Aviones conectados y vulnerables | Stormshield

En consonancia con la evolución de las aeronaves de la aviación civil, los aviones militares adoptan cada vez más las tecnologías digitales y multiplican las interconexiones con las infraestructuras en tierra. Si bien esta hiperconectividad responde a importantes necesidades operativas, también conlleva la aparición de nuevas vulnerabilidades. ¿Cuáles son? ¿Y cómo se pueden prevenir? Cogemos altura en este informe sobre ciberseguridad.

En agosto de 2018, el Secretario de la Fuerza Aérea de Estados Unidos, Will Roper, declaró sin rodeos a la prensa nacional: «Sería posible derribar uno de nuestros aviones con un simple ordenador». Esta impactante admisión se produjo tras un experimento realizado por el Pentágono en el que grupos de white hats tenían que intentar piratear los sistemas de a bordo de los F-15 de las Fuerzas Aéreas estadounidenses. Y lo consiguieron: era posible (teóricamente) de estrellar un avión de guerra en pleno vuelo. «Este hackeo es también el resultado de años de abandono de la ciberseguridad por parte de las Fuerzas Aéreas de Estados Unidos», admite Will Roper.

 

Hiperconectividad es sinónimo tanto de eficacia como de vulnerabilidad

Obviamente, los elementos técnicos de este hackeo no se revelaron y siguen siendo altamente confidenciales. Sin embargo, la razón por la que estos white hats fueron capaces de hackear un avión de combate tan crítico es que, al igual que muchas otras aeronaves de vuelo, el F-15 está ahora altamente digitalizado y conectado. «El software de los aviones de combate modernos se basa en millones de líneas de código. Si este código de programación se imprimiera, daría lugar a una torre de papel de más de 10 metros de altura», explica Matthias Bertram, subdirector de ingeniería del proyecto New Fighter Aircraft en Suiza, en una entrevista.

Los retos en materia de ciberprotección de los aviones de combate es una preocupación real en Suiza, que tiene la intención de adquirir nuevos F-35 estadounidenses en un futuro próximo. Si bien estos últimos se presentan como ultramodernos, también se les critica por su altísima superficie de ataque digital. Estas aeronaves son, por tanto, un caso de estudio para entender las ciberamenazas a las que puede estar expuesta una aeronave de esta envergadura estratégica en la actualidad. En un informe del Instituto Francés de Relaciones Internacionales (Ifri) sobre los esfuerzos de la armada francesa por hacer frente a los riesgos ciber, se señalan como problemáticos tres grandes subservicios del F-35: el software de reconocimiento de objetivos, un software de mantenimiento predictivo del avión y los simuladores de vuelo específicos de esta aeronave. El primer subservicio, la Joint Reprogramming Enterprise, recopila un gran número de firmas conocidas de aviones de combate en el mercado y permite la detección e identificación automática de amenazas cercanas (tanques, drones, etc.). Ello proporciona al piloto información crucial para ayudarle a tomar decisiones tácticas en tiempo real. El problema es que «una intervención en sus actualizaciones podría permitir a los hackers introducir datos falsos en el sistema para hacer indetectables ciertos objetivos o para hacer que el sistema de disparo falle». El segundo subservicio problemático, el Autonomic Logistics Information System, es otro software de a bordo. Su objetivo es mejorar la capacidad de mantenimiento predictivo del avión mediante la autoevaluación del estado de desgaste de algunas de sus piezas. La transmisión de este flujo de información a la sede de Lockheed Martin (el fabricante del avión) permite obtener piezas de recambio en previsión de posibles averías y optimizar así la disponibilidad del avión. Se trata de una ventaja significativa en una situación de conflicto. Sin embargo, si este flujo de información fuera interceptado, los expertos temen que pueda «informar a los enemigos potenciales sobre la estructura del avión y el contenido de sus misiones». Por último, los pilotos del F-35 se entrenan en simuladores de vuelo antes de cualquier despegue, un tercer subservicio problemático. Estos últimos son extremadamente avanzados y están programados para ofrecer una experiencia de conducción ultrarrealista. Sin embargo, estos simuladores también están ultraconectados (sobre todo por motivos de mantenimiento) y la posibilidad de piratearlos podría permitir a los ciberdelincuentes «deducir información clave sobre el funcionamiento de los cazas».

Estas diversas vulnerabilidades ponen de manifiesto los peligros ciber asociados al intercambio de datos entre las aeronaves y las infraestructuras terrestres. Sin embargo, «en el ámbito militar, tratamos de minimizar estas conexiones, que presentan muchos vectores de amenaza para el avión», explica Alain Mingam, arquitecto de seguridad de Airbus. «No obstante las realidades operativas contemporáneas exigen que las comunicaciones con tierra estén disponibles con las medidas de seguridad adecuadas». En los últimos 15 años, el sector de la aviación militar ha tomado conciencia de esta debilidad. «Desde hace varias décadas, la seguridad operativa está bien integrada en el proceso de desarrollo de las aeronaves», afirma Christopher Cachelou, ingeniero de preventa especializado en el sector de la defensa en Stormshield. «Se basa en un análisis de riesgos funcionales para garantizar el buen funcionamiento del dispositivo, tanto del hardware como del software. La ciberseguridad de los productos es mucho más reciente y está menos integrada en el proceso de desarrollo. Asimismo, se basa en un análisis de riesgo, pero esta vez ciber, como por ejemplo con el método EBIOS». Alain Mingam confirma esta situación, tanto en la aviación militar como en la civil. «Entre los sistemas ACARS (para la gestión de las operaciones de vuelo, el control del tráfico aéreo y el mantenimiento), el FOMAX (para el mantenimiento predictivo) los sistemas de entretenimiento a bordo (in-flight entertainment, IFE), existen muchas herramientas digitales conectadas a tierra desde hace mucho tiempo en la aviación civil». En contra de lo que se podría pensar, a menudo es la industria civil la que allana el camino a la industria militar en el ámbito de la ciberseguridad. Por ejemplo, el A400M (avión de transporte militar), diseñado por Airbus y propuesto a la Organización Conjunta de Cooperación en Materia de Armamento (OCCAR), se habría beneficiado mucho de los estudios de ciberprotección realizados para el A380.

 

¿Hacia una guerra ciber en el aire?

El carácter secreto y poco documentado de los actos de ciberguerra reduce de facto el número de estudios sobre las ciberamenazas en el ámbito militar. Sin embargo, resulta interesante observar los ciberataques efectuados contra las aeronaves e infraestructuras de la aviación civil. Según la Agencia Europea de Seguridad Aérea (AESA), este número superó los 1.000 ataques al mes de media ya en 2016...

Y si bien la información sobre el F-15 procedía de un examen de penetración, ya se ha informado de hackeos (más o menos exitosos) contra el material aéreo militar de varios países. En 2009, los ordenadores de la base aérea 107 de Villacoublay fueron infectados por el virus Conficker, que se cree que se propagó a través de estaciones de trabajo Windows no actualizadas. De hecho, varios Rafale se quedaron en tierra durante dos días, según una carta confidencial enviada al sitio web de Intelligence Online. Algunos documentos clasificados revelados por Edward Snowden también demostraron que los servicios de inteligencia estadounidenses y británicos habían logrado interceptar y descifrar los flujos de vídeo de drones aéreos y cazas F-16 israelíes, lo que les permitió obtener una importante información táctica en cuanto a las tensiones geopolíticas en Irán. En paralelo, el informe de Ifri recoge el testimonio del antiguo jefe de la ciberdefensa francesa, el contralmirante Arnaud Coustillière, explicando que un dron francés Harfang fue víctima de un intento de desvío en Afganistán. El ataque finalmente fracasó, pero aun así interrumpió la misión del avión.

Por último, los datos sensibles almacenados en infraestructuras terrestres también son objeto de codicia. En 2017, casi 30 GB de datos comerciales (pero no clasificados) relacionados con los programas de defensa australianos fueron exfiltrados en un ciberataque a un contratista del Gobierno. Otro ejemplo fue en 2020, cuando Leonardo, uno de los principales grupos industriales aeroespaciales de Europa (de origen italiano) constató un flujo anormal de datos que salían de sus sistemas y alertó a las autoridades italianas. La investigación determinó que uno de los ordenadores pirateados contenía información clasificada sobre el proyecto experimental «nEUROn». Supervisado por Francia desde 2012, su objetivo era diseñar un nuevo avión militar dedicado a la defensa europea. Más recientemente, un grupo de ciberdelincuentes publicó en la darkweb los detalles técnicos del Globaleye sueco-canadiense (un avión dedicado a misiones de vigilancia e inteligencia militar). Esta información se habría obtenido de los sistemas de Bombardier, el fabricante canadiense que participó en la producción del avión.

Si bien es algo poco frecuente, la amenaza de una toma de control por medios digitales de los dispositivos militares se toma muy en serio por parte de todas las naciones que los emplean. En Francia, el ejército ya ha creado un contingente de 1100 ciberdefensores, que se reforzará con 5000 efectivos más en 2025, distribuidos entre las fuerzas armadas, la Dirección General de Armamento (DGA) y el servicio de inteligencia exterior francés (DGSE). ¿Se prevé una ciberguerra? No, según las palabras del general de brigada del Ejército del Aire Didier Tisseyre, director adjunto del centro de mando del Comcyber, según informa Ifri: «Ya hemos observado ciberataques en áreas de operaciones en las que participa el ejército francés, como en Levant o en el Sahel. Esto puede consistir en la interceptación de información antes de una intervención, el engaño de un radar antiaéreo o la inmovilización de las defensas enemigas».

 

¿Qué podemos hacer para evitarlo?

La ciberprotección de las aeronaves de combate es, por tanto, una cuestión muy delicada. En principio, proteger un avión de combate del riesgo ciber es similar a proteger cualquier terminal conectado a una red civil, como señala Matthias Bertram. Para ir más lejos en el ámbito militar, se realiza un desglose funcional a nivel de aeronave asociado a un análisis de impact safety, en particular mediante un documento denominado Functional Hazard Assessments (FHA). «Esto es lo que permite mapear con precisión las diferentes funciones del dispositivo y las posibles consecuencias de su mal funcionamiento», explica Alain Mingam. «A continuación, podemos revisar los vectores de ataque digital que podrían perturbarlos, identificar un riesgo asociado y deducir los obstáculos de seguridad que hay que poner en el camino del potencial atacante para que el riesgo sea aceptable».

Pero ¿cuáles son las obligaciones en este ámbito? En el ámbito francés, los operadores de importancia vital, tanto civiles como privados, deben cumplir con los requisitos de ciberseguridad descritos en el artículo 22 de la Ley de programación militar. Estos requisitos abarcan tanto los procesos organizativos como las soluciones tecnológicas que deben implementarse para asegurar las infraestructuras físicas y digitales. A escala europea, la Directiva NIS incluye a una serie de operadores del sector del transporte aéreo en la lista de operadores de servicios esenciales.

Desde el punto de vista organizativo, la protección general del avión de combate se basa en el entrelazamiento de tres pilares complementarios:

  1. la seguridad de las infraestructurasterrestres: es responsabilidad del director del emplazamiento y consiste en asegurar las bases, los aeropuertos, los centros de mando y otras estructuras militares (y civiles) esenciales para el funcionamiento operativo de los equipos militares;
  2. la seguridad de los sistemas de información y de las infraestructuras de red (ISS):a cargo del CISO, es tradicionalmente objeto de una carta de seguridad informática que regula los procesos de funcionamiento, los derechos de acceso y consulta de los empleados y personal militar y civil a los recursos digitales, etc.;
  3. la seguridad de los productos:es responsabilidad del director de seguridad de los productos (PSO) y se trata de todas las soluciones de hardware y software instaladas directamente en el producto en cuestión (en este caso, el avión de combate) para que cumpla las normas de seguridad exigidas.

En cuanto a los productos, Matthias Bertram menciona, a modo de ejemplo, el uso de cortafuegos que proporcionan «firmas, cifrado, acceso basado en roles, escáneres de virus o análisis en tiempo real de los sistemas en funcionamiento». Estas soluciones también deben estar concebidas para soportar condiciones físicas extremas (temperatura, presión, golpes, etc.), para seguir el dispositivo en sus diferentes entornos.

 

¿Y qué nos depara el futuro?

Los aviones militares deben concebirse ahora como cybersecured-by-design. Si este es el caso en el futuro, surge otra pregunta: ¿cómo mantener una protección adecuada durante todo el ciclo de vida del dispositivo? Un avión de combate tiene una vida media de 30 años. A la velocidad vertiginosa a la que evoluciona el mundo digital, las ciberamenazas del mañana serán drásticamente diferentes de las actuales. En respuesta a este problema, los fabricantes están añadiendo un servicio de mantenimiento de seguridad (o SAM) a sus servicios de mantenimiento operativo (MCO). «El MCO garantiza que la aeronave se mantenga en condiciones operativas durante todo su ciclo de vida», explica Christopher Cachelou. Al mismo tiempo, el SCM garantiza que la aeronave se mantenga en condiciones de seguridad durante la totalidad de su ciclo de vida. Garantiza que el dispositivo se actualice constantemente con los niveles de seguridad adecuados frente a los riesgos y amenazas ciber, que cambian constantemente». Por ejemplo, fue la adición de nuevas características digitales junto con la ausencia de actualizaciones de ciberseguridad lo que hizo hecho vulnerable al F-15 estadounidense.

 

Alain Mingam nos lleva un paso más en las perspectivas a futuro. Mientras actualmente se piensa en la ciberseguridad como un cúmulo de barreras destinadas a prohibir o frenar cualquier intento de ciberataque, los fabricantes y editores piensan en la reacción. «Estamos aplicando protecciones, pero ninguna protección es impenetrable, así que tenemos que pensar en algo más». ¿Qué pasaría si estas protecciones fueran capaces de reaccionar, de evolucionar para responder mejor a una ofensiva, o incluso de permitir al defensor contraatacar? «Nuestro componente de ciberdefensa se dedica a este reto, e inventamos arquitecturas compuestas por dispositivos de vigilancia y capacidades de reacción. Estamos avanzando hacia verdaderos procesos de defensa informática en tiempo real». En tiempos de guerra, la ciberseguridad ya no consiste en encajar los golpes, sino también en devolverlos.

Share on

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Se suele decir que el avión es el medio de transporte más seguro del mundo. Para garantizar que este dicho también aplica a la ciberseguridad, Stormshield respalda a la industria de la aviación con soluciones de confianza que satisfacen sus retos de protección para afrontar juntos las turbulencias ciber.
Acerca del autor
mm
Stéphane Prevost Product Marketing Manager, Stormshield

Tras más de 10 años de experiencia en informática e I+D, Stéphane se unió a Stormshield en 2008 como Product Manager. Con su doble competencia en ciberseguridad y marketing de productos, contribuye a la promoción de los productos Stormshield desde su puesto de Product Marketing Manager. Su curiosidad, creatividad y experiencia ayudan a popularizar y crear mensajes potentes sobre los productos de seguridad.