A partir de ahora, cualquier persona que tenga un móvil Android en un avión es sumamente peligrosa, y todo por culpa de la aplicación PlaneSploit, que permite secuestrar un avión. Puede sonar a broma, pero es tan real como que estás leyendo esto. Un experto en seguridad informática, con licencia de piloto de avión comercial, ha sido el que ha desarrollado esta aplicación.
Hugo Teso, ese es el nombre del experto en seguridad informática que ha demostrado que los sistemas radiodifusión y de comunicación en el direccionamiento de aviones, denominados con las sigas ADS-B y ACARS, son bastante propensos a ataques informáticos. Ha sido capaz de hackear estos sistemas en un entorno virtual e incluso ha creado una aplicación para Android que permite controlar un avión. La aplicación se llama PlaneSploit y es capaz de dar instrucciones al avión para cambiar de rumbo y plan de vuelo.
Parece increible, pero es cierto. Entre todas las posibilidades de esta aplicación, nos encontramos con que también es capaz de establecer pautas de actuación en determinadas situaciones, como que modifique la dirección al llegar a una determinada altitud. Pero lo que más miedo da es que es capaz de provocar un fallo en el sistema, de tal forma que el avión tome dirección de hacer una visita contra el suelo. Incluso es capaz de controlar la dirección del avión a través del acelerómetro del smartphone o tablet. Estas demostraciones se realizaron en simuladores y laboratorios, no sobre aeronaves certificadas en operación.
La aplicación solo funciona cuando el avión se encuentra con el piloto automático activado, y el piloto puede retomar el vuelo en cualquier momento, sin que la aplicación tenga ya ningún efecto. No obstante, Hugo Teso ha advertido que una vez que la aplicación se ha conectado al sistema, esta puede funcionar sin que sea advertido por parte de los pilotos. Recordamos, eso sí, que lo más probable es que ningún usuario con conocimientos básicos sea capaz de secuestrar un avión con esta aplicación. Sin embargo, es posible que también pueda ser útil en casos de secuestro, de tal manera que los pilotos puedan seguir controlando el avión aunque no estén en la cabina. El propio autor remarcó que su investigación está dirigida a evidenciar fallos y que no publicó detalles operativos que permitan su uso real.
Quién es Hugo Teso y qué presentó
Consultor de seguridad y piloto comercial, Teso expuso su trabajo en una conferencia especializada en ciberseguridad en Ámsterdam. Allí describió un framework de pruebas llamado SIMON, diseñado para investigar vulnerabilidades de sistemas aeronáuticos en entornos virtuales, y mostró la app de Android PlaneSploit como interfaz para lanzar pruebas contra dichos sistemas dentro del laboratorio. Según explicó, combinó hardware adquirido en mercados abiertos y software disponible públicamente para construir su banco de pruebas, una arquitectura que reproduce con fidelidad los métodos de conexión y comunicación aeronáutica, pero sin tocar aeronaves reales.
ADS-B y ACARS: por qué se señalaron como vectores
El trabajo de Teso pone el foco en dos pilares de la aviación moderna: ADS-B (Automatic Dependent Surveillance–Broadcast), que difunde identificación, posición y altitud de las aeronaves y facilita la conciencia situacional entre tráfico y control, y ACARS (Aircraft Communications Addressing and Reporting System), que gestiona el intercambio de mensajes entre aviones y estaciones en tierra vía radio o satélite. La investigación remarca que, por diseño histórico, carecen de autenticación y cifrado robustos, lo que abre la puerta a ataques de suplantación o inyección de mensajes en pruebas de laboratorio.
Sobre esa base, el equipo de pruebas demostró en simuladores cómo un atacante podría, si el sistema es vulnerable, influir en el FMS (Flight Management System) y la lógica del piloto automático. En la interfaz de PlaneSploit se describían capacidades como localizar vuelos (apoyándose en fuentes públicas tipo Flightradar24), identificar objetivos potencialmente vulnerables y, si correspondía en el entorno simulado, enviar cargas de prueba.
- Modificar parámetros de navegación (rumbo, altitud, velocidad) en aeronaves virtuales.
- Generar avisos o eventos en cabina, como alertas, o interactuar con pantallas según el simulador.
- Programar cambios condicionados (por ejemplo, a cierta altitud) dentro del entorno de pruebas.
- Control gestual de algunas acciones mediante sensores del teléfono en la demo.
La hipótesis inquietante es clara: sin controles criptográficos sólidos, la confianza en el origen de los mensajes puede verse comprometida. Ahora bien, que esa hipótesis sea explotable en campo depende de múltiples factores, entre ellos el software certificado a bordo, las medidas de segregación entre sistemas y los procedimientos operacionales.
Lo que dijeron fabricantes y autoridades
Tras la presentación, fabricantes como Honeywell y Rockwell Collins recalcaron que las pruebas se realizaron sobre simuladores y que el software certificado en aviación comercial incorpora protecciones de integridad y controles para evitar sobrescrituras no autorizadas. Organismos como la FAA y la Agencia Europea de Seguridad Aérea han valorado públicamente que esa demostración, por sí sola, no implica un riesgo directo para el hardware y software en operación.
Teso indicó haber notificado responsablemente a las compañías y a autoridades competentes, que aceptaron los informes para estudiar mitigaciones. Analistas independientes, como Graham Cluley, añadieron una nota de cautela: sin pruebas sobre aeronaves reales ni detalles técnicos publicados, no está claro el impacto exacto en flotas comerciales, si bien divulgar el problema ayuda a priorizar su solución.
Implicaciones, riesgos y buenas prácticas
El caso PlaneSploit ilustra la tensión entre innovación, legado tecnológico y seguridad. Aunque el escenario más alarmante acapara titulares, los mensajes clave son: no existe la app en canales públicos, la prueba se ejecutó en entornos controlados, y la industria ya aplica capas defensivas adicionales. En cualquier incidente potencial, los pilotos pueden desactivar el piloto automático y gestionar manualmente el vuelo siguiendo procedimientos establecidos.
Desde la perspectiva de ciberseguridad, la solución pasa por autenticación fuerte en enlaces críticos, segmentación de sistemas, monitorización de anomalías y programas de divulgación responsable. Si detectas fallos o sospechas técnicas, lo adecuado es remitirlos a los canales de reporte de fabricantes o a equipos CERT, nunca compartir instrucciones que faciliten un uso indebido.
La investigación de Hugo Teso no convierte por sí sola a cualquier smartphone en una amenaza inmediata a bordo; sí señala debilidades estructurales históricas y abre la puerta a mejoras. Ese es el verdadero valor: acelerar el refuerzo de los sistemas para que el ecosistema aeronáutico siga siendo uno de los más seguros del mundo.