El pasado 3 de febrero el Coronel del Ejército del Aire en la reserva, Fernando Acero, CISO de Oesía mencionó esta casuística en la clase magistral que impartió sobre ciberseguridad aérea . Forma parte de del Máster en Ciberseguridad de Comillas ICAI, cuya matrícula ya está abierta para el curso 2022-23. No solo los alumnos, sino también invitados a este Ciberjueves de ICAI , pudieron seguir la exposición del Coronel en la reserva. Muchos de los asistentes se quedaron perplejos al tener noticia de los problemas que había originado a la aviación comercial recientemente un yate privado que tenía un sistema antidron basado en un equipo de yaming de 40 watios para evitar que los paparazzi le hagan fotos a la gente que está en el barco. Alguien lo activó, y la aviación de media Europa se quedó sin GPS. En marzo del 2021 el incidente fue tan grave que los aviones de Bélgica, Holanda y Francia estuvieron parados durante varias horas como se pude ver en la imagen bajo estas líneas.
Aunque pudiera parecer un sistema altamente sofisticado para los profanos, no lo es. Los inhibidores antipaparazzi generan una señal eletromagnética que los convierte en "perturbadores antipaparazzi para los que drones vuelan, con el fin de evitar que se acerquen a un barco". En este caso concreto lo activaron por error los responsables del equipo de mantenimiento de un yate. Como señaló Fernando Acero, el gran problema de esto es que alguien coge una radio de 40 watios, genera ruido en la banda correpondiente y te deja sin GPS. Y es un problema muy grave.
La venta de esta tecnología es legal y se anuncia en webs destinada a millonarios, ricos y famosos que quieran proteger su privacidad y seguridad. Afirman "que los sensores pueden detectar que alguien en las cercanías del yate se está preparando para usar un dron tan pronto como se enciende el dron. La tecnología de defensa puede notificar automáticamente al propietario, capitán, tripulación o equipo de seguridad a través de una notificación de alerta en un teléfono móvil, computadora portátil o cualquier otro dispositivo que es hora de cubrirse con una toalla, salir de su jacuzzi y moverse dentro del yate".
Diversos pilotos han estado reportando este tipo de incidentes "y esas incidencias electromagnéticas han continuado a pesar de los informes de los pilotos " como revela el gráfico inferior. . Y esto, añadió, tiene un "impacto clave en las nuevas capacidades basadas en estas tecnologías, porque si yo quiero usar el GPS en algo crítico, en relación con alguna fase del vuelo, en la fase de aterrizaje y demás, las nuevas tecnologías se convierten en una mala idea para la seguridad".
El desequilibrio entre Safety y Security
Añadió Fernando Acero que de por sí, ya hay una serie de problemas estructurales en el entorno aeronáutico: "Y uno de ellos es el desequilibro crónico entre Safety y Security, donde el Security queda por detrás del Safety. Puso un ejemplo: "Imaginaos que yo estoy desarrollando un software de gestión de vuelo y me encuentro con una librería que estoy usando y tiene un fallo y la tengo que actualizar porque tiene un fallo de seguridad. Pero tiene que pasar por todos los controles de safety que son carísimos, tengo que pasar por la homologación de la nueva librería. Y tiene que pasar un tiempo con lo cual es prácticamente inviable. Ese desequilibrio entre Safety y Security se encuentra en muchos entornos OT, en barcos, en trenes, en vehículos".
Fernando Acero recordó que tenemos una necesidad de ciberseguridad por exceso y por defecto, que hasta ahora no se estaba dando, y unas necesidades de estándares ciber para el entorno aeronáutico. Habló también de los ensamblajes, de la fabricación, de la complicación de la cadena de suministro, porque recordó que no es lo mismo un "ordenador que funciones con un sistema o con otro con determinado ciclo de vida, que los problemas qu plantea el ensamblaje frente a la fabricación". Y es que un avión moderno puede tener cien ordenadores de uso especifico, cajitas destinadas a controlar motores, hélices, combustibles y sistemas. Y ese problema de la security puede darnos algún susto".
También abordó el tema de la obsolescencia, "que es mejor evitar que gestionar, creando estrategias previas contra ella". Y es que tiene un efecto de arrastre, y "todos los que trabajamos con informática lo hemos visto, que tenemos que cambiar un sistema operativo porque ya nos caduca y de repente nos encontramos con que tenemos que cambiar el hardware".
La obsolescencia puede llegar por cualquier sitio:" por el software, por el hardware, por estándares, por algoritmos, sobre todo los de cifrado, que tienen un criptoperiodo muy determinado, los soportes de información, los protocolos de comunicación o las interfaces. El mantenimiento en el mundo del OT era preventivo o predictivo, la gente no se dedicaba al perceptivo, adaptativo, evolutivo... En un sistema que tiene que durar treinta años esto es crítico y hay que ver la manera de llegar a estos mantenimientos de una forma fiable y adecuada ".
También habló de la Estrategia de Seguridad Aeroespacial, que tiene aspectos muy interesantes, y recordó la importancia del software, responsable de muchos accidentes de aviación. Y habló de la importancia de la resistencia, la resiliencia, la redundancia. Lo más importante en opinión de Fernando Acero, una de las mayores autoridades en cibereseguridad mundial, es la resiliencia, y es, puso un ejemplo, que un sistema pueda funcionar lo mismo con Linux que con Windows .