Seguritecnia 504

/ Noviembre-Diciembre 2023 102 Opinión L a industria aeronáutica es y será una de las primeras en innovar el uso de nuevas tec- nologías, desde sofisticados sistemas globalizadores para las reser- vaciones y venta de boletos hasta aque- llos diseñados para la operación de las aeronaves como sistemas de navega- ción y comunicación. Desde hace años, el Anexo 17 de la Organización de Aviación Civil Internacio- nal (OACI) ha incorporado normas y mé- todos recomendados (SARPS) tendien- tes a hacer frente a las ciberamenazas contra la seguridad de la aviación civil (AVSEC, por su abreviatura en inglés). Sin embargo, su integración dentro del siste- ma AVSEC pareciera no ser tan sencillo, pues hay una línea muy delgada entre la seguridad informática relacionada con sistemas convencionales de información y comunicación y aquella específica para prevenir actos de interferencia ilícita. Interferencia ilícita En primer lugar, es imperativo que espe- cialistas en ciberseguridad conozcan el concepto de acto de interferencia ilícita de la OACI para poder definir el alcance de las contramedidas de seguridad. Ello es así porque, en muchas ocasiones, se asume que las medidas para hacer fren- te a las amenazas de sistemas informáti- cos convencionales apliquen también a temas AVSEC y no es así. En el primer caso, el objetivo es el robo de información para la comisión de fraudes, principalmente, políticos y económicos. Pero en el ámbito AVSEC las consecuencias van desde daños ma- teriales en infraestructuras críticas de la aviación civil hasta la muerte de perso- nas derivada de un acto de interferencia ilícita donde se hayan visto involucrados sistemas informáticos. Base regulatoria Otro factor importante para una integra- ción exitosa de la ciberseguridad en el ambiente AVSEC es el establecimiento de una regulación en materia de ciber- seguridad, por parte de la autoridad aeronáutica, que sea consistente con el Anexo 17 de la OACI y las ciberamenazas de seguridad de la aviación civil identif- cadas por parte del Estado basadas en una evaluación de riesgos. Sin una base regulatoria será compli- cado que aeropuertos, aerolíneas y pres- tadores de servicio puedan gestionar de manera efciente sus riesgos de ciberse- guridad. Y se puede caer fácilmente en el error de gestionar las ciberamenazas a la seguridad de la aviación civil como si fueran ciberdelincuencia y no como ciberterrorismo. Enfoque específico El gran secreto de la integración de la ciberseguridad en el ambiente AVSEC es estar conscientes de cuánto depen- de la vida de las personas (pasajeros, tripulaciones, comunidad del aeropuer- to y población en general) de las com- putadoras o sistemas informáticos, así como de la vulnerabilidad de los mis- mos. Si somos capaces de identificar esto, el camino, sin duda, será mucho más fácil. La ciberseguridad en el ámbito AVSEC no es posible tratarla de la misma ma- nera que aquella para las compras en línea de productos o servicios. Es más, ni siquiera con aquella establecida para instituciones financieras cuya capacidad técnica está más que probada. La labor de ciberinteligencia por parte de las or- ganizaciones gubernamentales juega un papel preponderante para anticiparse a posibles ciberataques, así como el inter- cambio de información entre institucio- nes y Estados. Según un estudio de Canalys, los ci- berataques de ransomware crecieron un 485% a nivel mundial en 2020, sien- do la ciberamenaza más latente hoy en día en los sistemas de información. Este tipo de ataque impide el acceso a la información y, para recuperarlo, Seguridad integral: ciberseguridad y AVSEC, un enfoque holístico E duardo R eyes L ópez S ubgerente de S eguridad A eroportuaria del G rupo A eroportuario del P acífico (GAP) Con la colaboración de: