Una contundente auditoría federal ha puesto al descubierto graves fallos de ciberseguridad en el corazón de la infraestructura aeronáutica de Estados Unidos, revelando que la Federal Aviation Administration ha dejado a decenas de sus sistemas más críticos para la seguridad peligrosamente desprotegidos, aumentando la posibilidad de un ciberataque catastrófico contra el espacio aéreo del país.

La Oficina del Inspector General (OIG) del Departamento de Transporte publicó los hallazgos a principios de este mes, tras una revisión llevada a cabo entre octubre de 2024 y enero de 2026. La auditoría evaluó los 45 sistemas de tecnologías de la información de alto impacto del FAA dentro del National Airspace System (NAS), columna vertebral de la aviación civil de EE. UU., abarcando torres de control de tráfico aéreo, navegación, comunicaciones e infraestructura aeroportuaria. Se trata de sistemas que el Instituto Nacional de Estándares y Tecnología (NIST) clasifica como de riesgo severo o catastrófico si se ven comprometidos.

Lo que encontró el organismo fiscalizador fue alarmante.

{{AD}}

El informe de la OIG indicó que 15 de los 45 sistemas del FAA todavía están alineados con normas del NIST obsoletas, y que la FAA no había implementado por completo 1,836 de 16,245 controles de seguridad exigidos, el 11.3 por ciento del total. Estos controles exigidos abarcan pruebas de penetración, protección de la cadena de suministro y gestión de accesos, los mismos mecanismos diseñados para mantener a los actores hostiles fuera.

La OIG encontró que todos los sistemas que respaldan las capacidades de automatización, comunicación, navegación y meteorología presentaban vulnerabilidades que no se informaron, rastrearon ni mitigaron en el sistema departamental, mientras que 14 de 17 sistemas de vigilancia tenían el mismo problema. 

Para empeorar las cosas, la FAA ha estado eludiendo por completo la infraestructura oficial del gobierno para el seguimiento de ciberseguridad. En lugar de utilizar el sistema principal del departamento para la evaluación y gestión de la ciberseguridad, la FAA ha estado empleando una herramienta interna de seguimiento para documentar y gestionar vulnerabilidades, transfiriendo manualmente los datos al sistema federal, lo que ha provocado retrasos en los informes. La OIG fue inequívoca sobre lo que esto significa: 

"FAA is not providing transparency to the rest of DOT. Lack of transparency increases the risk that FAA and the Department may not be able to identify common threats and vulnerabilities or provide comprehensive IT weakness tracking and reporting." 

La auditoría también concluyó que la propia documentación de la FAA no es fiable. Los auditores señalaron que algunos controles se marcaban como implementados incluso cuando no cumplían los requisitos, dejando a los responsables sin información fiable sobre cómo funcionaban realmente las salvaguardias. 

Las consecuencias difícilmente podrían ser más graves. En enero de 2023, un archivo de base de datos corrupto en el sistema Notice to Air Missions (NOTAM) provocó la primera paralización nacional de vuelos desde el 11 de septiembre de 2001, retrasando cerca de 10,000 vuelos. Aunque ese apagón fue causado por un error de un contratista en vez de por un ciberataque, la auditoría deja claro que una intrusión deliberada que explotara las brechas documentadas podría generar consecuencias de igual o mayor envergadura. 

{{REC}}

No es la primera vez que la OIG lanza esta alarma. Una auditoría de la OIG de 2021 ya concluyó que la FAA no cumplía las normas de seguridad del NIST tras reclasificar el NAS como un sistema de alto impacto. Una investigación separada de la Government Accountability Office en 2024 halló que 105 de los 138 sistemas de control del tráfico aéreo de la FAA eran “insostenibles.” El patrón es claro y la respuesta ha sido consistentemente insuficiente.

La FAA afirmó que las brechas de gobernanza se deben a limitaciones de financiación, restricciones técnicas y complejidades operativas, señalando que muchos de sus sistemas actuales requerirían modificaciones técnicas significativas o adquisiciones totalmente nuevas, lo que provocaría sobrecostes y retrasos en los plazos. Para los críticos, esa explicación suena hueca dada la magnitud del riesgo implicado.

Sin soluciones, la OIG advirtió que "FAA cannot ensure required safeguards are in place to protect the systems from being compromised, which may cause a severe impact on the NAS and the flying public." 

La FAA, por su parte, aceptó la responsabilidad. "Basándonos en nuestra revisión del borrador del informe, estamos de acuerdo con las cuatro recomendaciones tal como están redactadas y planeamos implementarlas por completo antes del 31 de diciembre de 2026," dijo la FAA en respuesta a la auditoría. 

El Congreso ha estado activo en el tema. Mediante la FAA Reauthorization Act of 2024, promulgada en mayo de 2024, el Congreso otorgó a la FAA la autoridad exclusiva para elaborar normas sobre ciberseguridad aeronáutica y ordenó a la agencia que estableciera procesos de gestión de amenazas cibernéticas para el NAS. Desde entonces la FAA emitió una encuesta de mercado sobre ciberseguridad en marzo de 2026 para identificar proveedores que puedan ayudar a modernizar la seguridad del NAS, como parte de su compromiso más amplio de entregar un nuevo sistema de control del tráfico aéreo para finales de 2028. 

{{AD}}

Entre los compromisos más orientados al futuro de la agencia, la FAA también planea trasladar la infraestructura de sus sistemas NAS, ATC y de TI a criptografía post-cuántica, un concepto centrado en mitigar ataques de futuros ordenadores cuánticos mediante la adopción de nuevos métodos de cifrado. La agencia planteó el cambio de forma contundente en su propia solicitud de mercado:

 “Without quantum-resistant, crypto-agile security, the NAS cannot achieve the reliability, performance, or international leadership required in the decades ahead.”

Si esas ambiciones se pueden materializar antes de que un actor amenazante explote lo que la OIG ya ha documentado sigue siendo la pregunta central y, para los millones de pasajeros que se trasladan por los cielos estadounidenses cada día, una cuestión incómodamente abierta.