Es noticia
Un 'hacker' leonés revienta el sistema de entretenimiento de un vuelo Dubái-Madrid
  1. Tecnología
Iberia, entre las aerolíneas afectadas

Un 'hacker' leonés revienta el sistema de entretenimiento de un vuelo Dubái-Madrid

Rubén Santamarta ha descubierto una vulnerabilidad en los sistemas de entretenimiento de los aviones. El fallo permite alterar las luces y megafonía o robar las tarjetas de crédito de los pasajeros

Foto:

Cambiar arbitrariamente la película que ven los pasajeros de un avión, mover las butacas de los privilegiados de primera clase, apagar de repente todas las luces, hacer sonar a Rick Astley por la megafonía... Estas son algunas de las 'bromas' que un 'hacker' podría poner en práctica en un avión que use el sistema de entretenimiento Avionics de la compañía japonesa Panasonic. Lo ha descubierto el investigador leonés Rubén Santamarta, y la empresa Panasonic está muy cabreada.

Vuelo Dubái-Madrid. En el silencio espeso de la cabina de clase turista, un pasajero teclea en su ordenador. Parece estar trabajando para aprovechar el tiempo, como hacen otros, pero en realidad está entrando en los mismísimos sistemas de la aeronave. Nadie está en peligro, aunque esto solo lo sabe él. Si le descubren, posiblemente habrá un gran pánico. Con sangre fría, el 'hacker' se graba a sí mismo 'reventando' los sistemas del avión. Más tarde lo subiría a YouTube (lo puedes ver en el vídeo debajo).

"Mi conciencia está tranquila, no estaba haciendo nada malo, solo buscando una película con un nombre un poco raro", sonríe Rubén Santamarta en conversación con Teknautas. Pero no: estaba 'hackeando' de forma consciente el sistema de entretenimiento del avión, usado por al menos 13 compañías aéreas en todo el mundo, entre ellas Iberia, Aerolíneas Argentinas, Virgin o Air France. "Utilizamos el sistema de Panasonic a bordo de los 35 aviones destinados a largo recorrido, pero no vamos a comentar nada sobre este incidente", explica un portavoz de Iberia.

Santamarta entró en el sistema del avión de forma limpia, asegura: "Ni por wifi ni forzando ningún conector RJ45, todo a través del sistema instalado en el propio asiento". Una vez dentro, descubrió diversos defectos que quizás habrían provocado tanto o más pánico entre los pasajeros que el mismo hecho de la presencia del 'hacker'.

El sistema de entretenimiento tiene además un módulo que gestiona las luces o los anuncios de audio que se mandan a los pasajeros

Un ejemplo sería el mapa interactivo donde se muestra a los pasajeros la velocidad, ruta y altitud del avión. Esta información, explica Santamarta, "se envía sin cifrar ni autentificar, por tanto un atacante con acceso a la red podría falsificarla, haciendo creer a los pasajeros que están siguiendo una ruta diferente o volando a una altitud que no es la real".

El sistema de entretenimiento tiene además un módulo que permite a la tripulación de cabina, entre otras cosas, gestionar las luces o los anuncios de audio que se mandan a los pasajeros. Dice Santamarta: "Controlando un nodo dentro de la red, el atacante podría enviar falsos mensajes por megafonía o controlar las luces de cabina". Juntando incidentes como estos, "se podrían crear situaciones incómodas a bordo", explica Santamarta.

El sistema de entretenimiento tiene también bajo su responsabilidad la verificación y almacenaje de las tarjetas de crédito de las personas que hacen compras durante el viaje en avión. Según Santamarta, sería posible engañar al sistema para que creyese que alguien había pagado una transacción sin ser cierto, o también robar los números de las tarjetas de crédito de los pasajeros.

Por último, este sistema es autónomo del que controla la aeronave a nivel de pilotaje de la misma. Sin embargo, según lo hubiese implementado la compañía aérea, existiría el peligro de que un 'hacker' pudiese saltar de un sistema a otro. De todas formas, Santamarta aclara que es una posibilidad "remota, en algunos casos totalmente imposible".

El leonés descubrió este agujero en los Sistemas de Entretenimiento Avionics de Panasonic durante un viaje a Dubái. Al hacer pruebas, el sistema le devolvió un mensaje de error que le dio pistas para, una vez en tierra, buscar el 'software' vía Google y descargarlo de sitios públicos. Esto de por sí ya es de una gran vulnerabilidad, porque pudo hacer pruebas con él y descubrir los agujeros que después explotó en el viaje de vuelta a Madrid.

Rubén trabaja en la conocida empresa de seguridad IOActive, donde entre otros temas se ha especializado en seguridad en aviones. Descubrió este problema hace dos años y avisó a Panasonic, a través de IOActive, en marzo de 2015. Pero la multinacional se limitó a cerrar el acceso público al 'software' y también a los investigadores que lo habían denunciado, de forma que no pudieron verificar si lo había solucionado.

Panasonic se limitó a cerrar el acceso público al 'software', de forma que los investigadores no han podido verificar si lo había solucionado

A principios de diciembre de 2016, Santamarta dio a conocer el caso por primera vez, en la convención CyberCamp y, más tarde, a la comunidad internacional, mediante un artículo en la web de IOActive donde pueden verse los vídeos que grabó en pleno vuelo.

Las revelaciones de Santamarta han armado gran revuelo en medios de comunicación de todo el mundo, mientras Panasonic emitía un comunicado quitándole importancia. Según la firma japonesa, es una "falsa alarma", todo lo que se dice es "teórico" e "hipotético", la información sobre las tarjetas de crédito es "incorrecta" y la vulnerabilidad ya se arregló en 2015, solo que no avisaron a IOActive de ello.

Según Santamarta, "en seguridad, teórico no significa imposible. El comunicado de Panasonic está basado más en la repercusión que ha tenido en la prensa (que en su mayor parte han exagerado) que en los datos técnicos presentados". Por cierto, un dato curioso: Santamarta explica en su artículo que tiene miedo a volar. Una forma de tranquilizarse fue investigar cómo funcionaba la seguridad de los aviones. Ahora, quienes tal vez tengan miedo a volar seamos nosotros.

Cambiar arbitrariamente la película que ven los pasajeros de un avión, mover las butacas de los privilegiados de primera clase, apagar de repente todas las luces, hacer sonar a Rick Astley por la megafonía... Estas son algunas de las 'bromas' que un 'hacker' podría poner en práctica en un avión que use el sistema de entretenimiento Avionics de la compañía japonesa Panasonic. Lo ha descubierto el investigador leonés Rubén Santamarta, y la empresa Panasonic está muy cabreada.

Aviación Hackers Aerolíneas
El redactor recomienda