Sólo tres de los 100 mejores aeropuertos internacionales son “seguros”
Solo tres de los 100 mejores aeropuertos internacionales del mundo aprueban los controles de seguridad informática básicos. Esto según un informe publicado la semana pasada por la firma de ciberseguridad ImmuniWeb.
Estos son el aeropuerto Schiphol de Amsterdam en los Países Bajos, el aeropuerto Vantaa de Helsinki en Finlandia y el aeropuerto internacional de Dublín, Irlanda.
Según ImmuniWeb, estos tres “pueden ser un ejemplo loable no solo para la industria de la aviación sino también para todas las demás industrias”.
Los tres son los únicos aeropuertos que pasaron una larga lista de pruebas de seguridad. Entre estas destacan verificaciones de sus sitios web públicos, aplicaciones móviles oficiales. Además, búsquedas de fugas de datos confidenciales en lugares como servicios en la nube, repositorios de códigos públicos o la web oscura.
Aspectos evaluados
Para ser más específicos, ImmuniWeb escaneó en busca de:
- Implementación adecuada de HTTPS
- Si el servidor de correo electrónico del aeropuerto admite SPF, DKIM y DMARC
- Si los sistemas de administración de contenido del sitio web (CMS) estuvieran ejecutando versiones actualizadas o componentes vulnerables
- Pruebas de conformidad con la guía PCI DSS, NIST e HIPAA
- Si los sistemas del aeropuerto utilizan un firewall de aplicación web (WAF)
- Pruebas para la configuración incorrecta común en cookies, encabezado y otras configuraciones de seguridad
- Si las aplicaciones móviles usaran componentes vulnerables a exploits conocidos
- Revisar si las aplicaciones móviles dependían de bibliotecas y frameworks de software de terceros
- Si las aplicaciones móviles emplearon configuraciones de seguridad básicas o si utilizaron técnicas de programación inseguras
- Revisar si los datos relacionados con el aeropuerto estuvieran disponibles en los servicios de almacenamiento en la nube pública
- Si los datos relacionados con el aeropuerto estuvieran disponibles en repositorios de alojamiento de código público
- Verificar si los datos relacionados con el aeropuerto estuvieran disponibles en la web oscura y otros sitios web criminales y relacionados con el hacking.
El amplio conjunto de escaneos de seguridad de la compañía reveló que el 97% de los aeropuertos evaluados tenían problemas de seguridad cibernética. El área más vulnerable eran sus sitios web públicos.
Un resumen de los escaneos de la compañía te los mostramos a continuación:
Seguridad del sitio web principal:
- El 97% de los sitios web contienen software web obsoleto
- 24% de los sitios web contienen vulnerabilidades conocidas y explotables.
- 76% y 73% de los sitios web no cumplen con GDPR y PCI DSS respectivamente
- El 24% de los sitios web no tienen cifrado SSL o usan SSLv3 obsoleto
- 55% de los sitios web están protegidos por un WAF
Seguridad de aplicaciones móviles:
- El 100% de las aplicaciones móviles contienen al menos 5 frameworks de software externos
- 100% de las aplicaciones móviles contienen al menos 2 vulnerabilidades.
- En promedio, se detectan 15 problemas de seguridad o privacidad por la aplicación
- El 33,7% del tráfico saliente de las aplicaciones móviles no tiene cifrado
Datos expuestos en la web oscura, repositorios públicos o la nube:
- 66% de los aeropuertos están expuestos en la Dark Web
- 72 de 325 exposiciones son de riesgo crítico o alto, lo que indica una violación grave
- El 87% de los aeropuertos tienen fugas de datos en repositorios de códigos públicos
- 503 de las 3184 fugas son de riesgo crítico o alto, lo que posiblemente permita una violación
- El 3% de los aeropuertos tienen una nube pública desprotegida con datos confidenciales.
Consecuencias
Los problemas enumerados anteriormente podrían explotarse de manera creíble para atacar a una autoridad aeroportuaria. Posteriormente se puede obtener un punto de apoyo en los sistemas vulnerables y luego infiltrarse en la red interna de un aeropuerto.
Tales tipos de ataques han sucedido en los últimos años. Con la excepción de un caso, el ataque al aeropuerto internacional Boryspil de Kiev, la mayoría de estos ciberataques divulgados públicamente no se han considerado peligrosos para la seguridad de los pasajeros. Esto porque los atacantes se centraron en el beneficio financiero (mediante la instalación de malware) o mensajes políticos (a través de desfiguraciones del sitio web).
Estamos en un mundo donde los actores de los estados-nación se están volviendo más peligrosos y las tensiones políticas están creciendo aceleradamente cada día. Por ello estos ataques cibernéticos contra los sistemas aeroportuarios ya no son un escenario inimaginable. Por lo tanto, deberían considerarse una posible respuesta en el caso de una escalada entre dos países.
Ejemplos de incidentes
Para el contexto, a continuación, se detallan incidentes de seguridad cibernética notables anteriores que involucran a los sistemas y autoridades aeroportuarias. Estos no se cuentan los incidentes de seguridad con aerolíneas individuales.
- Los ciberdelincuentes patrocinados por el estado ruso intentaron sabotear Boryspil, el aeropuerto más grande de Ucrania
- Un niño de 14 años intentó hackear el aeropuerto internacional de Bruselas después de un ataque terrorista de ISIS
- Los servicios de WiFi en el aeropuerto internacional de Atlanta fallaron en marzo de 2018 luego de un ciberataque
- El aeropuerto de Heathrow de Londres fue multado con $150,000 por no proteger los datos confidenciales
- Recientemente se descubrió que más del 50% de todos los sistemas informáticos en un aeropuerto internacional europeo no identificado estaban infectados el malware Monero
- La autoridad del aeropuerto de Albany sufrió un ataque de ransomware