En la actualidad se están produciendo procesos de transformación digital, en ocasiones muy agresivos, que introducen capacidades de proceso digital a casi todo lo que nos rodea y el entorno aeroespacial no es una excepción a esta tendencia. El principal problema de añadir conectividad y capacidades de proceso digital a una aeronave, es que, si no se ha previsto las medidas de seguridad lógica adecuadas, se puede sufrir un ciberataque que, en casos extremos, puede afectar a seguridad física de la aeronave.
Según los Términos de Referencia Aircraft cybersecurity (RMT.0648—ISSUE 1—17.5.2016) de la European Aviation Safety Agency (EASA), los sistemas de las aeronaves han pasado de basarse en sistemas simples, propietarios y aislados, a arquitecturas mucho más complejas, que usan protocolos estándar y plataformas de propósito general, cuya documentación técnica está disponible públicamente y con conexiones vía satélite (SATCOM) que pueden incluir conexiones a Internet, lo que aumenta de forma considerable la superficie de exposición a los ciberataques.
Estas nuevas capacidades digitales, orientadas a facilitar la operación de las aeronaves, mejorar su mantenimiento, ahorrar costes y lograr un mayor confort de los pasajeros, también implican nuevos riesgos, que tienen la capacidad potencial de ser catastróficos. Las amenazas cibernéticas, incluido el malware, pueden afectar negativamente a la seguridad de las aeronaves, por el acceso no autorizado a los sistemas, o por el uso, revelación, denegación, disrupción, modificación o destrucción de la información digital presente en los sistemas de la aeronave.
Ante la evidencia de estos y otros problemas, el 12 de abril de 2019, el Consejo de Seguridad Nacional aprobó la Estrategia de Seguridad Aeroespacial Nacional. Documento que incluye un apartado dedicado específicamente a la ciberseguridad aeroespacial.
Entre las amenazas que se consideran en la Estrategia destacan las siguientes: la tecnificación y vinculación al dominio cibernético del sector aeroespacial, así como el peso creciente de la informática en los sistemas embarcados. El documento también señala como amenazas, el hecho de que actualmente se prioriza la seguridad operativa y funcional, frente la seguridad cibernética. En el nuevo entorno aeroespacial altamente digitalizado, hay una clara necesidad previa de seguridad cibernética, para poder lograr una adecuada seguridad aeroespacial. Es decir, ahora hay una vinculación entre la ciberseguridad de la aeronave y la aeronavegabilidad de la misma
La citada Estrategia también señala una serie de líneas de acción, entre las que destacan las siguientes: fortalecer la prevención, detección, vigilancia y respuesta a ciberataques, el fomento del empleo de productos certificados y acreditados, concienciar al sector aeroespacial en ciberseguridad e implantar una política de seguridad integral (lo que implica un enfoque holístico y multidisciplinar del problema).
Dicha política de seguridad integral, incluye, entre otras medidas: la promoción de la redundancia, resiliencia y resistencia de los sistemas aeroespaciales, incluidos los sistemas de tecnología de la información (IT) y la gestión de la obsolescencia de los mismos, algo que no es nada sencillo en este momento, por la falta expertos en la detección y gestión de la obsolescencia.
A la vista de lo anterior, es evidente que todavía hay mucho que hacer para mejorar la ciberseguridad del entorno aeroespacial y que es algo que afecta a todos los sectores implicados, desde los fabricantes de aeronaves y de aviónica, a los operadores logísticos, pasando por los proveedores de servicios de control aéreo, o las empresas operadoras de las aeronaves.
