Temas: Seguridad

Cuando viajamos en avión, además de los tediosos controles de seguridad a la hora de embarcar, en las maniobras de despegue y aterrizaje nos hacen apagar nuestros dispositivos electrónicos "para no interferir" los sistemas del avión. Cualquier avión dispone de sistemas electrónicos (conocidos como aviónica) y sistemas de transmisión por radio, computadoras embarcadas en el aparato que controlan todo lo que pasa a bordo y en los que no solemos pensar cuando realizamos un viaje pero ¿hasta qué punto estos sistemas pueden ser vulnerables? A esta pregunta ha respondido Hugo Teso, un experto en seguridad, que durante una conferencia impartida en el día de ayer asombró a los asistentes mostrando cómo era posible atacar los sistemas de un avión valiéndose, entre otras cosas, de un dispositivo Android.

Teso, que además de trabajar en el ámbito de la seguridad tiene también formación como piloto comercial, mostró a los asistentes a la Hack In The Box Conference de Amsterdam cómo podría ser posible interferir en los sistemas de un avión con tecnología que está alcance de nuestra mano y que, por ejemplo, podemos comprar a través de Internet. Dicho de otra forma, mostró cómo podría ser posible hackear un avión y controlarlo a distancia.

Teso se centró en dos de los sistemas que hay a bordo de cualquier avión, el ADS-B (Automatic Dependent Surveillance-Broadcast), un sistema que se encarga de emitir información sobre la identificación del avión, su posición o datos sobre su altitud para que los controladores aéreos mantengan localizados los aviones en el espacio aéreo y para que las aeronaves reciban por este canal información sobre el tráfico aéreo en la zona o la información climatológica. El otro sistema en el que se centró es el ACARS (Aircraft Communications Addressing and Reporting System) que es el sistema que utilizan los pilotos para intercambiar mensajes e información con otros aviones o con el control de tierra usando enlaces vía satélite o bien por ondas de radio.

¿Y qué fue lo que hizo? Según comentó este experto durante su ponencia, ambos sistemas son bastante vulnerables y, por tanto, susceptibles de ser atacados. Concretamente, se valió de la información del ADS-B (que es una señal de broadcast) para obtener información de aviones y, por tanto, seleccionar objetivos y, por otro lado, usó el ACARS para obtener información sobre el sistema del avión para aprovechar sus vulnerabilidades y enviar "mensajes malintencionados" que pudieran afectar al comportamiento del avión.

Teso desarrolló un framework que era capaz de insertar información en los planes de vuelo de la computadora de un supuesto avión (lo ha realizado sobre una maqueta) y desarrollando una aplicación Android que se apoyaba sobre este framework podía transformar un teléfono móvil o un tableta en una especie de "clon" del famoso Flight Simulator de Microsoft puesto que se podían visualizar parámetros de la aviónica del avión e, incluso, controlarlos a distancia.

Aprovechando la información de servicios como Flightradar24, que monitoriza la posición de los vuelos comerciales, esta aplicación Android era capaz de mostrar vuelos que estaban dentro del rango de influencia de este sistema de intercepción (algo que en un escenario real dependerá fuertemente de la estación emisora de broadcast que se utilice) y, sobre el vuelo seleccionado, obtener la información del plan de vuelo, su identificador unívoco y, en el caso de ser susceptible de poder atacarse, obtener una alerta que indique que se puede interferir en los sistemas del avión.

Laboratorio - cómo hackear un avión

¿Interferir en los sistemas? Aunque pueda sonar inquietante, este experto en seguridad mostró algunos de los detalles que podía hacer esta aplicación en su entorno de pruebas: cambiar el plan de vuelo, fijar condiciones de "disparo" para programar un evento cuando el avión sobrevuele una zona concreta, estrellar el avión, lanzar alarmas o aprovechar el acelerómetro del smartphone para transformarlos en los mandos y controlar el avión.

Es justo decir que todo lo que presentó es un trabajo de investigación y, por tanto, es una interesante llamada de atención a la industria aeronáutica puesto que Teso ha replicado el escenario real en una "maqueta de laboratorio" y ha trabajado sobre ésta, de hecho, todo el software que ha desarrollado funciona únicamente sobre la maqueta para que no pueda extrapolarse a un escenario real.

De todas formas, aunque todo este planteamiento sea bajo un escenario simulado, he de confesar que es bastante inquietante que los sistemas básicos de comunicación de los aviones puedan presentar vulnerabilidades que permitan ejercer, de manera remota, el control de un avión y, llevándolo al extremo, ponen sobre la mesa que muchas de las medidas de seguridad que se toman no sirven de mucho si la aviónica del avión es tan vulnerable y se sigue basando en estándares de comunicación fijados en la década de los años 70 aunque, eso sí, según comentó Teso este tipo de vulnerabilidades se producen en los casos en los que el avión vuela con el piloto automático.

Aún así, la presentación, en mi opinión, no tiene desperdicio alguno.