• Telegram
  • Publicidad
  • Hazte Socio
Confidencial Digital Últimas noticias sobre Dinero
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

Aena encarga una auditoría de ciberseguridad en plena oleada de hackeos a aeropuertos europeos

Deloitte simulará ataques de malware para identificar vulnerabilidades entre los trabajadores y comprobar la capacidad de detección y respuesta

Los aeropuertos españoles todavía no permiten transportar más de 100 ml en el equipaje de mano
Aena instala los primeros escáneres que no exigen sacar líquidos ni dispositivos electrónicos
Varias personas con maletas en el Aeropuerto Adolfo Suárez-Madrid Barajas. (Foto: Marta Fernández / Europa Press)
Varias personas con maletas en el Aeropuerto Adolfo Suárez-Madrid Barajas. (Foto: Marta Fernández / Europa Press)
Mariel Delgado Díez
Mariel Delgado Díez
01/10/25 | 5:00 | Tiempo de lectura: 5 min.
Etiquetas:
Ciberseguridad AENA Destacadas aeropuertos ciberataque
Aena ha decidido mover ficha. El gestor aeroportuario ha adjudicado a Deloitte una auditoría interna de ciberseguridad que incluirá simulaciones de intrusión en sus sistemas y entre sus empleados.
  1. Ola de ataques en Europa
  2. Auditoría con “ataques de laboratorio”
  3. Objetivos: vulnerabilidades y resiliencia
  4. Un sector bajo presión
  5. Confidencialidad absoluta

La decisión llega en plena oleada de ciberataques contra aeropuertos europeos, que en los últimos días han dejado imágenes de caos en terminales de Londres, Berlín, Dublín y Bruselas, con colas interminables y vuelos cancelados.

Ola de ataques en Europa

El pasado 22 de septiembre, los sistemas de facturación y entrega de equipaje de varios aeropuertos europeos sufrieron una interrupción repentina. El ataque se originó en Collins Aerospace, una filial de la compañía estadounidense RTX Corp., cuyo software de facturación está implantado en 170 aeropuertos de todo el mundo.

Publicidad 988642

Heathrow, el aeropuerto más transitado del Reino Unido, fue el más golpeado. Miles de pasajeros quedaron varados mientras el personal improvisaba check-in manual. En Bruselas, la mitad de los vuelos programados entre sábado y lunes tuvieron que cancelarse.

El pánico se extendió rápido: largas esperas en Berlín Brandenburgo, decenas de cancelaciones en Dublín y escenas de confusión en mostradores de Air Algerie. La compañía tecnológica afectada reconoció una “interrupción cibernética” en sus servicios y tardó tres días en relanzar su programa, que aún intenta estabilizar.

Dos días después, la Agencia Nacional contra el Crimen del Reino Unido (NCA) anunció la detención de un hombre de 40 años en West Sussex, sospechoso de haber participado en el ataque. La investigación sigue abierta y, de momento, no han trascendido los motivos.

Auditoría con “ataques de laboratorio”

Con este panorama de fondo, Aena ha activado su Plan de Auditoría Interna de 2025 con un contrato de cuatro meses, prorrogable hasta dos años, y un presupuesto máximo de 100.000 euros.

El pliego técnico, al que ha tenido acceso Confidencial Digital, establece que el servicio se desarrollará mediante la metodología de Red Team, es decir, simulaciones de ataques reales y controlados para evaluar la capacidad de defensa de la organización.

El encargo a Deloitte contempla escenarios de intrusión digital, física y social.

Entre ellos, intentos de acceder a redes internas y servidores, ataques contra sistemas inalámbricos, evasión de controles físicos con tarjetas magnéticas, manipulación de cámaras de seguridad, y pruebas de ingeniería social como la suplantación de identidad de directivos.

En todos los casos se buscará medir la capacidad de detección, contención y respuesta de los equipos de seguridad de la empresa.

El documento interno de Aena advierte de que no se realizarán ataques de denegación de servicio ni envíos masivos de malware que puedan interrumpir la operativa real. Los ensayos estarán limitados a franjas de lunes a viernes, entre las 07.00 y las 19.00 horas, para garantizar recursos de recuperación inmediatos. 

Objetivos: vulnerabilidades y resiliencia

La auditoría pretende detectar fallos en personas, procesos y tecnologías. Deloitte deberá entregar un informe técnico detallado, con el paso a paso de cada intrusión, listado de vulnerabilidades y método de reproducción. Además, se emitirá un resumen ejecutivo con los hallazgos principales, riesgos asociados y recomendaciones priorizadas.

El trabajo incluirá pruebas en servicios clave de la compañía, como la planificación de vuelos y operaciones aeroportuarias, sistemas económico-financieros, recursos humanos, contratación o mantenimiento.

También se examinarán los servicios en la nube y la red interna de los servicios centrales de Aena, incluidos buzones de correo y gestores documentales.

Para garantizar la fiabilidad de los resultados, el Blue Team de Aena —su equipo de ciberseguridad— no será informado de los ejercicios hasta que terminen, salvo excepciones puntuales. Así se busca evaluar en condiciones realistas la capacidad de reacción ante una intrusión inesperada.

Un sector bajo presión

La aviación civil se ha convertido en uno de los objetivos predilectos de la ciberdelincuencia. En los últimos años se han registrado incidentes de gran alcance: la suspensión de los sistemas de Japan Airlines y American Airlines en diciembre de 2024, o el ataque contra la red ferroviaria francesa en julio del mismo año. 

El impacto económico y reputacional de un ataque exitoso puede ser enorme. Según la Asociación Internacional de Transporte Aéreo (IATA), un bloqueo de los sistemas de facturación durante solo 24 horas puede costar a una aerolínea millones de euros en compensaciones, combustible desperdiciado y reprogramación de rutas.

En este contexto, Aena busca reforzar su blindaje antes de que el problema llegue a España. Con más de 280 millones de pasajeros anuales y la gestión de 46 aeropuertos en el país, cualquier disrupción en sus sistemas tendría un efecto inmediato sobre miles de viajeros.

Confidencialidad absoluta

El contrato con Deloitte impone una cláusula estricta: toda la información generada será confidencial y quedará bajo custodia de Aena. La consultora deberá firmar un acuerdo de no divulgación (NDA) y comprometerse a destruir los datos recopilados una vez concluido el proyecto.

Además, cualquier vulnerabilidad descubierta no podrá hacerse pública sin autorización expresa de la empresa.

El reto no es menor. La auditoría pondrá a prueba tanto las defensas técnicas como la concienciación del personal, un vector cada vez más explotado por los atacantes. Basta con un clic en un correo de phishing para comprometer toda una red corporativa.

Más en Dinero
Comentarios
metricool