La Ciberseguridad En La Aviación: Un Desafío Crítico Para La Industria Aérea

Una de las noticias que más llamó mi atención al cierre del 2024, fue el breve paro de operaciones que tuvo American Airlines el pasado 24 de diciembre de 2024, donde por espacio aproximado de una hora, suspendió todos los vuelos a nivel nacional e internacional en Estados Unidos, debido a un problema “técnico”, en un día que era crítico para la aviación.

La reciente suspensión de operaciones de American Airlines el 24 de diciembre de 2024 ha puesto de manifiesto, una vez más, la vulnerabilidad de la industria aeronáutica ante incidentes de ciberseguridad y fallos tecnológicos. Este evento, que paralizó la totalidad de sus vuelos durante una hora en una de las jornadas más concurridas del año, subraya la importancia crítica de la ciberseguridad en el sector aeronáutico.

¿Cuál fue el impacto inmediato de este paro?

Pudimos ver cómo además de que se realizo una suspensión por espacio de una hora, se afectaron el 36% de los 3,901 vuelos nacionales e internacionales de la aerolínea presentado retrasos,  no obstante solo fueron cancelados 51 vuelos, esto es poca afectación en un día en que la Administración Federal de Aviación (FAA) esperaba aproximadamente unos 30,000 vuelos en Estados Unidos entre todas las aerolíneas. También, se registró la caída del 5.5 % de las acciones de la compañía en la bolsa.

Como sabemos, ha habido algunos antecedentes o fallas “tecnológicas” o “fugas” de información que han creado preocupación a la aviación civil con temas de “ciberseguridad”, especialmente a la Organización de Aviación Civil Internacional (OACI), entre los que podemos destacar:

1. La filtración de datos que sufrieron American Airlines y Southwest Airlines en mayo de 2023, donde fueron filtrados los datos de miles de aspirantes a pilotos cuando fueron robados del software de reclutamiento Pilot Credentials, que se tuvo acceso a datos no autorizados de documentos confidenciales de contratación.

1. El pasado 19 de julio de 2024, no lo olvidaremos el problema que causo una “actualización fallida” al software de la empresa de ciberseguridad Crowdstrike, que afecto a los usuarios de Windows, problema que afecto a aerolíneas en todo el mundo, entre ellas American Airlines, Delta, United Airlines, Vivaaerobus, Volaris, entre otras, en donde 1,700 vuelos fueron cancelados y más de 4,500 vuelos cancelados.

Estos solo son algunos ejemplos de cómo la ciberseguridad, es muy importante para la aviación, ya que en momentos puede paralizar las operaciones.

Es por ello que la Organización de Aviación Civil Internacional (OACI) inició su travesía en el ámbito de la ciberseguridad aeronáutica en los inicios del nuevo milenio, marcando el comienzo de una era crucial para la seguridad digital en la aviación. Este camino ha estado íntimamente ligado a la creciente digitalización del sector aeronáutico, que ha transformado desde los sistemas de navegación hasta la gestión de operaciones aeroportuarias.

A medida que la aviación civil profundizó su dependencia tecnológica, la OACI ha expandido progresivamente su marco de acción. Lo que comenzó como iniciativas puntuales para proteger sistemas específicos, evolucionó hacia una estrategia integral que hoy abarca toda la cadena de valor del transporte aéreo: desde la fabricación de aeronaves hasta la gestión del tráfico aéreo, pasando por las operaciones aeroportuarias y los sistemas de reservas.

Esta transformación refleja la comprensión de la OACI de que la ciberseguridad no es un aspecto aislado, sino un elemento fundamental que permea todas las facetas de la aviación moderna. Las iniciativas y debates actuales de la organización abordan desafíos cada vez más complejos, anticipando un futuro donde la integración tecnológica y la seguridad digital son inseparables del progreso de la aviación civil internacional.

En ese sentido, la OACI ha establecido una visión clara para enfrentar los crecientes desafíos cibernéticos en el sector aeronáutico: lograr un sector resiliente a los ciberataques o fallos tecnológicos, que mantenga su seguridad y fiabilidad mientras continúa innovando y creciendo.

En su documento estratégico sobre ciberseguridad de la aviación (2019), la OACI reconoce la creciente dependencia del sector de la aviación civil en los sistemas de tecnología de información y comunicaciones, así como la evolución constante de las amenazas cibernéticas que buscan perturbar operaciones y comprometer información sensible por diversos motivos.

"La naturaleza polifacética y multidisciplinaria de la ciberseguridad, junto con la capacidad de los ciberataques de afectar simultáneamente múltiples áreas y propagarse rápidamente, hace imperativo establecer una visión común y una estrategia coordinada", señala el documento oficial de la OACI.

Es por ello que la OACI sustenta esta estrategia en siete pilares esenciales:

1. Cooperación Internacional: La OACI enfatiza que "la ciberseguridad y la aviación no conocen fronteras", por lo que promueve la armonización global de medidas de protección y sistemas de gestión de riesgos.
2. Gobernanza: Se insta a los Estados miembros a establecer planes claros de gobernanza y rendición de cuentas a nivel nacional, coordinando esfuerzos entre autoridades aeronáuticas y expertos en ciberseguridad.
3. Marco Legal: La organización impulsa la actualización y desarrollo de legislaciones que permitan prevenir, perseguir y responder eficazmente a incidentes cibernéticos.
4. Política de Ciberseguridad: Se promueve la integración de la ciberseguridad en los sistemas de seguridad operacional, considerando el ciclo de vida completo de los sistemas aeronáuticos.
5. Intercambio de Información: Reconociendo la naturaleza interdependiente del sector, la OACI enfatiza la importancia de compartir información sobre vulnerabilidades y amenazas para prevenir y mitigar incidentes.
6. Gestión de Incidentes: Se recomienda el desarrollo de planes de contingencia específicos y la realización regular de ejercicios de ciberseguridad.
7. Desarrollo de Capacidades: La organización destaca el factor humano como "el corazón de la ciberseguridad", promoviendo la formación especializada y el desarrollo de una cultura de ciberseguridad.

Ante esta estrategia, la OACI hace un llamado a todos los Estados miembros para que reconozcan sus obligaciones bajo el Convenio de Chicago, que incluye “velar por la ciberseguridad como parte integral de la seguridad operacional y la continuidad de la aviación civil”.

"Es esencial que los Estados establezcan los canales apropiados de coordinación entre las diversas autoridades estatales y las partes interesadas de la industria", subraya el documento de “Estrategia de ciberseguridad de la Aviación” de la OACI, destacando la necesidad de una aproximación colaborativa al desafío.

Un aspecto notable de la estrategia, es el énfasis en desarrollar una cultura de ciberseguridad similar a la cultura de seguridad operacional que ha caracterizado al sector aeronáutico. La OACI busca que “la ciberseguridad se convierta en una responsabilidad compartida por todos los actores del sector”.

¿Qué veremos a futuro en temas de ciberseguridad?

El pasado 11 de diciembre de 2024, se llevo a cabo la “Declaración de Mascate sobre la Seguridad y la Ciberseguridad de la aviación” misma que se celebró en el marco de la semana de Seguridad de la Aviación Civil, organizada por la OACI, y que representa un compromiso renovado para fortalecer la seguridad y ciberseguridad en la aviación civil internacional.

Esta Declaración de Mascate emerge como una respuesta contundente a los crecientes desafíos cibernéticos y tecnológicos que enfrenta el sector aeronáutico. "La inexistencia percibida de incidentes importantes no significa que se haya reducido el riesgo", advirtieron los líderes reunidos en la Semana de la Seguridad de la Aviación de la OACI, estableciendo un claro llamado a mantener la vigilancia.

En esta declaración se destacó la necesidad de otorgar a la ciberseguridad la misma importancia que a otros aspectos críticos de la aviación civil, enfatizando la necesidad de una transformación en la manera en que se abordan las amenazas digitales.

Buscando una respuesta global para:

1. Una Implementación acelerada de la Estrategia de Ciberseguridad de la Aviación
2. El desarrollo de capacidades especializadas en el personal aeronáutico
3. El fortalecimiento de la cooperación internacional

"La aviación conecta al mundo y hace posible el desarrollo social y económico", subraya la declaración, reconociendo el papel fundamental del transporte aéreo en la economía global y la necesidad de protegerlo eficazmente.

La Declaración de Mascate representa un punto de inflexión en la historia de la aviación civil, estableciendo un marco integral para enfrentar las amenazas cibernéticas del siglo XXI. El éxito de esta iniciativa dependerá de la implementación efectiva de sus principios por parte de todos los actores del sector aeronáutico, pues la seguridad de la aviación civil es una responsabilidad compartida que requiere un compromiso continuo y coordinado de toda la comunidad aeronáutica internacional.

Este histórico acuerdo marca el comienzo de una nueva era en la protección del espacio aéreo global, donde la ciberseguridad se posiciona como un pilar fundamental para el futuro sostenible y seguro de la aviación civil internacional. Durante 2025 daremos seguimiento a los avances en temas de ciberseguridad en la aviación por parte de todos los actores de la industria.

¡Hasta el próximo vuelo!

Era Calderón

“Los  artículos firmados  son  responsabilidad  exclusiva  de  sus  autores  y  pueden  o  no reflejar  el  criterio  de  A21”