La Creciente Preocupación por la Inseguridad Aeroportuaria
Los primeros meses del 2025 han puesto en la palestra una problemática que preocupa tanto a las operaciones aeronáuticas como a los expertos en la materia: la inseguridad en los aeropuertos nacionales. En las últimas semanas, usuarios han protagonizado diferentes incidentes en los terminales aéreos del país, demostrando una "vulnerabilidad" en las normas de seguridad. El sector aeronáutico es de alta importancia estratégica, y cualquier disrupción que afecte a las aeronaves, los aeropuertos o las instalaciones en tierra, en especial un ataque terrorista, tendría un impacto de magnitud y trascendencia económica considerables.
Incidentes que Exponen Vulnerabilidades
Uno de los incidentes más comentados fue el ocurrido en el Aeropuerto El Tepual de Puerto Montt, donde un pasajero superó el sistema de seguridad del recinto, ingresando a la pista de aterrizaje y deteniendo a un avión en movimiento, luego de que no haya alcanzado a abordar el vuelo de Latam.
Una situación más alarmante fue la protagonizada por un ciudadano haitiano, el cual realizó varios destrozos en el Aeropuerto de Santiago al no ser autorizado para viajar a su país. Meses atrás el sujeto fue detenido por Carabineros por un hecho similar en el mismo sitio.
Deficiencias Señaladas por Expertos
Producto de lo ocurrido en Puerto Montt, las autoridades de la zona ya habían señalado las deficiencias del terminal aéreo. Sin embargo, el debate ha crecido a nivel nacional. Según las explicaciones de la Dirección General de Aeronáutica Civil (DGAC), el control de la seguridad se divide entre ellos, quienes se encargan de cumplir los resguardos en los sectores aeronáuticos, mientras que en el exterior o en los espacios públicos corresponde a Carabineros y a guardias de las mismas concesionarias. Al respecto, el expresidente de la Federación Aérea de Chile, Julio Subercaseaux, explicó a El Mercurio que "hay que entender que por definición los aeropuertos son extensiones muy grandes, por lo que podría facilitarse que pueda colarse alguien". Además, añadió: "La DGAC, que es la encargada de la seguridad de la losa y en los puentes de embarque, está sobrepasada (...) Creo que hay temas presupuestarios, falta gente, mayores elementos de seguridad".
Por su parte, el docente del Departamento de Aeronáutica de la U. Federico Santa María, Víctor Poblete, concuerda en que, además del crecimiento de las operaciones luego de la pandemia, "existen algunas deficiencias en recursos e inversión en mantenimiento de infraestructura aeroportuaria, lo que no permitió implementar controles de accesos a personal de Avsec o puertas con aperturas con credenciales que sean efectivas, lo que se evidencia en el caso de Puerto Montt". Ante esta situación, la DGAC ha invertido en nueva tecnología en esta materia, la cual para este año contempla cursos de defensa en seguridad y la adquisición de equipos de inspección.
La Amenaza Interna: Un Riesgo Crítico en la Aviación
Un aeropuerto es vulnerable a una gran variedad de riesgos y amenazas diferentes. Pero mientras que las amenazas externas son significativas, un tema de creciente preocupación es el de la amenaza interna. La Declaración del Contexto Mundial de Riesgo para la seguridad de la aviación de la Organización de Aviación Civil Internacional (OACI) deja claro que las organizaciones terroristas siguen considerando que los elementos internos, dependiendo de su función, son un recurso potencialmente útil para facilitar la planificación de ataques. Esto puede ocurrir de manera deliberada o no deliberada, por voluntad propia o bajo coerción, debido a su conocimiento especializado de las medidas de seguridad y su posible acceso a las zonas de seguridad restringidas y las aeronaves.
La conexión que puede existir entre la actividad delictiva y el terrorismo es fundamental. La actividad delictiva de la que es objeto la aviación y el transporte aéreo puede poner de manifiesto las vulnerabilidades de las prácticas de seguridad y dejar a la vista las debilidades del concepto de seguridad. Esto puede individualizar a quienes pueden ser convencidos o forzados a colaborar con los terroristas. Toda debilidad que pueda explotarse con fines delictivos también podrá utilizarse con designios terroristas.
Definición de la Amenaza Interna
Para definir más claramente la amenaza interna, primero tenemos que entender lo que constituye un iniciado en el contexto de la aviación. Esencialmente en un entorno aeroportuario, una persona con información privilegiada es aquella que explota su conocimiento o acceso a los activos de su aeropuerto, aerolínea u organización con fines no autorizados. Por lo tanto, la persona con información privilegiada podría ser prácticamente cualquier persona, incluyendo un empleado, contratista, consultor o cualquier otro individuo que tenga acceso legítimo a la información o a los activos de su organización.
Me refiero con esto al suceso ocurrido el pasado mes de abril en el Aeropuerto Internacional de Guanajuato (México), donde se perpetró un atraco en las pistas por valor de cerca de 20 millones de pesos. Evidentemente, el elemento interno en este robo pudo colaborar de forma activa (dando acceso a un lugar o suministrando información) y/o pasiva (desatendiendo sus funciones).
Los terroristas están siempre buscando cómo explotar las vulnerabilidades de los controles de seguridad de los aeropuertos con el propósito de ubicar la ruta de menor resistencia hacia sus objetivos. Esto podría significar la explotación de ciertas personas, por ejemplo, empleados que trabajan en o para el sector de la aviación y cuyas funciones les brindan acceso a información reservada o zonas con restricciones de seguridad. Con ello, se obtiene una posible ventaja táctica para perpetrar o facilitar un acto de interferencia ilícita.
Entre dichas personas están las tripulaciones de vuelo y el personal de tierra que trabaja en los aeropuertos u otras instalaciones vinculadas al transporte aéreo y en su cadena de suministro. Esto incluye igualmente al personal contratado, temporal o independiente, así como a empleados a tiempo completo o parcial. Los terroristas consideran que los elementos internos son un recurso potencialmente útil para facilitar la planificación de ataques. La vulnerabilidad específica de la aviación a ataques que se valen de elementos internos para evadir los controles de seguridad es una materia bien explotada por el adversario. Los recientes ataques terroristas perpetrados contra las líneas aéreas (Daallo Airlines y Metrojet) han reavivado la atención hacia la posible explotación de dichas vulnerabilidades y, en consecuencia, hacia el riesgo de amenaza interna.
Ciberseguridad en la Aviación
Perfil y Motivaciones del Actor Interno
Este problema es especialmente difícil de manejar cuando se consideran las interdependencias y la riqueza de la información que se mueve alrededor de un aeropuerto. Los motivos de una persona con información privilegiada pueden ser variados e incluir:
- Obtención de ventajas financieras a través de actividades de delincuencia organizada o de bajo nivel.
- Impulso por temas de ideología extrema, enfocados en el terrorismo.
- Descontento por sentimiento de injusticia social o por la forma en que ha sido tratado por su organización.
- Una combinación de los factores anteriores.
La motivación es un tema complejo, ya que dos empleados pueden enfrentarse a una situación idéntica, mientras que solo uno puede decidir actuar en contra de los intereses de su organización.
Identificación y Evaluación de Riesgos
Se ha prestado mucha atención a los indicadores de comportamiento de los posibles empleados que pueden representar una amenaza interna. Sin embargo, todo el mundo tiene experiencias de vida en las que su comportamiento podría cambiar de vez en cuando. Los indicadores obvios de estilo de vida y comportamiento -como el hecho de que un empleado se enriquezca sin razón aparente-, que alguien se vuelva más aislado y se aleje de sus compañeros de trabajo, que un empleado lleve a cabo una actividad no autorizada o sospechosa o que un trabajador exprese puntos de vista fuertes y hostiles contra su organización pueden considerarse indicadores de amenazas internas.
No obstante, estos cambios también pueden deberse a algún otro problema, como el acoso en el lugar de trabajo, el duelo, los factores estresantes del estilo de vida o el desencadenamiento de vulnerabilidades psicológicas. Los indicadores pueden ser importantes cuando se repiten y hay un cambio no contabilizado en el comportamiento habitual. El factor clave es que alguien debe asumir la responsabilidad de actuar adecuadamente cuando estos indicadores están presentes. Lo que hace que este fenómeno sea complejo es que no existe un perfil estándar de un iniciado. Sin embargo, se han encontrado ciertos rasgos que están presentes en algunas personas con información privilegiada.
Una herramienta clave para evaluar el riesgo relacionado con los elementos internos es identificar y examinar cada función pertinente de los empleados para determinar si ofrece una ventaja táctica en relación con cada tipo de amenaza. En términos de vector de ataque, una ventaja táctica comprende el acceso preferencial a lugares e información protegidos por restricciones de acceso y situaciones donde se puede trabajar de forma autónoma sin ser objeto de controles de seguridad, donde un comportamiento sospechoso puede pasar inadvertido.
Tipologías de Amenazas Internas en el Entorno Digital y Físico
Las amenazas internas pueden manifestarse de diversas formas, afectando tanto la seguridad física como la digital de los aeropuertos. Estas amenazas tienen el potencial de eludir las defensas tradicionales o explotar las debilidades en los sistemas, lo que las hace especialmente peligrosas en los entornos hiperconectados de hoy en día, donde la conectividad y el acceso de confianza pueden amplificar los riesgos inadvertidamente.
Amenazas Internas Maliciosas
Los infiltrados maliciosos son individuos dentro de una organización que comprometen intencionalmente la seguridad para beneficio personal o por despecho. Estas amenazas suelen estar motivadas por incentivos financieros, agravios emocionales o deseos de venganza, lo que las hace especialmente difíciles de detectar. Dado que estos informantes ya tienen acceso legítimo a datos confidenciales, pueden explotar este acceso fácilmente si no existen controles de seguridad adecuados. Para prevenir amenazas internas maliciosas se requiere una supervisión constante, una gestión estricta del acceso y análisis del comportamiento para detectar actividad inusual antes de que se produzcan daños.
- Ejemplo: Edward Snowden, ex contratista de la NSA, es uno de los ejemplos más conocidos de un infiltrado malintencionado. Snowden filtró información clasificada sobre los programas de vigilancia global operados por la NSA y sus socios. Sus acciones obedecieron a motivaciones ideológicas más que a fines lucrativos, pero ponen de relieve el daño que puede infligir un solo infiltrado.
Amenazas Internas Accidentales
Las amenazas internas accidentales ocurren cuando los empleados, sin saberlo, abren la puerta a los ciberataques. Algunos ejemplos cotidianos incluyen ser víctima de estafas de phishing, configurar incorrectamente los parámetros de seguridad o compartir accidentalmente archivos confidenciales con partes no autorizadas. El error humano es una de las causas más comunes de amenazas internas, y su frecuencia resalta por qué confiar únicamente en las defensas perimetrales ya no es suficiente. La mitigación de amenazas internas exige estrategias proactivas como capacitación en seguridad frecuente, cumplimiento de los protocolos de ciberseguridad por parte de los empleados e integración de soluciones Zero Trust.
- Ejemplo: En 2017, un empleado perdió accidentalmente una unidad USB que contenía detalles de seguridad confidenciales relacionados con las operaciones del aeropuerto de Heathrow. El recorrido, que incluía información sobre medidas de seguridad, horarios de patrulla y detalles del viaje de la Reina, fue descubierto por un miembro del público. Afortunadamente, no se produjo ninguna vulneración importante, pero el incidente puso de relieve cómo acciones internas accidentales (como extraviar datos confidenciales) pueden generar importantes riesgos de seguridad.
Amenazas Internas Negligentes
Los empleados internos negligentes son aquellos que no siguen las mejores prácticas de seguridad, ya sea por descuido o por falta de conciencia. Esto podría ser tan simple como compartir contraseñas, utilizar dispositivos no autorizados o ignorar protocolos de seguridad básicos. Desafortunadamente, en un caso particular, un portátil fue robado, exponiendo información confidencial de aproximadamente 29.000 empleados. Aunque no había indicios de un mal uso de los datos, este acto negligente de gestión inadecuada de la información confidencial podría haber tenido graves consecuencias.
Amenazas Internas de Terceros y Personal Externo
Las amenazas internas de terceros provienen de contratistas, proveedores o socios que tienen acceso a los sistemas o datos de una organización. Si bien estos colaboradores externos son esenciales para las operaciones, introducen vectores de riesgo adicionales. Si se compromete un sistema de terceros o se roban las credenciales de un contratista, los atacantes pueden obtener acceso a información confidencial, a menudo sin ser detectados. La gestión de estos riesgos requiere extender los principios de mínimo privilegio a los usuarios externos, garantizando que se les conceda la menor cantidad de acceso necesaria y sean supervisados continuamente mientras interactúan con los sistemas internos.
- Ejemplo: La infracción de datos de Home Depot ocurrió porque los atacantes obtuvieron acceso a los sistemas de la empresa a través de credenciales robadas de un proveedor externo. Esta infracción comprometió 56 millones de números de tarjetas de crédito y resalta los riesgos que representan terceros cuando no existen controles de acceso adecuados.
Estrategias de Mitigación y Ciberseguridad
Medidas Clásicas y Modernas de Prevención
Los enfoques clásicos de medidas mitigadoras de la amenaza interna están dirigidos a la verificación de antecedentes como condición para la contratación, el uso de tarjetas de identificación en el control de accesos y el seguimiento del personal ya en funciones. También se está insistiendo cada vez más en la importancia de la imprevisibilidad de las medidas de inspección para empleados. Además, las autoridades competentes europeas de aviación civil han impulsado la creación de una cultura de seguridad sólida y resiliente en el lugar de trabajo y en el ámbito de la aviación, incluidos, entre otros, la radicalización, que viene recogida en el Reglamento de Ejecución (UE) 2019/103 de la Comisión Europea de 23 de enero de 2019.
El Entorno Digital y las Vulnerabilidades Internas
Los aeropuertos son instalaciones complejas y concurridas que representan un objetivo atractivo para los terroristas y otros delincuentes, incluyendo aquellos con acceso interno. Los ciberataques a los aeropuertos y a los sistemas que ayudan a gestionarlos pueden provenir de diversas fuentes, incluidos hackers patrocinados por estados, grupos delictivos e incluso personas internas con acceso a información confidencial. Uno de los mayores retos en la ciberseguridad aeroportuaria es la gran cantidad de dispositivos y sistemas conectados. La interconexión de estos sistemas también implica que una única brecha puede extenderse rápidamente por toda la infraestructura aeroportuaria.
Los aeropuertos, que gestionan datos confidenciales como la información de los pasajeros, los horarios de las aerolíneas y los manifiestos de carga, son objetivos prioritarios para los ciberatacantes. Su dependencia de sistemas de control industrial complejos aumenta la vulnerabilidad a los ciberataques disruptivos. Los dispositivos IoT se utilizan cada vez más para gestionar y optimizar las operaciones aeroportuarias, como la gestión de equipajes, el flujo de pasajeros y la gestión de instalaciones. Estos dispositivos generan grandes cantidades de datos que se pueden utilizar para mejorar la eficiencia del aeropuerto y mejorar la experiencia del pasajero. Sin embargo, la adopción generalizada de dispositivos IoT también crea nuevos riesgos de ciberseguridad para los aeropuertos, particularmente porque muchos de estos dispositivos están conectados tanto a la infraestructura de TI como a la de tecnología operativa. Esto significa que un ciberataque a un dispositivo IoT puede comprometer potencialmente ambas infraestructuras, lo que provocaría interrupciones operativas y otras consecuencias negativas. Además de los riesgos de la piratería de IoT, la seguridad de la información generada por los activos operativos, como los sistemas de gestión de equipajes (BHS), también es fundamental.
Los avances en la IA y las tecnologías emergentes también contribuyen a la creciente importancia de la ciberseguridad aeroportuaria. Las herramientas de IA mejoran la seguridad y agilizan las operaciones, pero introducen nuevos riesgos, como las filtraciones de datos y los problemas de privacidad. El reconocimiento facial basado en la IA y los drones mejoran la eficiencia, pero también plantean desafíos de seguridad.
Un ciberataque exitoso en un aeropuerto puede tener consecuencias graves. Puede provocar retrasos o cancelaciones de vuelos, daños a la reputación, pérdida de la confianza de los clientes y pérdidas financieras. Un hacker también podría obtener acceso a información confidencial, como los datos de los pasajeros o los planes de vuelo, lo que pondría a las personas en riesgo de robo de identidad u otras actividades maliciosas que amenacen la seguridad pública.
Adaptación y Marcos de Seguridad
Es importante evaluar constantemente los riesgos e identificar formas de mitigarlos, ya que la naturaleza de los riesgos puede cambiar con el tiempo. Por ejemplo, la pandemia de COVID-19 ha tenido un impacto significativo en la ciberseguridad aeroportuaria, particularmente porque los aeropuertos han tenido que adaptarse a nuevas soluciones digitales y sin contacto para proporcionar un viaje de pasajeros más seguro y fluido. Si bien el cambio hacia las soluciones digitales y sin contacto ha proporcionado beneficios, también ha creado nuevas vulnerabilidades que los ciberatacantes pueden explotar, incluidos la piratería, el phishing y otras formas de ingeniería social. Además, la pandemia ha reducido el personal aeroportuario, lo que ha provocado una mayor dependencia de la automatización y las soluciones digitales. Esta dependencia puede crear vulnerabilidades, ya que es posible que estos sistemas no estén adecuadamente protegidos, lo que los hace más susceptibles a los ciberataques.
La norma ISO 27001 es un estándar reconocido internacionalmente para los sistemas de gestión de la seguridad de la información. Guía a las organizaciones en la identificación y el tratamiento eficaz de las ciberamenazas. Según Per Engelbrechtsen, director de desarrollo empresarial de BEUMER Group, "la certificación ISO 27001 cubre el comportamiento humano, incluyendo cómo actuamos, cómo trabajamos y cómo completamos las tareas para garantizar que no recogemos memorias USB de los aparcamientos o participamos en otros comportamientos de riesgo". Por el contrario, la norma IEC 62443 es un estándar específico que se centra en la ciberseguridad de los sistemas de automatización y control industrial, describiendo cómo deben construirse los productos y los niveles de seguridad necesarios para lo que se entrega a los clientes. Ambas normas, aunque difieren en su alcance, hacen hincapié en la importancia de la evaluación y la gestión de riesgos, así como en la necesidad de un proceso de mejora continua para mantener la seguridad. Ibrahim Memis afirma que "la norma ISO 27001 puede considerarse un marco amplio para la ciberseguridad, mientras que la norma IEC 62443 proporciona un enfoque más específico" y añade que "la estrategia de ciberseguridad es una preocupación de la alta dirección y un tema estratégico que debe integrarse en la organización".
La ciberseguridad aeroportuaria es un componente crítico de las operaciones aeroportuarias. Las consecuencias de un ciberataque exitoso pueden ser graves, y el panorama de amenazas está en constante evolución. Por lo tanto, los aeropuertos deben implementar una estrategia integral de ciberseguridad que incluya la evaluación de riesgos, el control de acceso, la seguridad de la red, la seguridad de los puntos finales y la planificación de la respuesta a incidentes.