Las aerolíneas se convierten en un objetivo prioritario de los piratas informáticos

IAG, la matriz de Iberia, ha reconocido el elevado riesgo que supone para sus operaciones y su reputación, el aumento de “la frecuencia, naturaleza y sofisticación de los ataques informáticos”, según consta en su memoria anual de actividad 2018. En su sección de riesgos de 2019, el holding aéreo incluye a la actividad de los ‘hackers’ como uno de sus principales peligros, por encima incluso de las consecuencias del Brexit. IAG ya informó el pasado 6 de septiembre a la CNMV que su subsidiaria británica, British Airways, había sufrido una sustracción de datos de sus clientes desde la página web de la aerolínea , ba.com, y desde su aplicación móvil, un ataque que dejó al descubierto la información personal y financiera de clientes y que afectó a 244.000 datos de tarjetas, de los 380.000 identificados inicialmente . A pesar de los esfuerzos por garantizar la seguridad de los dados de los usuarios, el holding reconoce la dificultad de evitar que los hackers vayan por delante y la posibilidad de que compañías como Iberia se enfrenten por este motivo a pérdidas financieras, indemnizaciones a los afectados, suspensión de las operaciones o menoscabo de la reputación de sus marcas.

Según explican las empresas de seguridad presentes en la ITB, los hackers pueden aprovecharse de las debilidades de otras organizaciones con las que trabajan las empresas aeronáuticas, como agencias de viajes, portales en internet o proveedores. Lo más frecuente es que estas firmas no estén suficientemente preparadas para afrontar la amenaza con garantías de éxito. Tanto delincuentes como agentes al servicio de gobiernos como el ruso, el chino o el norcoreano están llevando numerosos movimientos en esta dirección. El departamento de seguridad nacional de Estados Unidos y el FBI han constatado en los últimos años que piratas a las órdenes del gobierno de Vladimir Putin se habían infiltrado en la red eléctrica nacional y en el sistema de comunicaciones de la aviación , acumulando gran cantidad de información. Pero mientras los sistemas de alarma de las grandes infraestructuras se han ido robusteciendo a medida que era percibido el creciente peligro, no sucede lo mismo con terceros: proveedores y técnicos de mantenimiento, reparación o revisión (MRO) y las bandas criminales se sirven de los extremos más vulnerables del sistema en esas áreas adyacentes, como las contraseñas o los correos electrónicos. Según el estudio de Oliver Wyamn, menos de la mitad de los directivos de empresas MRO llevaron a cabo comprobaciones de seguridad informática en 2017 y solo el 9% de los proveedores independientes han establecido estándares para desarrollar su actividad con unas mínimas garantías.

La proporción de aerolíneas que ha adoptado filtros y barreras actualizados es de apenas el 41%, y no supera el 50% entre los fabricantes de motores y otros componentes. La falta de inversión en ciberseguridad crea un campo abonado para los ataques y la agencia de seguridad Wandera advierte que los sistemas de billetes electrónicos de aerolíneas como Vueling, sin encriptación para sus enlaces , pueden permitir a hackers que están en la misma red del usuario, por ejemplo la red pública de Wi-Fi del aeropuerto, tener acceso para ver, y en algunos casos incluso cambiar, los detalles de reservas de vuelo o tarjetas de embarque. Pero los riesgos potenciales asociados con esta falla van más allá de simples datos básicos. Los hackers pueden acceder a toda la información de identificación personal asociada a la reserva del vuelo, que incluye el nombre del pasajero y su correo electrónico, e incluso el número del documento de identidad requerido por las aerolíneas y su fecha de vencimiento.

Así sucedió el pasado mes de octubre, cuando una de las principales aerolíneas de Asia reconoció una filtración de datos en la que la información personal de más de 9 millones de pasajeros fue interceptada . Cathay Pacific dejó expuesto un amplio rango de datos, desde los nombres de los pasajeros, fechas de nacimiento y números telefónicos hasta direcciones de correo electrónico y números de pasaportes. “Se trata de un nuevo nivel de amenaza ante el que estamos reaccionando todo lo rápido que podemos”, dijo el director ejecutivo de Cathay, Rupert Hogg. La aerolínea con sede en Hong Kong ha incluido en sus previsiones anuales una nueva partida de indemnizaciones por el concepto de interceptación de datos cuya cuantía, admiten sus directivos, resulta todavía muy difícil de valorar.