Aeropuerto Adolfo Suárez Madrid-Barajas
En 2024, Europa experimentó un aumento del 7,4% en el tráfico de pasajeros aéreos, alcanzando 2.500 millones de viajeros, según el Consejo Internacional de Aeropuertos (ACI). Para hacernos una idea, esta cifra representa un 1,8% más que el nivel prepandemia, lo cual sirve de recordatorio sobre la importancia de la aviación comercial no solo para España, sino para el conjunto de la UE. Pero, sobre todo, nos habla de los aeropuertos se han convertido en uno de los engranajes más críticos de nuestro mundo globalizado.
Y, como todos los sistemas críticos, su caída puede provocar efectos en cadena, imprevisibles e inmanejables. Eso es precisamente lo que están buscando hoy los ciberatacantes. Ya no se trata de obtener información o secuestrar datos; se trata de generar caos.
El reciente ciberataque a Collins Aerospace, proveedor del software MUSE de gestión aeroportuaria, ha vuelto a poner sobre la mesa esta amenaza. Sin embargo, no se trata de un caso aislado.
El pasado julio, el colapso en el control de pasaportes de Barajas demostró que ni siquiera hace falta un ataque para que un fallo deje al descubierto las vulnerabilidades del sistema. En cualquier caso, cuando el ataque ocurre (y ocurre cada vez con más frecuencia) las consecuencias pueden ser devastadoras.
Y es que los aeropuertos no solo gestionan aviones: también gestionan identidades, datos sensibles, flujos logísticos, emergencias y procesos binacionales. Son, en definitiva, una joya para los ciberdelincuentes.
Y sin embargo, no estamos preparados. O al menos, no lo suficiente. Según el informe State of Cybersecurity 2024 de ISACA, el 62% de las organizaciones a escala global carece de profesionales suficientes en ciberseguridad. Un 36% reconoce que los equipos existentes no están debidamente cualificados.
Y lo que es peor: en sectores como el aeroespacial, la formación continua y certificada sigue siendo una asignatura pendiente.
La Directiva NIS2, en vigor desde este año, reconoce la importancia crítica del sector del transporte aéreo. Esto implica, entre otras cosas, que en la industria existen una serie de normas a seguir para garantizar que se cumplen con los estándares de ciberseguridad para evitar problemas en el servicio o la gestión de datos a gran escala.
Pero no se trata solo de imponer obligaciones legales, sino de sentar las bases para una verdadera cultura de la ciberresiliencia. Por eso, es imprescindible designar responsables claros de ciberseguridad, mapear riesgos y controles (incluida la cadena de suministro), implantar planes de gestión y un sistema de notificación de incidentes, así como establecer programas de formación acreditada y auditar los sistemas periódicamente.
Lo que está en juego no es solo la seguridad digital, sino la confianza de los pasajeros, la reputación de las compañías y la estabilidad de los sistemas de transporte. Algo que un país como España resulta imprescindible para seguir atrayendo al turismo extranjero, que ya sumó el año pasado más de 100 millones de pasajeros internacionales (el mayor dato de la historia).
Algo que debería animar, sin duda, a ser un sector puntero en ciberseguridad... especialmente porque la industria de la aviación ha liderado históricamente la innovación tecnológica. Es hora de que también lidere la transformación hacia una gobernanza más segura y resiliente.
Lo que está claro es que los aeropuertos no pueden permitirse la improvisación. Cada fallo, cada vulnerabilidad y cada ataque debería servirnos como recordatorio de que la mejor defensa es la anticipación.
Y para anticiparse, hay que estar formados, certificados y alineados con los estándares que exige un mundo hiperconectado. Porque la próxima gran crisis cibernética del transporte aéreo no es una posibilidad remota. Es una amenaza inminente. Y ante ella, no podemos mirar hacia otro lado. Hay que actuar. Ahora.
***Chris Dimitriadis es director de Estrategia Global de ISACA.