La falta de visibilidad en la superficie de ataque es uno de los grandes problemas para evitar los ciberataques tal y como muestran algunos estudios como como“Ciberseguridad en Tecnología Operativa: 7 perspectivas que necesitas conocer”, publicado por Tenable durante el 2019.

Si nos centramos en el sector aéreo, igual nos podemos imaginar las consecuencias que podría llegar a tener un ciberataque exitoso. Pero antes de mencionar los problemas principales que conllevaría, mencionemos algunos de los datos aportados por AENA con respecto al año 2018 y sólo y exclusivamente en el Aeropuerto Adolfo Suárez Madrid Barajas. 

  • El Aeropuerto de Madrid cerró 2018 con 57,8 millones de pasajeros, el mejor dato de su historia. 
  • De enero a diciembre de 2018 se registraron 409.832 operaciones y se transportaron 518.858 toneladas de carga, alrededor del 51% de toda la red.
  • En el mes de diciembre del 2018 el Aeropuerto Adolfo Suárez Madrid-Barajas registró 4.569.991 pasajeros (+7,5%), 33.050 operaciones (+5,6%) y 46.148 toneladas de mercancía (+9,5%)

Estas son algunas de las cifras que nos pueden hacer llegar a entender el caos que podría generar un ciberataque en un entorno como o sector como el aéreo: dejar de recibir vuelos, imposibilidad de realizar operaciones…o llegar incluso a afectar a un determinado vuelo. 

Ejemplos de ciberataques en el sector aéreo

¿Qué buscan los ciberdelincuentes? La principal motivación en cualquier sector es el móvil financiero. En este sentido, es remarcable la famosa frase que resuena en cada congreso de ciberseguridad a nivel mundial. «La seguridad o ciberseguridad plena no existe» y por muchas medidas que una empresa del sector que sea, integre, no estará protegida al 100%.  La incertidumbre aquí es y será indefinida.

Es por ello por lo que el sector aéreo a nivel mundial ya tiene experiencia en ciberataques y son varias las empresas y aeropuertos los que se han visto afectados. 

Quizás, un caso remarcable pues fue muy difundido en medios generalistas hace algo más de un año fue el de la aerolínea British Airways, la cual sufrió un ciberataque que afectó a los datos personales de más de 185.000 usuarios de la compañía que habrían realizado una compra con tarjeta de crédito durante un determinado periodo de ese año, según informaba el grupo International Airline Group (IAG), matriz de British Airways (BA).

Ese mismo año y en Reino Unido también, se hacía público el fallo de los monitores de una determinada terminal aérea, algo que se tradujo en la necesidad de que el personal del aeropuerto escribiera la información de los vuelos en hojas de papel. Confusión, caos y pérdidas de vuelos llegan a verse logrados tan solo apagando dichos monitores. 

Como estos dos ejemplos, podríamos mencionar muchos más, como los numerosos aeropuertos de EEUU que se han visto afectados por ciberataques provocando largas colas en las terminales por la imposibilidad de operar. 

Según el último informe mundial impulsado por SITA sobre las Perspectivas en Ciberseguridad del Transporte Aéreo de 2018, queda reflejado que las principales amenazas para la industria de la aviación son el ransomware y el phishing. 

¿Qué opinan los expertos? 

Tras ofrecer algunos datos de la relevancia hoy en día de la ciberseguridad en el sector aéreo, contemos con la perspectivas que nos puede aportar un profesional con gran experiencia en el sector aéreo y en ciberseguridad. En este caso, planteamos una serie de preguntas a Paco Marín, CISO de Volotea, aerolínea española. 

CyberSecurity News (CsN): ¿Cómo valora el incremento en la inversión en ciberseguridad por parte del sector aéreo en los últimos años? ¿Se ha convertido en un tema prioritario? 

Paco Marín (PM): Considero que es algo inevitable, especialmente a medida que aumenta la concienciación en materia de ciberseguridad en el entorno ATI (Air Transport Industry). Hay mucho trabajo por realizar y, como se suele decir, los ciberdelincuentes siempre van por delante. 

Creo que varios son los factores que están haciendo incrementar esta concienciación: 

  • El aumento de los ciberincidentes en el sector aéreo (tanto en aeropuertos como en aerolíneas de todo el planeta) con la consiguiente pérdida económica y reputacional que ellos conllevan. 
  • La entrada en vigor de nuevas reglamentaciones, como RGPD en materia de protección de datos, que traen consigo una serie de medidas a implementar en todas las organizaciones para así evitar, en la medida de lo posible, brechas de seguridad de datos personales que podrían acarrear importantes sanciones económicas por parte de las Autoridades. 
  • La alerta que emana desde diferentes fuentes autorizadas, como puede ser el World Economic Forum, donde en su último informe anual, Global Risks Report 2019, sitúa a los ciberataques como los riesgos más probables y de mayor impacto tan solo por detrás de los medioambientales. 

Estos factores concienciadores también están llegando a los Consejos de Administración de las organizaciones. Este hecho hace que empecemos a ver, con mayor asiduidad, un aumento en las inversiones de ciberseguridad promovidas por los propios directivos. 

Cuando asisto a ciertos eventos de ciberseguridad específicos del sector aéreo, percibo como la ciberseguridad y el presupuesto destinado a invertir en ella se está convirtiendo en un tema prioritario para muchas aerolíneas/aeropuertos. Creo que vamos por el buen camino pero, por supuesto, con margen de mejora por delante ya que las amenazas cambian constantemente y tenemos que protegernos de ellas en el menor tiempo posible para minimizar al máximo el tiempo de exposición. 

CsN:  Sabemos que el empleado de una compañía puede ser la puerta de entrada del ciberdelincuente. ¿Cómo se define una estrategia de concienciación en ciberseguridad para los empleados de una compañía aérea? 

PC: Como siempre se acostumbra a decir, y los datos así lo demuestran, el ser humano (en este caso el empleado) es el eslabón más débil de la cadena. Para poder mitigar ese riesgo inherente en el propio ser humano, creo que no hay mejor solución que diseñar un plan de concienciación continua en materia de ciberseguridad. Hay diferentes aproximaciones que se pueden realizar pero, en nuestro caso, optamos por trabajarlo con varias iniciativas complementarias entre sí. 

Desde un 1er momento, los nuevos empleados deben recibir una bienvenida al área de ciberseguridad donde se les expliquen las amenazas más comunes y cómo protegernos ante ellas. Posteriormente, y de forma recurrente, se realizan envíos de pequeñas píldoras haciendo foco en temas muy concretos y jornadas de concienciación tanto presenciales como on-line. Evidentemente, hay usuarios más críticos que otros en función de su poder decisional en la organización o de los datos que pueda manejar. Creo que esto último es muy importante tenerlo en cuenta a la hora de diseñar la estrategia a seguir. 

Por último, y no menos importante, debemos comprobar que nuestros empleados han entendido todo lo que les hemos ido explicando. Para ello, se realizan ejercicios simulados de ataques concretos para ver el grado de concienciación de nuestros empleados y, por consiguiente, tomar las medidas que estimemos oportunas para fortalecer aquellos equipos que consideremos necesario. 

CsN:  ¿Cómo ve el futuro de la ciberseguridad en un sector como el aéreo? 

Pregunta complicada de responder en un sector tan cambiante e intenso como es el aéreo. De todas maneras, haciendo una fusión entre realidad y optimismo, considero que nos encontraremos con un sector cada vez más presente en el punto de mira de los ciberdelincuentes pero que, en contrapartida, se encontrará cada vez más protegido debido al aumento considerable del presupuesto destinado a la ciberseguridad (palanca necesaria para incrementar nuestra seguridad). 

Por otro lado, IoT está consiguiendo que el número de dispositivos conectados a Internet sea cada vez mayor y el sector aéreo no va a ser menos. El alto número de iniciativas y proyectos IoT tanto para aeropuertos como para aerolíneas no hará sino multiplicar exponencialmente el número de dispositivos expuestos en la red sino se securizan de manera correcta. Este aspecto será, sin duda, todo un desafío para los departamentos de ciberseguridad de las compañías de esta industria. 

Otro factor importante a tener en cuenta será la falta de personal cualificado. De hecho, ya es un problema latente y, según el estudio de la consultora Frost & Sullivan, se estima que entre 1,5 y 2 millones de empleos de ciberseguridad estarán sin cubrir en 2022 en todo el mundo. Este dato se puede entender como algo negativo, que lo es, pero también como una oportunidad para todos los jóvenes indecisos que no tienen clara su carrera profesional. Desde aquí, les animo a que se acerquen a esta rama tecnológica y a las escuelas y universidades a que sigan promoviendo el estudio de la ciberseguridad. Concienciando desde los inicios conseguiremos un mundo más seguro. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba