​¿Cómo fue el ciberataque que paralizó cuatro aeropuertos este fin de semana y afectó a miles de pasajeros en Europa?

El pasado sábado 20 de septiembre, cuatro aeropuertos europeos amanecieron con largas filas de pasajeros sin poder embarcar y cientos de ellos perdiendo vuelos. Durante la noche del día 19, un ciberataque de tipo ransomware, según confirmó la Agencia de Ciberseguridad de la Unión Europea (ENISA), afectó a los terminales aéreos de Londres-Heathrow, Bruselas-Zaventem, Berlín-Brandenburg y Dublín, comprometiendo el sistema MUSE, una plataforma de procesamiento de pasajeros provista por la empresa Collins Aerospace (filial del grupo RTX), para operaciones de check-in y embarque, compartidas entre múltiples aerolíneas.

Como consecuencia, los aeropuertos afectados se vieron obligados a operar manualmente los caunteres. Esto generó largas filas, retrasos de más de una hora y la cancelación de decenas de vuelos, como los más de 60 cancelados en un solo día en Bruselas, evidenciando el riesgo crítico en la cadena de suministro digital.

Los análisis preliminares señalan que lo más probable es que los responsables sean ciberdelincuentes motivados por lucro, aunque no se descarta la participación de un actor estatal, dado el impacto masivo.

Colapso en fin de semana

Las interrupciones en los sistemas electrónicos reportadas en los aeropuertos de Berlín y Londres ocurrieron previo al fin de semana, un momento crítico porque los equipos de TI y seguridad tienen menos personal y los tiempos de respuesta son más lentos. “Al atacar durante estos periodos, los delincuentes maximizan la probabilidad de un caos prolongado, con interrupciones que a menudo se extienden a la hora punta de los lunes y afectan a cientos de miles de pasajeros”, explica Augusto Morales, Doctor en Seguridad de EndPoint y Experto de Ciberseguridad de Check Point Software.

“Los atacantes saben que los fines de semana son un punto ciego para la industria, porque los equipos de seguridad no están ciento por ciento disponibles y la respuesta es más lenta, lo que genera una interrupción máxima que se extiende a los periodos de mayor actividad. Así, ganan notoriedad, porque generan alarma mundial”, indica.

Según el especialista, los grupos de cibercriminales se aprovechan de la dependencia de la aviación de sistemas digitales compartidos de terceros de los que dependen varias aerolíneas y aeropuertos a la vez. “Entonces, cuando un proveedor se ve comprometido, la interrupción se propaga de forma instantánea y generalizada. Un solo proveedor afectado puede dejar fuera de servicio a decenas de aeropuertos y aerolíneas de golpe, y no se limitan a interrupciones informáticas, sino que también paralizan vuelos, dejan a pasajeros varados y pueden propagarse a través de las fronteras en cuestión de horas”, señala.

Un ataque así, ¿podría afectar los aeropuertos de Chile?

Dado que el ransomware es una amenaza global, Chile no está exento de un ataque de estas características. “Chile enfrenta las mismas vulnerabilidades que Europa: dependencia de proveedores externos y debilidades internas de ciberseguridad. Por ello, sí existe la posibilidad de que un ataque análogo afecte al país”, recalca Augusto Morales.

¿Qué medidas se pueden tomar para prevenir y mitigar ataques de este tipo? El especialista de Check Point Software explica que, en primer lugar, es necesario implementar sistemas de respaldo y redundancia para evitar que un único proveedor sea un punto crítico de fallo, contar con planes de contingencia manual previamente ensayados, exigir a los proveedores externos altos estándares de seguridad, auditorías periódicas, segmentación de sistemas, mantener copias de seguridad aisladas (offline) y procedimientos rápidos de restauración.