Un consultor de seguridad cibernética le dijo al FBI que hackeó los sistemas informáticos a bordo de aviones hasta en 20 ocasiones y que logró controlar el motor de un avión durante un vuelo, de acuerdo con documentos de la corte federal.
Chris Roberts fue detenido por el FBI en abril después de un vuelo de United Airlines a Syracuse, Nueva York, después de que funcionarios vieron los mensajes de Twitter que Roberts envió discutiendo cómo había hackeado el avión en el que viajaba.
Una solicitud de allanamiento del FBI presentada ante la Corte Federal de Distrito para el Distrito Norte de Nueva York describe la investigación de Roberts por posibles delitos informáticos.
Durante las entrevistas del FBI en febrero y marzo, dice el documento, Roberts le dijo a los investigadores que hackeó los sistemas de entretenimiento a bordo de la aeronave. Además, afirmó haber hecho esto de 15 a 20 veces desde 2011 hasta 2014.
De acuerdo con el documento, también dijo que una vez había entrado en los sistemas sobrescribió el código, lo que le permitió emitir un “CLB”, o un código para tomar el control.
“Dijo que con ello causó que uno de los motores del avión hiciera movimientos laterales durante uno de estos vuelos”, dice el documento.
Además, Roberts dijo que tenía conocimiento de las vulnerabilidades a bordo de tres tipos de aviones Boeing y un modelo Airbus. Logró el acceso a los sistemas de entretenimiento a bordo desarrollados por Thales y Panasonic, le dijo a los agentes, según los documentos.
La agencia APTN de Canadá fue la primera que informó sobre el documento.
Roberts dijo en Twitter que le han aconsejado que no diga mucho, pero ha tuiteado que su único interés es “mejorar la seguridad en los aviones” y acusó al FBI de “incorrectamente” condensar cinco años de su investigación en un solo párrafo.
“Hay mucho que esclarecer”, tuiteó.
Sorry it’s so generic, but there’s a whole 5 years of stuff that the affidavit incorrectly compressed into 1 paragraph….lots to untangle
— Chris Roberts (@Sidragon1) Mayo 17, 2015
El documento del FBI dice que los agentes y especialistas técnicos de la oficina “creían que Roberts tenía la capacidad y la voluntad de utilizar el equipo que tenía consigo para ingresar o intentar ingresar a los sistemas de entretenimiento a bordo y posiblemente a los sistemas de control de vuelo en cualquier avión equipado con un sistema de entretenimiento a bordo, y que permitirle salir del aeropuerto de Siracusa esa tarde con ese equipo pondría en peligro la seguridad pública”.
Roberts dijo que utilizó un cable Ethernet modificado para conectar su computadora portátil a una caja electrónica debajo de su asiento que controla el sistema de entretenimiento. A partir de ahí, logró el acceso al centro de control de la computadora del avión, según citan los documentos las palabras que Roberts le dijo al FBI.
El 15 de abril, United Airlines le dijo al FBI que Roberts había publicado tuíts sobre ingresar a los sistemas del avión en el que viajaba y posiblemente activar las máscaras de oxígeno de emergencia de los pasajeros, dice el documento. En ese momento, Roberts iba a bordo de un vuelo de United de Denver a Chicago, para luego conectar a Siracusa.
Los agentes del FBI rastrearon el avión en el que Roberts viajaba de Denver a Chicago y encontraron señales de manipulación y daño en las cajas electrónicas de control que se conectan a los sistemas de entretenimiento a bordo. Las cajas que fueron manipuladas eran las que se encontraban debajo del asiento donde Roberts se sentó y la que se estaba frente a su asiento, dice la orden judicial.
Roberts le dijo a los agentes que él no ingresó a los sistemas a bordo del vuelo de Denver a Chicago.
La orden de registro del FBI dijo que los agentes incautaron equipo informático, como una computadora portátil y un iPad, al igual que una memoria USB y unidades externas.
Las memorias USB contenían malware “peligroso”, dijo Roberts, que podría utilizarse para comprometer redes de computadoras, de acuerdo con el documento del FBI.
Uno de los fabricantes del avión ha puesto en duda las afirmaciones de los ataques cibernéticos. Boeing dijo que sus sistemas de entretenimiento están “aislados de los sistemas de vuelo y de navegación”.
La compañía también indicó que no discute las características de diseño de sus aviones por razones de seguridad, pero dijo que “cabe mencionar que los aviones Boeing tienen más de un sistema de navegación disponible para los pilotos. Ningún tipo de cambios a los planes de vuelo que sean ingresados a los sistemas del avión pueden ocurrir sin que el piloto los revise y apruebe. Además, otros sistemas, varias medidas de seguridad y los procedimientos de operación de la cabina ayudan a asegurar que las operaciones del avión sean seguras”.
Airbus aún no ha emitido una respuesta, pero anteriormente, dijo que tiene medidas de seguridad, como las barreras de control de acceso, que restringen el acceso y la compañía “constantemente evalúa y repasa la arquitectura del sistema” para comprobar que los aviones sean seguros.