“En junio de 2015, un avión polaco con cientos de pasajeros estuvo detenido en el aeropuerto de Varsovia durante cinco horas. Las aerolíneas creen que se debió a un ataque en el que se sobrecargaron sus sistemas informáticos, al recibir de forma simultánea infinitas peticiones de información”.
“Hace unos años, el Centro para la Seguridad de Internet de EEUU confirmó que 75 aeropuertos americanos fueron afectados por el ataque de Advanced Persistent Threat, por parte de grupos extranjeros con los recursos propios de un país o una gran organización”.
“En un informe de 2015, la Government Accountability Office pidió a la Administración Aérea Gubernamental norteamericana que estudiara la ciberseguridad desde una perspectiva más amplia, que tuviera en cuenta la tecnología de última generación”.
Las aerolíneas siempre han tenido que lidiar con problemas operativos, como el mantenimiento de los aviones, las condiciones meteorológicas adversas, fallos en los sistemas y otro tipo de imprevistos que generan retrasos y cancelaciones. La presión por gestionar estos problemas, que complican la operativa diaria, ha puesto en un segundo plano otro tipo de amenazas como las relacionadas con la ciberseguridad, que, en un primer momento, han podido parecer de menor calado.
Una señal clara de que los mecanismos de respuesta a los ciberataques no están funcionando es que, en la actualidad, aunque estos se producen, son muy pocos o ninguno los que se detectan. Se calcula que las grandes compañías internacionales, como las líneas aéreas, sufren cada año cientos de ataques de bajo impacto –aquellos que no son bloqueados por cortafuegos ni software antivirus-, y una docena de ciberataques más graves.
Y, ¿cómo pude una aerolínea elaborar un plan de respuesta a los ciberataques? Una buena manera es seguir estas ocho indicaciones:
- Definir parámetros y protocolos. Muchas organizaciones no saben cómo definir un ciberataque, cómo responder y cómo medir su posible impacto. Y, así, se abre una peligrosa puerta, porque si una empresa no reacciona rápidamente a un incidente, cualquier intruso puede entrar en su red y provocar más daños. Siendo el tiempo medio de detección de 6 a 18 meses, actuar con lentitud se ha convertido en un problema muy extendido. Las aerolíneas son como cualquier otra organización: todos los ciberataques han de ser contenidos y mitigados inmediatamente. Por tanto, es esencial implementar un sistema para categorizar la relevancia de cada ataque y su posible impacto en la organización. Los profesionales de IT y ciberseguridad deberían clasificar los ataques en una escala de impacto alto, medio y bajo, especificando también el número y tipo de sistemas expuestos y el peligro económico en el que se incurre. Además deben contar con un plan claro para notificar a los stakeholders.
- Crear estructuras de respuesta. En este sentido, las grandes empresas suelen estructurarse de tres formas distintas. La primera hace referencia a incidentes tecnológicos, en los que el fallo de una pequeña parte del ecosistema de IT puede tener un fuerte impacto en los negocios. La segunda se centra en la gestión de crisis para lidiar con desastres naturales u otros eventos que generen grandes disrupciones. Y la tercera gira en torno a los procesos de respuesta a ciberataques. Estas tres estructuras deberían funcionar de forma coordinada para conseguir que cualquier incidente sea convenientemente atajado.
- Contar con capacidades regionales. Para las aerolíneas de carácter internacional, contar con los recursos necesarios en las diferentes regiones donde operan es una parte importante de su plan de respuesta a ciberataques. No es realista esperar que se pueda responder desde EEUU a una amenaza que ocurra en Asia. Y en muchas ocasiones, los grupos criminales lanzan sus ataques cuando la compañía tiene a menos personal disponible o cuando tienen la mayor oportunidad de disfrazarlo entre operaciones del día a día. Al ser la rapidez algo crítico en los protocolos de respuesta, las aerolíneas deberían incorporar más capacidades regionales.
- Basar la estrategia en tres patas. Los ciberataques con éxito no son solo un problema de IT, sino que son una cuestión de negocio que requiere una respuesta por parte de toda la empresa. Tres de los stakeholders internos más comunes a la hora de elaborar un plan de respuesta a este tipo de incidentes son el departamento de ciberseguridad, el legal y el de comunicación corporativa. Aunque puede haber más grupos involucrados en el plan de respuesta, toda planificación seria debe contar con un equipo centrado y delimitado. De hecho, una best practice es formar un grupo de trabajo con profesionales de estos tres ámbitos, responsables de crear, revisar, actualizar e incorporar las lecciones aprendidas de otros ciberataques.
- Conseguir financiación y un equipo adecuado. Las compañías suelen realizar grandes inversiones en tecnología y en equipos de protección, y le dedican menos atención a las fases de detección y respuesta. Como consecuencia, estas funciones están habitualmente infradotadas de personal o este no tiene las capacidades adecuadas.
- Hacer simulaciones y practicar. Es conveniente que las aerolíneas realicen ejercicios de simulación para prepararse para ciberataques, a través de procedimientos y planes. Estos ejercicios sirven como parte de una estrategia más amplia para reaccionar de manera efectiva ante un ataque. Algunas de las simulaciones típicas son trabajar la matriz de gravedad (incidentes graves, serios y menores), recopilar los datos disponibles para determinar la naturaleza de un evento, coordinar las comunicaciones y discutir planes de contingencia.
- Aprender del pasado y aplicar las lecciones. Una vez que se ha gestionado un incidente, lo normal es seguir funcionando de manera ordinaria. Pero las organizaciones líderes han construido procesos para aprender de su experiencia y actualizar protocolos y tácticas. ¿Qué funcionó? ¿Qué no? ¿Cómo podemos mejorar lo que hicimos? ¿Qué se debería hacer y quién debería hacerlo? Las respuestas a estas preguntas refuerzan las estrategias de prevención y a la ciberseguridad aérea en su conjunto. Para evitar brechas en su seguridad, las aerolíneas deben aplicar esas lecciones.
- Denunciar las amenazas. Como es lógico, las aerolíneas están sobre todo preocupadas con su propia seguridad, pero también reconocen que forman parte de un ecosistema de aviación más amplio. Esta comunidad puede jugar un papel fundamental a la hora de enfrentarse a los ataques de hackers. Los ransomware se están volviendo mucho más frecuentes y las organizaciones criminales están metiendo presión a todos los negocios. Con el aumento de las amenazas al sector aéreo, compartir información con el resto de miembros de la industria es una manera de formar un mecanismo colectivo de autodefensa.
El ritmo al que el ‘cibercrimen’ ha crecido es una amenaza para todas las aerolíneas regionales y globales. Estas necesitan enfrentarse a los ciberataques no solo desde una perspectiva tecnológica sino desde un punto de vista de negocio: deben dedicar las mismas energías, liderazgo, estrategias e inversiones a la ciberseguridad que al resto de sus operaciones.