Un ciberataque dañó el sistema de facturación en los aeropuertos de Bruselas (Bélgica), Berlín (Alemania) y Londres (Reino Unido) el pasado viernes 19 de septiembre, sumiendo el fin de semana en el caos, con retrasos y cancelaciones de vuelos, también en otros puntos de Europa, incluida España.
Este ataque, cuya autoría aún se desconoce, fue dirigido contra los sistemas del proveedor de servicios de facturación y embarque, Collins Aerospace, una compañía estadounidense especializada en el sector aeroespacial y de defensa.
Collins Aerospace, a través de un comunicado, confirmó que el objetivo específico fue su software Muse, empleado por diferentes aerolíneas para utilizar los mostradores de facturación y puertas de embarque en diversos aeropuertos de todo el mundo.
A consecuencia del ciberataque, las operaciones de facturación y embarque se realizaron manualmente, es decir, con papel y bolígrafo, lo que generó largas colas; además de la cancelación y el retraso de numerosos vuelos.
En España no se produjeron incidencias directas, pero sí afectaron a los vuelos con destino u origen en los aeropuertos impactados. Un ataque que muestra cómo los ciberdelincuentes son capaces de paralizarlo todo y dejar a pasajeros varados, con "la idea de generar el caos", como apuntan expertos en ciberseguridad a EL ESPAÑOL - Omicrono.
"Generar el caos"
El momento del ciberataque no es casual, ya que muchos de estos ocurren en fines de semana o festivos, cuando los equipos de tecnología de la información (TI) y de seguridad son más reducidos y los tiempos de respuesta más lentos.
Esto permite a los cibercriminales maximizar las probabilidades de causar un caos prolongado. En el caso de la incidencia sucedida en aeropuertos europeos, por el momento se ignora el origen del hackeo, ya que aún no ha sido reivindicado.
Vuelos cancelados en el aeropuerto de Bruselas.
"Ahora mismo se está investigando. No se sabe quién ha sido, ni cómo ha entrado en el sistema ni por qué, lo que hace que todas las hipótesis estén abiertas. Lo interesante es que todavía nadie se ha atribuido el ataque, cuando lo normal es que los propios hackers lo hagan público", señala Rafael López, ingeniero de seguridad de Check Point Software, a este periódico.
Se sabe que los ciberdelincuentes "han atacado el sistema Muse de Collins Aerospace, un software con el que se hacen las operaciones de check-in y de facturación, entre otras". Y al dejarlo inutilizado, "desatas el caos al verte obligado a realizar todo esto a mano".
López explica que cuando los hackers atacan un software específico, "lo normal es que hayan encontrado una vulnerabilidad que permite explotarla y dejar inoperativo el sistema" y asegura que en este caso "todas las hipótesis están abiertas al no contar con información sobre el ataque".
En la misma dirección apunta Hervé Lambert, Global Consumer Operation Manager de Panda Security, quien señala a este periódico que "hay bastantes cosas en el aire" y resalta que es importante conocer que Collins Aerospace "también es proveedor de productos aeroespaciales y de Defensa".
Vuelos cancelados, colas y confusión en el aeropuerto de Bruselas tras el ciberataque.
Un dato que "es clave, ya que puede haber otro tipo de intenciones más allá de la de pedir un rescate a cambio de bloquear unos sistemas informáticos". Es decir, detrás de este incidente "podría haber perfectamente un contexto de interés geopolítico por parte de alguien".
A este objetivo se le podrían añadir otros que darían respuesta al ciberataque, como "pedir dinero como rescate", que suele ser una motivación del cibercrimen —que todavía no se ha pedido—, o "vender información al mejor postor", según indica Lambert.
"El objetivo depende mucho de la motivación de los ciberdelincuentes", añade Rafael López. "Puede ser un acto de terrorismo, un acto deliberado de hacktivismo —aunque estos también suelen publicar para poder decir que han sido ellos—, pueden ser muchas cosas...".
"En este caso la motivación nos dice mucho el objetivo: el objetivo no es solo parar las operaciones, sino generar el caos. Que no se pueda operar", según López; quien señala igualmente que "el hecho de poder acceder a una infraestructura crítica y paralizar las operaciones también es un objetivo psicológico para demostrar hasta dónde los hackers son capaces de llegar".
Pasajeros en una cola del aeropuerto de Heathrow.
Los dos expertos destacan que "en principio la misión era paralizar los aeropuertos", que son infraestructuras críticas en todos los países del mundo, y descartan, por el momento, la filtración de datos de pasajeros, ya que "para eso tendría sentido atacar a las aerolíneas y empresas que emiten los billetes".
"España no es inmune"
Aunque España se libró del ciberataque y del caos, "ya que no usa el software Muse", los expertos advierten que le puede llegar a pasar porque "todos los sistemas tienen vulnerabilidad. No son seguros al 100%. Lo que hay que estar es preparado para que, cuando suceda, poder recuperarse lo más rápido posible".
"Al no usar ese software, España no se ha visto afectada directamente, pero sí indirectamente debido a ese efecto dominó de retrasos y cancelaciones de vuelos. En España no suele haber demasiada información sobre qué tipo de software usan las aerolíneas y el aeropuerto", indica Rafael López.
El experto aclara que "eso no es malo, todo lo contrario. Me parece muy bien que en una infraestructura crítica nadie sepa qué sistemas tienes ni quién lo protege". Lambert, por su parte, considera que España "no es inmune" y que "ha tenido un poco de suerte al no usar este software".
Una cola de pasajeros en el aeropuerto de Heathrow.
Aunque destaca que "si un ataque tumba al servicio del proveedor que está desplegado en un aeropuerto español, nos tocaría sin ninguna duda, de ahí que hayamos tenido suerte en esta ocasión. Nadie dice que en otro momento no nos vaya a pasar, aunque AENA ha dicho que de momento todo opera con normalidad en el país".
A la hora de solucionar un inconveniente de este tipo, Rafael López indica que "un ciberataque es como un fuego en el monte, para que se entienda. No se sabe cuánto tiempo vas a tardar en apagarlo cuando entras en él porque no sabes hacia dónde va ese fuego ni dónde han accedido los equipos de respuesta".
Lo primero que se debe hacer "es tratar de mitigar el ataque y, luego, intentar recuperar el sistema que ha sido comprometido. Es un trabajo prácticamente de cirujano en el que hay que ir acotándolo paso por paso y dependiendo de la gravedad se pueden tardar horas, días o meses en solucionar".
Hervé Lambert, por su parte, explica que "este tipo de ataques a empresas tan importantes y grandes son muy complejos de descifrar en muy poco tiempo. Hay que descifrar todas las migas de pan que se van encontrando, ya que normalmente eso no lo hacen los típicos estafadores de poca monta".
Una pantalla del Heathrow mostrando vuelos cancelados.
Al contrario, "son grupos de ciberdelitos súper organizados que hacen las cosas muy bien y que saben esconder muy bien sus pasos". Lambert vuelve a destacar que "tumbar una infraestructura de un país puede ser muy interesante a nivel geopolítico por diferentes motivos, como crear un poco de caos por crear".
"Los ciudadanos se enfadan con el gobierno y con las empresas que gestionan sus viajes. Y eso puede ser muy destacable a nivel geopolítico", añade el experto; quien concluye señalando que "la tecnología es fantástica, pero hay que prevenir unos riesgos y tener una respuesta hacia ellos".