Un ataque de ransomware provocó cancelaciones y demoras en aeropuertos europeos

Se confirmó un ataque de ransomware que afectó a la empresa proveedora de servicios de check-in y embarque en varios aeropuertos que debieron cancelar vuelos y recurrir a sistemas manuales.

fin de semana pasado comenzó una serie de interrupciones en el servicio de check-in y embarque, entre otros, en al menos tres aeropuertos europeos. Esto obligó a cancelar vuelos y provocó demoras debido a la necesidad de recurrir a procesos manuales que complicaron las operaciones.

Aunque desde un principio las empresas operadoras de los aeropuertos de Bélgica, Irlanda y Reino Unido habían informado, de forma variable, que se trataba de una interrupción en los servicios de terceros de la empresa Collins Aerospace —una subsidiaria de RTX—, más tarde se confirmó que se había producido un ciberataque. Este fue confirmado posteriormente por la Agencia de Ciberseguridad de la Unión Europea (ENISA), que informó que el ataque sobre el software MUSE (ARINC cMUSE) fue de tipo ransomware, aunque aún no se ha atribuido a ningún grupo en particular, según reportan distintos medios.

A pesar de que no está clara la autoría del ataque, medios como DataBreaches sugieren que podría ser consecuencia de la actividad del grupo de cibercrimen ShinyHunters, y su asociado Scattered Spider, del cual ya se ha documentado su predilección por atacar la industria aeronáutica. Recientemente, el FBI había lanzado una alerta sobre su actividad.

Un ataque de ransomware es un tipo de ciberataque en el que los delincuentes bloquean el acceso a sistemas o archivos de una organización y exigen un pago (rescate) para liberarlos. A menudo, también amenazan con filtrar la información si no se paga.

Demoras y cancelaciones que aún continúan

Uno de los aeropuertos más afectados fue el de Bruselas, que en principio emitió un aviso de cancelaciones y demoras que atribuyó a un ciberataque, identificando a la empresa Collins Aerospace como la proveedora afectada.

Luego de los intentos por restablecer la totalidad de las operaciones durante el fin de semana, finalmente ayer debió cancelar más de la mitad de sus vuelos programados. Según consta en la agencia de noticias AP, 140 de 276 vuelos debieron ser cancelados.

Aunque lentamente se reducen las cancelaciones, aún hoy y mañana se prevé que habrá inconvenientes para cumplir con los cronogramas de vuelos.

Imagen 1: Aviso especial en la página oficial del aeropuerto de Bruselas.

Por su parte, el aeropuerto de Heathrow, en el Reino Unido, advirtió a quienes deban viajar que consulten con la aerolínea para confirmar el estado de su vuelo, ya que las operaciones de check-in, despacho de equipaje y embarque deben hacerse manualmente, con las consiguientes demoras que este cambio provoca. Lo mismo ocurre en el aeropuerto de Berlín, Alemania, que continúa recurriendo a alternativas a las operaciones dentro del aeropuerto, aunque aclararon que sufrieron menor cantidad de cancelaciones,

Impacto del ransomware

Casos como estos, por su impacto directo en la vida diaria, sirven de ejemplo sobre la importancia de la protección ante estas amenazas, y muestran cómo un punto débil en la cadena de suministro puede ocasionar problemas a gran escala.

En este caso en particular, los operadores de los aeropuertos pudieron mitigar los problemas ocasionados por el ciberincidente al recurrir a registros manuales en algunos casos. En otros, la operatoria se vio directamente interrumpida, con más de la mitad de los vuelos cancelados.

El ransomware se ha consolidado como una de las amenazas más presentes, con un crecimiento récord tanto en la cantidad de ataques como en las pérdidas económicas asociadas. Solo en la primera mitad de 2024 se registraron más de 2.500 ataques de ransomware a nivel mundial, lo que equivale a casi 15 ataques públicos por día.

La sofisticación de los ataques ha aumentado, con el uso de nuevas técnicas y herramientas que dificultan la prevención y respuesta. Además, la “democratización del ransomware” ha permitido que grupos más pequeños y flexibles multipliquen el alcance de estas amenazas.

Esto demuestra la necesidad de implementar estrategias integrales de protección, como la autenticación multifactor, la capacitación constante y la realización de copias de seguridad periódicas, para minimizar el impacto de estos ataques y garantizar la resiliencia operativa de las organizaciones.