Una contraseña filtrada puso en riesgo a 200 aeropuertos y casi paralizó la aviación mundial.
Reguladores aeronáuticos inician revisión de contratistas de TI tras el incidente
Una cuenta filtrada estuvo a punto de dar a los atacantes acceso a los sistemas internos de casi doscientos aeropuertos en todo el mundo. No se trata de un hackeo en el sentido habitual, sino de una historia mucho más inquietante relacionada con una cadena de contratistas y la falta de protección básica del acceso. El problema descubrió la empresa SVigil durante el monitoreo de foros clandestinos.
Los aeropuertos modernos funcionan con plataformas digitales compartidas que gestionan el registro de pasajeros, los sistemas de equipaje, los terminales de autoservicio y los dispositivos de servicio. Estas soluciones son suministradas por empresas de TI especializadas. Para que todo funcione sin retrasos, a los contratistas y a las empresas de servicio con frecuencia se les otorga acceso directo a los paneles de administración. Como resultado surge un modelo de confianza distribuida donde la fiabilidad de todo el sistema depende del eslabón más débil.
Ese eslabón resultó ser una empresa de servicios de cuarto nivel. Es el contratista del contratista del proveedor principal de TI del aeropuerto. Se filtraron a la red el usuario y la contraseña de uno de los ingenieros de sistemas de esa empresa. Los datos aparecieron en un foro cerrado. Eso fue suficiente para entrar en el portal principal de soporte operativo que se utilizaba en más de 200 aeropuertos. No hubo confirmación adicional de acceso. La autenticación de dos factores no estaba activada.
El acceso no abría un solo servidor, sino en realidad un mapa vivo de toda la infraestructura. A través del panel se podía ver la lista de servidores y del equipo de red con direcciones internas y funciones, el estado de los quioscos de registro, las impresoras de tarjetas de embarque y las impresoras de etiquetas de equipaje en tiempo real, así como la carga de procesadores, memoria y discos en nodos clave. Incluso se mostraban parámetros de funcionamiento de las bases de datos que atienden los servicios al pasajero. Además, desde la interfaz se podían ejecutar comandos de diagnóstico de red dentro de la red confiable del aeropuerto, lo que facilita un ataque interno de denegación de servicio.
Con ese nivel de acceso, al atacante no le hacían falta programas maliciosos ni phishing. Bastaba con una cuenta. Mediante las herramientas administrativas se podían sobrecargar los terminales de autoservicio más concurridos en las horas punta y dejarlos fuera de servicio por varias horas. Otra opción consistía en interrumpir el funcionamiento del sistema de conciliación de equipaje y vuelos. Sin ese sistema, las salidas están prohibidas por la normativa, lo que causaría retrasos masivos. El peor escenario contempla ataques simultáneos a varios aeropuertos nodales importantes con un efecto en cadena a nivel mundial. Las pérdidas en ese caso podrían medirse en cientos de millones de dólares.
Incluso sin una intrusión real, las consecuencias habrían sido graves. Fallos en el registro, el embarque y el manejo del equipaje, aumento del número de maletas perdidas, multas a las aerolíneas por retrasos, caída de los ingresos asociados de tiendas y servicios, inspecciones por parte de los reguladores aeronáuticos y un golpe a la reputación. Bastarían los titulares sobre la compromisión de los sistemas de los aeropuertos a través de un contratista.
Tras el descubrimiento del problema se revocaron las credenciales, se activó con urgencia la verificación multifactor para las conexiones externas y se inició la revisión de todas las cuentas de terceros. La historia demostró que la vulnerabilidad no surgió por una técnica sofisticada, sino por la ausencia de medidas básicas de protección y control de los contratistas. Un par de usuario y contraseña en la larga cadena de proveedores podría haberle costado muy caro a la industria.