En 2023, el sector del transporte fue víctima de hasta un 17% del total de los ataques DDoS, según registró el informe anual Threat Intelligence de TEHTRIS. Estos puntos de concentración son críticos para las regiones que los albergan. De hecho, los aeropuertos se han convertido en un objetivo prioritario en Europa desde que comenzó la guerra en Ucrania con más de 30 aeropuertos como víctimas de ataques DDoS. La invasión rusa de Ucrania ha monopolizado e influido significativamente en los DDoS como nunca. Sin embargo, mientras que los últimos resultados anuales del informe de Domo revelaron una asombrosa tasa de 30 ataques DDoS por minuto, estos se están convirtiendo cada vez más en una táctica de distracción que precede a ataques de mayor impacto, que continúan creciendo en tamaño y complejidad.
Los ciberataques a las instalaciones aeroportuarias continúan al alza
Como la disponibilidad del transporte es crítica, se han convertido en objetivos privilegiados, expuestos a numerosas amenazas avanzadas (terrorismo, espionaje, sabotaje, presiones diplomáticas...). En el primer semestre de 2023, los ciberataques dirigidos al sector de la aviación aumentaron un 24% a nivel global, una tendencia continúa acelerándose en 2024 a medida que incrementan las superficies de ataque y se sofistican las amenazas, advierten los expertos en ciberseguridad de TEHTRIS han analizado en profundidad. Por ejemplo, los sistemas de clasificación de equipajes analizan todas las maletas y paquetes antes de cargarlos en la bodega en base a unos sistemas de eficacia probada y sujetos a certificaciones específicas. Un tercero malintencionado, tomando el control a distancia de este tipo de dispositivos, podría modificar las matrices de análisis para que dejen de detectarse los equipajes peligrosos. Una vez logrado el compromiso, el atacante puede simplemente facturar su equipaje, que pasa los filtros de seguridad y sube al avión.
Otro caso son los ataques informáticos a los sistemas de iluminación de pistas enteras que guían a las aeronaves durante la fase de aproximación y en tierra. Al lograr acceso a estos sistemas, un tercero malintencionado podría modificar potencialmente las fases de visualización de las barras de parada y provocar colisiones entre varias aeronaves. En la fase nocturna, también pueden realizarse extinciones intempestivas y perturbar gravemente todos los planes de vuelo.
Los sistemas de protección por vídeo, que son obligatorios en la zona de embarque y permiten investigar rápidamente después de que se produzca un incidente y evaluar las situaciones de forma amplia, también son víctimas de los cibercriminales. En caso de un ataque avanzado y coordinado a una zona aeroportuaria, una toma de control por control remoto permite a los atacantes aprovecharse de la policía eliminando su capacidad de vuelo y no permitiendo así el acceso a la zona de embarque. Además, el borrado de datos por parte de estos atacantes puede complicar enormemente la investigación.
Por último, los sistemas de visualización a distancia, ubicados en el corazón de las operaciones aeroportuarias, proporcionan la información de seguimiento necesaria para todos los pasajeros que transitan por las terminales: puertas de embarque y facturación, números de vuelo, posibles retrasos, etc. Un compromiso de este tipo de sistemas permite a un atacante influir directamente en el comportamiento de los presentes en el lugar: desorganización, mensajes de propaganda, pánico, etc.
Cómo remediar los ataques de ciberespionaje contra el sector del transporte
Los expertos en ciberseguridad de TEHTRIS recomiendan las siguientes buenas prácticas para ayudar a las compañías e instituciones del sector transporte a proteger sus sistemas informáticos de las amenazas cibernéticas:
1. Realizar periódicamente auditorías y revisiones de registros, que resulta especialmente útil para garantizar la integridad de los accesos en zonas sensibles (zonas de acceso restringido, zona de operaciones...).
2. Contar con la capacidad real de protección del XDR aplicada a los distintos medios tecnológicos utilizados en el transporte, ya sea en un entorno estándar de oficina o en un entorno más específico como las aplicaciones aeroportuarias.
3. Dotar al sistema informático de capacidades de remediación EDR para proporcionar protección en tiempo real contra la ejecución de amenazas dirigidas y no dirigidas, con el objetivo de detener las amenazas antes de que hayan tenido el más mínimo impacto.
4. Permitir el despliegue de las soluciones de ciberdefensa en un entorno restringido sobre sistemas específicos (aplicaciones industriales, seguridad de PLC, protección de un entorno desconectado o con una conexión degradada...) mediante el bajo uso de recursos locales.
5. Contar con una visión experta de los eventos que se producen en los sistemas de información monitorizados.