El Departamento de Seguridad Nacional emitió una alerta de seguridad el martes para aviones pequeños, advirtiendo que los sistemas de vuelo modernos son vulnerables a la piratería si alguien logra obtener acceso físico a la aeronave.

Una alerta del equipo de respuesta a emergencias informáticas de infraestructura crítica del DHS recomienda que los propietarios de aviones se aseguren de restringir el acceso físico no autorizado a sus aviones hasta que la industria desarrolle salvaguardas para abordar el problema. que fue descubierto por una empresa de ciberseguridad con sede en Boston e informado al gobierno federal.

La mayoría de los aeropuertos cuentan con seguridad para restringir el acceso no autorizado y no hay evidencia de que alguien haya aprovechado la vulnerabilidad. Pero un funcionario del DHS dijo a The Associated Press que la agencia confirmó de forma independiente la falla de seguridad con socios externos y un laboratorio de investigación nacional. y decidió que era necesario emitir la advertencia.

La firma de ciberseguridad, Rapid7, encontró que un atacante podría potencialmente interrumpir los mensajes electrónicos transmitidos a través de la red de un avión pequeño, por ejemplo, conectando un pequeño dispositivo a su cableado, que afectaría a los sistemas de las aeronaves.

Lecturas del motor, datos de la brújula, la altitud y otras lecturas "podrían manipularse para proporcionar mediciones falsas al piloto, "según la alerta del DHS.

La advertencia refleja el hecho de que los sistemas de las aeronaves dependen cada vez más de los sistemas de comunicaciones en red, al igual que los coches modernos. La industria automotriz ya ha tomado medidas para abordar preocupaciones similares después de que los investigadores expusieron vulnerabilidades.

El informe Rapid7 se centró solo en aviones pequeños porque sus sistemas son más fáciles de adquirir para los investigadores. Los aviones grandes utilizan con frecuencia sistemas más complejos y deben cumplir requisitos de seguridad adicionales. La alerta DHS no se aplica a aviones pequeños más antiguos con sistemas de control mecánico.

Pero Patrick Kiley, El investigador principal de Rapid7 sobre el tema, dijo que un atacante podría aprovechar la vulnerabilidad con acceso a un avión o sin pasar por la seguridad del aeropuerto.

"Alguien con cinco minutos y un juego de ganzúas puede obtener acceso (o) hay un acceso fácil a través del compartimiento del motor, "Dijo Kiley.

Jeffrey Troy, presidente del Centro de Análisis e Intercambio de Información de Aviación, una organización industrial de información sobre ciberseguridad, dijo que existe la necesidad de mejorar la seguridad en los sistemas operativos en red, pero enfatizó que el hack depende de eludir los controles de seguridad física exigidos por la ley.

Con acceso, "tiene cientos de posibilidades de interrumpir cualquier sistema o parte de una aeronave, "Dijo Troy.

La Administración Federal de Aviación dijo en un comunicado que es poco probable un escenario en el que alguien tenga acceso físico sin restricciones, pero el informe también es "un recordatorio importante para permanecer alerta" sobre los procedimientos físicos y de seguridad cibernética de las aeronaves.

La ciberseguridad de la aviación ha sido un tema de creciente preocupación en todo el mundo.

En marzo, El inspector general del Departamento de Transporte de EE. UU. encontró que la FAA "no había completado una marco de política de estrategia para identificar y mitigar los riesgos de seguridad cibernética ". La FAA estuvo de acuerdo y dijo que buscaría tener un plan para fines de septiembre.

El organismo de la ONU para la aviación propuso su primera estrategia para proteger la aviación civil de los piratas informáticos que se espera que se presente ante la Asamblea General en septiembre. dijo Pete Cooper, ex piloto de jet rápido de la Royal Air Force y oficial de operaciones cibernéticas que asesora a la industria de la aviación.

El informe de divulgación de vulnerabilidades es el producto de casi dos años de trabajo de Rapid7. Después de que sus investigadores evaluaron la falla, la empresa alertó al DHS. La alerta del DHS del martes recomienda a los fabricantes revisar cómo implementan estos sistemas electrónicos abiertos conocidos como "bus CAN" para limitar la capacidad de un pirata informático para realizar tal ataque.

El bus CAN funciona como el sistema nervioso central de un avión pequeño. Apuntarlo podría permitir a un atacante secuestrar sigilosamente las lecturas de los instrumentos de un piloto o incluso tomar el control del avión. según el informe Rapid7 obtenido por AP.

"El bus CAN es completamente inseguro, "dijo Chris King, un experto en ciberseguridad que ha trabajado en análisis de vulnerabilidad de sistemas a gran escala. "Nunca fue diseñado para estar en un entorno de adversarios, (por lo que no hay) validación "de que lo que se le dice al sistema que haga provenga de una fuente legítima.

Hace solo unos años, la mayoría de los fabricantes de automóviles utilizaban el sistema de bus CAN abierto en sus automóviles. Pero después de que los investigadores demostraron públicamente cómo podían ser pirateados, los fabricantes de automóviles agregaron capas de seguridad, como poner funciones críticas en redes separadas a las que es más difícil acceder externamente.

La divulgación destaca problemas en las industrias automotriz y de aviación sobre si una vulnerabilidad de software debe tratarse como un defecto de seguridad, con su potencial de costosas retiradas del mercado y responsabilidad implícita, y qué responsabilidad deben tener los fabricantes para garantizar que sus productos estén reforzados contra tales ataques. La vulnerabilidad también destaca la realidad de que cada vez es más difícil separar la seguridad cibernética de la seguridad en general.

"Mucha gente de la aviación no ve la superposición entre la seguridad de la información, la seguridad cibernética, de un avión, y seguridad, "dijo Beau Woods, becario de innovación en seguridad cibernética del Atlantic Council, un grupo de expertos de Washington. "Los ven como cosas distintas".

El esquema de red de bus CAN se desarrolló en la década de 1980 y es extremadamente popular para su uso en barcos, drones astronave, aviones y automóviles:todas las áreas donde hay más interferencia de ruido y es ventajoso tener menos cableado. De hecho, se usa cada vez más en los aviones hoy en día debido a la facilidad y el costo de implementación, Dijo Kiley.

Dado que los aviones tienen un ciclo de fabricación más largo, "Lo que estamos tratando de hacer es salir adelante de esto".

El informe no mencionó a los proveedores que Rapid7 probó, pero la empresa los alertó hace más de un año, dice el informe.

© 2019 The Associated Press. Reservados todos los derechos.