¿Extorsión económica o pulso geopolítico? El transporte aéreo se vuelve vulnerable

El tráfico aéreo europeo se vio afectado este fin de semana por culpa de un ciberataque que afectó a los sistemas de check-in y de embarque en los aeropuertos de Bruselas, Berlín, Heathrow (Londres) y Dublín. Algunas autoridades, como las belgas, así como la Agencia de la UE para la Ciberseguridad (ENISA), han calificado el incidente como un ciberataque del tipo ransomware, un programa malicioso que encripta y bloquea los sistemas hasta que se paga un rescate. Pero, a diferencia de lo que suele suceder en este tipo de ataques, ni se ha identificado su autoría, ni ha sido reivindicada por ningún grupo de ciberdelincuentes, lo que eleva las sospechas de que el golpe cuente con patrocinio de un actor estatal.

Resulta complicado no inscribir estos hechos en una secuencia más larga que arrancó el pasado 31 de agosto, cuando el avión en el que viajaba la presidenta de la Comisión Europea, Ursula von der Leyen, tuvo que aterrizar tras sufrir interferencias en el sistema de GPS. La Comisión dijo al día siguiente que todas las sospechas conducían a Moscú. Este mismo miércoles, el avión en el que viajaba la ministra de Defensa, Margarita Robles, sufrió un intento de perturbación del GPS cuando sobrevolaba el enclave ruso de Kaliningrado en su viaje a Lituania.

El 10 de septiembre, Polonia derribó varios aparatos no tripulados que sobrevolaban su espacio aéreo durante un bombardeo ruso contra Ucrania. El viernes pasado, Polonia y Estonia denunciaron que cazas rusos violaron sus respectivos espacios aéreos. Esa misma noche, empezaron los problemas en los aeropuertos europeos, que han estado el fin de semana sufriendo las consecuencias. Este lunes, los aeropuertos de Copenhague y Oslo tuvieron que cerrar temporalmente tras avistarse drones en las proximidades de las instalaciones. La primera ministra danesa, Mette Frederiksen, ha tildado el acontecimiento como “el ataque más grave a la infraestructura crítica danesa hasta la fecha”.

Además de este contexto, lo que se sabe por el momento sobre el ciberataque del día 20 cuadra poco con el comportamiento común de las bandas de ciberdelincuentes. Así lo considera Eusebio Nieva, director técnico de Check Point para España y Portugal. “Nadie ha reclamado la autoría del ransomware, cuando suele ser lo habitual”, subraya. Los grupos de cibercriminales suelen publicar dónde han atacado y cómo, en parte para darse fama en la comunidad hacker de cara a posteriores ataques. “Muchos grupos incluso difunden listados de empresas comprometidas en portales de la dark web que funcionan como vitrinas o casas de subasta criminal, donde exhiben los datos robados para presionar a las víctimas”, añade Santiago Pontiroli, investigador principal de seguridad de Acronis. “Tampoco se sabe cuánto dinero se ha reclamado, ni por qué medios, ni cómo se llama el ataque [todos los programas maliciosos son bautizados por sus autores]. Hay demasiadas incógnitas. La filtración de datos está siendo demasiado oscura”, apunta Nieva.

El incidente ha demostrado la vulnerabilidad de la cadena de suministro tecnológica, que en la práctica depende de un puñado de empresas presentes en todos los mercados. Y eso añade otra derivada. “El hecho de que el ciberataque se haya dirigido a un solo proveedor de software [Collins Aerospace, responsable del programa de embarque y check-in MUSE] sugiere que los atacantes buscaban un punto de impacto centralizado para afectar muchos aeropuertos al mismo tiempo, lo que, a su vez, indica un ataque planificado, con motivación de sabotaje, alejando la hipótesis de un objetivo principal de robo de datos”, opina Hervé Lambert, director de operaciones globales de Panda Security. “Tampoco se puede descartar que el objetivo no sea estrictamente económico, sino generar disrupción o inestabilidad en sectores estratégicos, lo que complica aún más la atribución”, señala Pontiroli.

La escurridiza arena cibernética

No hay pruebas de que haya algún país detrás del ciberataque. Debido a las complejidades de la arena cibernética, en la que es sencillo encubrir los actos de cualquier actor bajo capas y capas de opacidad (como recurriendo a routers externos), los análisis forenses pueden llevar meses o años. Precisamente por eso, se trata de un entorno ideal para realizar operaciones de bandera falsa, las que están apoyadas por un Estado, pero aparentemente no tienen vinculación oficial con este.

Aunque ninguno lo reconoce, muchos países financian y apoyan a grupos de hackers de élite, conocidos como APT (de las siglas en inglés de amenazas avanzadas persistentes), que funcionan al margen de las estructuras estatales. Se trata de equipos muy bien organizados y financiados que disponen de profesionales de primer nivel. Las APT son capaces de realizar ataques muy sofisticados, equiparables a los de los servicios secretos de las grandes potencias. Con una diferencia: actúan, supuestamente, sin bandera. Suelen dedicarse al espionaje industrial, el sabotaje o la obtención de documentos militares o de valor estratégico.

Los grupos vinculados al Kremlin ya han demostrado en otras ocasiones de lo que son capaces. La CIA y varias firmas de ciberseguridad creen que fueron algunas de estas organizaciones las que lanzaron en 2017 el ransomware NotPetya, uno de los más potentes de la historia. Inicialmente dirigido a empresas e instituciones públicas ucranias, esta ciberarma tenía la apariencia de un ransomware, pero pronto se vio que no daba opción a rescate alguno: directamente destruía información. Se acabó extendiendo por buena parte del mundo, con al menos 300.000 equipos afectados.

Más recientemente, el ataque de 2021 contra Colonial Pipeline en Estados Unidos, que paralizó el suministro de combustible en la Costa Este, fue inicialmente atribuido a un ransomware que tampoco se reivindicó. Días después se confirmó que había sido obra de DarkSide, un grupo de cibercriminales asociado a Moscú.

¿Están en peligro los aeropuertos?

El sector del transporte y la logística se encuentra entre las 10 industrias más atacadas del mundo. Cada empresa se enfrenta a una media de 1.143 ciberataques semanales, un 5% más que el año pasado, según datos de Check Point. El uso de ransomware, el tipo de software malicioso supuestamente empleado en el incidente de este fin de semana, creció un 126% en el segundo trimestre respecto al mismo periodo del año pasado, destaca un informe de la firma de ciberseguridad.

¿Corre peligro el transporte aéreo en Europa? No debería. “Los aeropuertos son considerados infraestructuras críticas, y están sometidos a unos controles y medidas de seguridad muy fuertes. Las empresas que prestan servicio a estas infraestructuras deberían estarlo también”, dice Marc Rivero, investigador jefe de seguridad de Kaspersky. “Los aeropuertos no son un objetivo sencillo para los ciberdelincuentes, pero sí muy atractivo, porque unas horas de caída generan grandes problemas y porque hay ciertas capas de esa infraestructura que dependen de proveedores comunes”, explica Lambert. Es ahí donde se ha atacado en esta ocasión y donde se deben reforzar las defensas.

En cuanto a la seguridad de los vuelos propiamente dichos, ahí es más difícil que ocurra algo al tratarse de un dominio altamente regulado. Las interferencias en el GPS de los aviones de Von der Leyen o Robles simplemente forzaron a los pilotos a cambiar de sistema de navegación. Ese es todo el daño que se puede hacer, por el momento, en remoto y sin contacto físico.