Se descubre una grave laguna de seguridad en los aeropuertos

Los conocidos investigadores de seguridad Ian Carroll y Sam Curry han descubierto graves vulnerabilidades en el sistema FlyCASS. Se trata de un sistema de gestión basado en la web que utilizan las compañías aéreas más pequeñas para gestionar el programa de miembros conocidos de la tripulación (KCM) y el sistema de seguridad de acceso (CASS).

El programa KCM permite al personal de vuelo autorizado eludir los controles de seguridad habituales en los aeropuertos, mientras que el CASS regula el acceso a la cabina de los aviones. La vulnerabilidad descubierta por los investigadores permite a los piratas informáticos registrarse como administradores mediante un ataque denominado de inyección SQL, por el que cualquier persona puede añadirse como KCM o registrarse en el CASS. En la práctica, esto podría permitir a personas no autorizadas eludir los controles de seguridad e incluso entrar en la cabina de un avión. FlyCASS es utilizado principalmente por las compañías aéreas estadounidenses. No está claro si las aerolíneas europeas también se ven afectadas.

FlyCASS ya ha sido desactivado

Tras su alarmante descubrimiento, Carroll y Curry informaron al Departamento de Seguridad Nacional de Estados Unidos (DHS). Esto ocurrió el 24 de abril de 2024, y un día después el Departamento confirmó que estaba buscando una solución. FlyCASS fue desactivado el 5 de julio de 2024, lo que significa que la vulnerabilidad persistió durante más de dos meses después de que el DHS fuera notificado.