un sistema con una elevada cantidad de tráfico a fin de colapsarlo. Esto puede guardar relación con la actividad hacktivista, a menudo impulsada por la tensión geopolítica. Los aeropuertos parecen ofrecer una gran visibilidad cuando son tomados como objetivo debido al impacto claramente visible que sigue a un incidente. Las tarjetas de cancelación de vuelos y la frustración de los pasajeros que sufren los retrasos aportan material visual fresco para las noticieros. 

Las compañías aéreas ocupan el segundo lugar entre los objetivos más codiciado por los agentes malintencionados, alrededor del 25% de los ataques van dirigidos contra las aerolíneas. Aparte de los ataques de denegación de servicio, las compañías aéreas también sufren ataques mediante programas de secuestro (cuando los ciberdelincuentes proceden al cifrado de los datos de una entidad y exigen un rescate para descifrarlos), así como violaciones de la seguridad de los datos. Por lo tanto, los ataques no solo tienen un impacto en la seguridad, sino también en la continuidad de las actividades y las operaciones.
Otros sectores afectados, según los datos registrados, son los fabricantes de aeronaves y las organizaciones de mantenimiento, reparación y revisión, así como las instituciones gubernamentales, que a su vez sufren a diario diferentes tipos de ciberataques.


¿Qué está haciendo la EASA para aumentar la resiliencia de la aviación frente a los ciberataques?

El enfoque de la EASA, en materia de ciberseguridad en la aviación, consta de cuatro pilares: certificación de los productos de la aviación, riesgos organizativos para la seguridad de la información, intercambio de información y desarrollo de capacidades.

icono que representa una aeronave con una marca de verificación

Certificación de productos de aviación

Inicialmente, la ciberseguridad en este contexto se abordaba caso por caso. Los solicitantes (organizaciones que desean obtener la certificación de una aeronave) debían evaluar los efectos potenciales que las amenazas para la seguridad de la información podrían tener en la seguridad de los sistemas y redes de la aeronave.

A medida que los sistemas y piezas de las aeronaves se volvían interconectados, se abrían más potenciales vías de ataque. Así pues, la amenaza ya no podía abordarse caso por caso y era necesario un enfoque holístico.

A tal efecto, la EASA incorporó requisitos específicos para la certificación de aeronaves que especifican que «los equipos, sistemas y redes de la aeronave, considerados por separado y en relación con otros sistemas, deben protegerse de interacciones electrónicas intencionales no autorizadas que puedan dar lugar a efectos adversos sobre la seguridad». 

icono que representa un escudo y una cerradura

Riesgos organizativos para la seguridad de la información

Dado que las amenazas para la seguridad de la información no solo se limitan al diseño de la aeronave, sino que también incluyen a las personas y los procesos, en 2022 y 2023 se publicó un nuevo conjunto de normas, la denominada «Parte-IS», donde IS significa «Seguridad de la información» [consistente en el Reglamento Delegado (UE) 2022/1645 y el Reglamento de Ejecución (UE) 2023/203, para quienes deseen profundizar]. La parte IS establece requisitos con el objetivo de proteger el sistema de aviación de los riesgos para la seguridad de la información que tienen un impacto potencial en la seguridad. La parte IS cubre los sistemas de las tecnologías de la información y la comunicación y los datos utilizados por las organizaciones y autoridades aprobadas para fines de aviación civil. Para alcanzar su objetivo, la Parte-IS requiere el establecimiento, la aplicación y el mantenimiento de un Sistema de Gestión de la Seguridad de la Información.

icono que representa una interacción de diálogo

Intercambio de información 

El tercer pilar es el intercambio de información, que actualmente se lleva a cabo en el marco de dos flujos diferentes. El Centro Europeo de Ciberseguridad en la Aviación, compuesto por partes interesadas tanto del sector como de las autoridades, y la Red de Analistas de Ciberseguridad, que cuenta con representantes de los Estados miembros. Se trata de comunidades en las que se ha generado confianza entre las organizaciones participantes que les permite compartir conocimientos, como la inteligencia sobre amenazas en forma de informes, alertas sobre posibles amenazas e información derivada del análisis de incidentes, y promover la colaboración entre los miembros.

icono que representa una cabeza humana con engranajes que emergen de ella

Desarrollo de capacidades

Por último, pero no por ello menos importante, las actividades de desarrollo de capacidades son una parte importante del enfoque de la EASA en materia de ciberseguridad. Dado el rápido ritmo de los avances tecnológicos, es importante que el equipo de ciberseguridad de la EASA se mantenga al día. Por lo tanto, la formación es un elemento importante de las actividades del equipo, junto con la investigación, que desempeña un papel clave para comprender el panorama futuro de las amenazas y adoptar una postura proactiva contra las amenazas a la ciberseguridad.

Proyecto de investigación Horizonte Europa: CIBER - Resistencia de la aviación y panorama de las amenazas a la ciberseguridad  

En 2024, la EASA puso en marcha un proyecto de investigación sobre el panorama de la resiliencia de la ciberaviación y las amenazas a la ciberseguridad. El objetivo de este proyecto es identificar las amenazas a la ciberseguridad que puedan tener un impacto negativo en la seguridad de las operaciones de vuelo. Con este conocimiento, la EASA pretende ayudar a construir un sistema de aviación más sólido y resiliente de cara al futuro.

Comunidad de Ciberseguridad de la EASA  

Si está interesado en seguir todas las actividades anteriores, la EASA ha creado una comunidad de ciberseguridad en la que compartimos información sobre la amplia gama de temas relacionados con la ciberseguridad en la aviación. Ya sea un aficionado o un experto en la materia, nos gustaría tenerle a bordo para intercambiar impresiones sobre una serie de temas interesantes en el ámbito de la ciberseguridad en la aviación. 

Algunas notas sobre la interferencia del GNSS: interferencia intencionada y suplantación

Desde febrero de 2022, se ha producido un notable aumento de la interferencia y la suplantación en el sistema mundial de navegación por satélite (GNSS), especialmente en las regiones que rodean zonas de conflicto y otras zonas sensibles como el Mediterráneo, el mar Negro, Oriente Próximo, el mar Báltico y el Ártico. Es posible que incluso haya visto alguna noticias al respecto. Estos incidentes también entran en el ámbito de la ciberseguridad de la aviación.

Interferencia intencionada se refiere a la interferencia intencionada de radiofrecuencias que impide que los receptores GNSS se acoplen a las señales de satélite, lo que hace que el sistema resulte ineficaz o degradado. La suplantación implica la emisión de señales por satélite falsificadas para engañar a los receptores de GNSS, provocando datos incorrectos de posición, navegación y temporización, por lo que el sistema puede decir a los pilotos que están volando sobre París a las 7 horas de la mañana, cuando, en realidad, sobrevuelan Roma por la noche. Estas interferencias pueden dar lugar a diversos problemas operativos para las aeronaves y los sistemas de tierra, pero no han repercutido en la seguridad de los vuelos. La EASA supervisa continuamente el fenómeno, a fin de estar preparada para proporcionar asesoramiento a todos los agentes de la aviación en caso de que haya indicios de que la seguridad podría verse afectada.