Encuentran 700 grandes agujeros de seguridad en los sistemas de tráfico aéreo
Un fallo en los sistemas de control del tráfico aéreo les hace susceptibles a ciberataques.
Una auditoría llevada a cabo en Estados Unidos ha detectado más de 760 vulnerabilidades de alto riesgo en aplicaciones Web utilizadas en las operaciones del ATC (Air Traffic Control), el sistema de control aéreo empleado en el país. Dichas brechas proporcionan a los atacantes un modo para acceder no sólo a los servidores Web sino a otros sistemas de back-end críticos, según el informe del Departamento de Transporte de Estados Unidos.
El estudio, llevado a cabo por la firma KPMG, se centra en los controles de seguridad de las aplicaciones web y en las capacidades de detección de intrusiones de los sistemas de control de tráfico aéreo. Se identificaron más de 3.859 vulnerabilidades en 70 aplicaciones web, la mitad de las cuales son de uso público, como las utilizadas para difundir información general a través de Internet o para dar las frecuencias de radio utilizadas por pilotos y controladores para comunicarse. Más de 760 vulnerabilidades se identificaron como de alto riesgo, ya que podrían dar acceso a datos y permitir a los hackers ejecutar de forma remota código malicioso o comandos en los sistemas críticos.
Unas 500 vulnerabilidades de las brechas detectadas se clasificaron como de riesgo medio y el resto, como bajo. Según la oficina del inspector general del Departamento de Tráfico de Estados Unidos, las vulnerabilidades de riesgo medio o bajo podrían permitir a los delincuentes recopilar, por ejemplo, datos de configuración de la redo el sistema que posteriormente podrían utilizarse para idear un ataque.
Durante el estudio, los ingenieros obtuvieron acceso sin autorización a varios sistemas de aplicaciones web. En uno de los casos, uno de ellos fue capaz de entrar en el código fuente del programa y otra información almacenada en el servidor de la aplicación web que gestiona el flujo de tráfico de los aviones. En otro momento, los fallos de seguridad de las aplicaciones web permitieron al personal de KPMG acceder a sistemas de monitorización de energía críticos de los centros ATC de Boston, Anchorage, Denver y otras tres ciudades. El acceso les permitió generar informes sobre las condiciones eléctricas que podrían haber sido empleados para planificar un asalto a estas instalaciones.
Los auditores de seguridad también encontraron que una gran parte de las instalaciones de la ATC tiene insuficientes controles para detectar y monitorizar intrusiones de seguridad. Tan sólo se encontraron las capacidades de detección adecuadas en once.
El hecho de haber encontrado vulnerabilidades es bastante significativo porque la Administración Federal de Aviación (FAA, por sus siglas en inglés) ha empezado a utilizar cada vez más software comercial y tecnologías basadas en IP para modernizar los sistemas ATC. Dicha tecnología “supone inevitablemente un mayor riesgo de seguridad para los sistemas ATC que cuando estaban diseñados principalmente con software propietario”, se reconoce en el informe.
