Chris Roberts, experto en seguridad informática en aviones, estaba en un vuelo la semana pasada cuando se publicó un informe que decía que algunos aviones utilizaban la misma red para la conectividad WiFi que ofrecen a los pasajeros y para los sistemas de navegación del propio avión. "¿Deberíamos empezar a jugar con mensajes EICAS? PASS OXIGEN ON, ¿alguien?", twitteó a modo de broma en referencia a activar el sistema de mascarillas de oxígeno de la aeronave. El FBI no se lo tomó con tanto humor.
Además de haber retenido a Roberts durante varias horas y de habérsele prohibido volar con dicha aerolínea en el futuro por "manipular los sistemas de la aeronave durante el vuelo", el FBI ha decidido emitir una alerta dirigida a las aerolíneas en la que les pide que estén atentas a cualquier comportamiento sospechoso, especialmente refiriéndose a los pasajeros que intenten conectar cables al sistema IFE o a partes "no usuales" de su asiento.
Find myself on a 737/800, lets see Box-IFE-ICE-SATCOM, ? Shall we start playing with EICAS messages? "PASS OXYGEN ON" Anyone ? :)
— Chris Roberts (@Sidragon1) abril 15, 2015
En la advertencia piden también que se comprueben que las cubiertas de algunos puertos de conexión no han sido forzadas y que también se deben revisar los logs de la red de la aeronave para detectar actividad sospechosa. ¿Significa esto que los sistemas son hackeables? Según el FBI, no está demostrado. "Aunque lo que aseguran los medios es teórico y no se ha demostrado, la publicidad mediática asociada con estos casos pueden animar a otros a utilizar los métodos para intrusión descritos. Intentar conseguir acceso no autorizado a las redes de un avión comercial es un delito federal", explican desde la agencia.
Las advertencias de Roberts
Volviendo a Chris Roberts, se da la casualidad (o no) de que durante años ha estado investigando la seguridad de las redes de algunos aviones y aerolíneas. Reconoce haberse conectado y haber monitorizado el tráfico en el pasado con el fin de descubrir vulnerabilidades, aunque asegura que no hizo nada de eso en el vuelo tras el cual fue retenido por el FBI. ¿Por qué envió dicho tweet entonces? En declaraciones a Wired, asegura estar harto de alertar de posibles fallos de seguridad a las aerolíneas sin que éstas hagan nada al respecto.
En otra entrevista, Roberts asegura que hace unos cuatro meses llegó a reunirse con el FBI por petición de la agencia. Allí les explicó que no sólo fue capaz de monitorizar el tráfico relacionado a la red WiFi para los pasajeros, sino que también inspeccionó paquetes de información procedentes del sistema de combustible y del sistema de propulsión del avión. Eso sí, insiste en que nunca llegó a actuar sobre los mismos en los aviones reales, aunque en simulaciones dice haber sido capaz de modificar el modo "crucero" de los motores y cambiarlo por el modo "ascenso".
"Si no quieren que la gente como yo investigue y dé la alerta de vulnerabilidades del sistema, nos enteraremos de que existen dichas vulnerabilidades de la peor forma en cuanto ocurra un ataque", dice Roberts
Poco después de que Chris Roberts ofreciera dichas entrevistas, la Government Accountability Office de Estados Unidos emitía un informe en el que aseguraba que, si bien la Federal Aviation Administration (FAA) lleva desde enero trabajando en "proteger los sistemas de control de tráfico aéreo (ATC) de las ciberamenazas", todavía necesitan profundizar más en este asunto ya que cada vez son más los aviones que ofrecen Internet y, por tanto, se pueden incrementar las potenciales intrusiones.
Aunque todavía no parece haberse dado ningún caso real de ataque a un avión utilizando este método, en 2008 la propia FAA emitió una alerta al considerar que el diseño del sistema digital del Boeing 787 Dreamliner era vulnerable a los ataques. Para algunos expertos, los sistemas de control están lo suficientemente compartimentados y separados con cortafuegos del resto de la red del avión como para estar expuestos a hackers.
Para otros, como Roberts, no es suficiente y el hecho de que las aerolíneas quieran silenciar esto, según sus acusaciones, es perjudicial para ellas mismas. Brad Haines, otro investigador del sector, se quejaba de esto mismo: "la mayoría de nuestras investigaciones no pueden ir más lejos porque no queremos causar problemas, pero todas las pruebas apuntan a que hay muchos problemas que no están siendo solucionados".
Imagen | Williamson
En Xataka | Internet en los aviones: iniciamos la conquista del espacio para cosas como éstas
Ver 8 comentarios