La Agencia Nacional contra el Crimen detuvo a un sospechoso de lanzar el ataque de ransomware que afectó el sistema de procesamiento de pasajeros de Collins Aerospace, provocando retrasos y cancelaciones en varios aeropuertos de Europa. El sujeto fue liberado bajo fianza, pero la investigación continúa.
La Agencia Nacional contra el Crimen del Reino Unido (NCA) informó este miércoles la detención de un hombre de unos 40 años, vinculado al ataque de ransomware que interrumpió el software vMUSE, utilizado en la gestión de pasajeros en diferentes aeropuertos de Europa y que generó un enorme caos desde el pasado 19 de septiembre.
Las autoridades señalaron que, tras la detención, el sospechoso fue liberado, bajo fianza, mientras continúa la investigación. “Este arresto es un paso positivo, pero la investigación sigue en sus primeras etapas”, declaró Paul Foster, jefe de la Unidad Nacional de Ciberdelincuencia de la NCA. El organismo no especificó si el sospechoso actuó en solitario o como parte de un grupo organizado.
El ataque afectó directamente al sistema Multi-User System Environment (MUSE) desarrollado por Collins Aerospace, subsidiaria de la corporación estadounidense RTX (antes Raytheon Technologies). Dicho software permite a varias aerolíneas compartir mostradores de facturación, puertas de embarque y sistemas de equipaje en los aeropuertos. Según la propia empresa, el incidente “se produjo en redes específicas de clientes, fuera de la red corporativa de RTX”.
La magnitud del impacto fue inmediata y de gran alcance. Aeropuertos como Heathrow en Londres, Bruselas, Berlín Brandenburg, Dublín y Cork se vieron obligados a operar con procesos manuales, lo que ocasionó colas interminables, cancelaciones y demoras en cientos de vuelos. En Heathrow, más de la mitad de los aviones partieron con retraso, mientras que en Bruselas la cifra superó el 80% en la mañana del jueves pasado.
Collins Aerospace señaló en un documento presentado ante la Comisión de Bolsa y Valores de Estados Unidos (SEC) que activó de inmediato su plan de respuesta a incidentes, con apoyo de expertos internos y externos en ciberseguridad. También dio cuenta en el documento que informó a las autoridades nacionales e internacionales, y aseguró estar asistiendo a aerolíneas y aeropuertos afectados.
No obstante, la recuperación no ha sido sencilla. Según el investigador en ciberseguridad Kevin Beaumont, el malware involucrado sería una variante básica llamada HardBit, aunque otros reportes apuntan a Loki. Ambos son modelos de “ransomware como servicio” que suelen emplearse en ataques de menor escala. Beaumont criticó la respuesta técnica: “Nunca había visto un incidente así. Los dispositivos se reinfectan y eso demuestra una higiene de seguridad muy pobre”.
Aunque la recuperación de los dispositivos infectados no ha sido sencilla y está lejos de terminar, los problemas operativos iniciales han comenzado a superarse y la situación se ha estabilizado en algunos aeropuertos. Heathrow reportó que la mayoría de los vuelos ya operan con normalidad, mientras que Dublín afirmó que las operaciones se están “moviendo bien”. Sin embargo, en Berlín y Bruselas persisten retrasos y se prevén más cancelaciones en los próximos días.