En septiembre pasado, varios aeropuertos europeos vieron interrumpidos repentinamente sus sistemas de facturación y equipaje por un ciberataque al software de Collins Aerospace, que lo usan 170 instalaciones de servicios aéreos. El más afectado fue Heathrow, en Londres, que tuvo que gestionar con procesos manuales improvisados la movilidad de miles de pasajeros, lo que causó enormes colas en los mostradores de check-in; en Bruselas se canceló el 50 % de los vuelos de un fin de semana; en Dublín se evacuó y cerró durante dos horas la terminal 2 del aeropuerto, por un «equipaje sospechoso», y también tuvo una difícil jornada el de Berlín. Todos recomendaron a quienes fueran a viajar que comprobaran el estado de sus vuelos antes de acudir a las instalaciones.
Parece ser que la aviación civil se ha convertido en un blanco perfecto de ciberataques, pues estos sucesos tienen precedentes recientes en la Japan Airlines, en la American Airlines y en la red ferroviaria francesa, hechos que generaron pérdidas millonarias en muy pocas horas.
Aena encarga una auditoría interna
Tras estos incidentes, con el objetivo de fortalecer su seguridad para evitar que se vean comprometidos sus 46 aeropuertos, con sus más de 280 millones de usuarios anuales, y para evaluar la capacidad de detección y respuesta de sus equipos de seguridad, Aena ha puesto en marcha, con un presupuesto máximo de 100 000 euros, un plan de auditoría con un contrato adjudicado a Deloitte que incluye representaciones de ciberataques mediante la metodología Red Team, que simulará ―en horario laboral, pero sin afectar la operativa real― intrusiones digitales, físicas y sociales (accesos a redes, manipulación de cámaras o suplantación de identidad).
Deloitte elaborará un informe técnico detallado y un resumen ejecutivo con riesgos y recomendaciones. Las pruebas se realizarán en áreas clave como operaciones aeroportuarias, sistemas financieros, recursos humanos y servicios en la nube. Para garantizar resultados realistas, el equipo interno de ciberseguridad (Blue Team) no será informado previamente de los ejercicios.
Todos estos ensayos se llevarán a cabo en el marco de una estricta confidencialidad: la información que Deloitte genere será custodiada por Aena, y Deloitte deberá El contrato entre Aena y Deloitte establece una confidencialidad estricta: toda la información generada será custodiada por Aena, y Deloitte deberá firmar un NDA (non-disclosure agreemen, en inglés; o sea, un acuerdo de confidencialidad) y destruir los datos al finalizar su intervención. Las vulnerabilidades detectadas no podrán divulgarse sin autorización. La auditoría evaluará tanto la seguridad técnica como la preparación del personal, dado que errores humanos como abrir correos de phishing pueden comprometer toda la red corporativa.
Fuentes: https://www.elconfidencialdigital.com/articulo/dinero/aena/20250930132727982017.html
░ Imagen de Rafael Minguet Delgado en Pexels
