La Agencia Nacional contra el Crimen del Reino Unido (NCA) informó la detención de un hombre de 40 años en West Sussex en el marco de la investigación del ciberataque que afectó a Collins Aerospace y a su matriz, RTX Corporation. El incidente provocó disrupciones en procesos críticos de aeropuertos europeos, como la facturación, el despacho de equipaje y la impresión de tarjetas de embarque. El sospechoso fue puesto en libertad bajo fianza mientras continúan las diligencias. Según la NCA, «aunque este arresto es un paso relevante, la investigación se encuentra en una fase temprana y sigue en curso».
Ataque a ARINC SelfServ vMUSE: la capa crítica del check-in automatizado
El golpe se dirigió contra los kioscos de autoservicio ARINC SelfServ vMUSE de Collins Aerospace, ampliamente usados por aerolíneas y aeropuertos para operaciones en mostradores de check-in y zonas de equipaje. La compañía confirmó una “interrupción vinculada a un ciberataque” que degradó el software de varios aeropuertos en Europa. Al impactar una plataforma centralizada que orquesta múltiples terminales, la indisponibilidad se tradujo rápidamente en colas, retrasos y reprogramaciones, evidenciando la sensibilidad del ecosistema de operaciones en tierra a fallos de un proveedor clave.
Consecuencias operativas: cancelaciones y vuelta a procedimientos manuales
Desde el viernes 19 de septiembre de 2025, aeropuertos de Berlín, Bruselas y Londres reportaron problemas en sistemas electrónicos. Diversas aerolíneas activaron procedimientos de contingencia: emisión manual de tarjetas de embarque, uso de equipos de respaldo y flujos alternativos de facturación. La intensidad del impacto varió según el grado de despliegue de vMUSE en cada terminal.
El aeropuerto de Bruselas resultó especialmente afectado, con decenas de vuelos cancelados entre el domingo y el lunes. Según la administración, se solicitó a las aerolíneas la cancelación de aproximadamente 140 vuelos para el lunes 22 de septiembre; ya se habían cancelado 25 el sábado y otros 50 el domingo. Las decisiones se atribuyeron a la imposibilidad del proveedor de suministrar con rapidez una “nueva versión segura” del sistema de registro.
Atribución preliminar: HardBit o Loki, sin confirmación oficial
Los detalles técnicos del compromiso no se han hecho públicos. Fuentes independientes apuntan a la posible implicación de ransomware: el investigador Kevin Beaumont mencionó una variante “muy básica” como HardBit, mientras que BleepingComputer citó indicios de Loki. Estas hipótesis no cuentan con confirmación oficial, algo habitual en etapas iniciales, cuando la prioridad es restablecer servicios y preservar evidencias forenses sólidas para una atribución confiable.
Análisis: riesgo de cadena de suministro y monocultivo tecnológico
El caso ilustra un riesgo clásico de cadena de suministro: el compromiso de un proveedor con presencia transversal puede desencadenar fallos en cascada. Terminales de check-in y kioscos son puntos distribuidos que dependen de componentes centralizados y actualizaciones confiables. Incluso herramientas maliciosas relativamente simples pueden provocar efectos operativos desproporcionados cuando impactan un monocultivo de plataforma. Incidentes previos refuerzan esta dinámica: el apagón operativo por una actualización defectuosa de software de seguridad en 2024 obligó a múltiples aeropuertos a operar en modo degradado; el ataque a la cadena de suministro de 2017 afectó a operadores globales con costes multimillonarios; y brechas en proveedores de servicios para aerolíneas han expuesto datos de pasajeros en años recientes.
Controles técnicos prioritarios para aeropuertos y aerolíneas
Segmentación y control de acceso: separar redes de kioscos/mostradores, aplicar MFA y privilegios mínimos, y aislar accesos de terceros bajo principios Zero Trust.
Integridad de software y parches: exigir firma de código, validación en “sandbox”, despliegue gradual y bloqueo de binarios no autorizados (application allowlisting).
Detección y respuesta: EDR/NGAV en nodos críticos, telemetría centralizada y reglas específicas para procesos vMUSE y dependencias.
Resiliencia: copias de seguridad inmutables de configuraciones, imágenes doradas verificadas y planes de conmutación a procedimientos manuales probados periódicamente.
Gobernanza, contratos y preparación
Cláusulas con proveedores: requisitos de ciberresiliencia, RTO/RPO medibles y mecanismos de rotación urgente de versiones.
Gestión del riesgo de terceros: SBOM, auditorías de seguridad, evaluación continua y ejercicios conjuntos de respuesta a incidentes con proveedores y aerolíneas.
Marcos de referencia: alinear controles con NIST CSF 2.0, ISO/IEC 27001 e indicaciones de ENISA; compartir inteligencia con la comunidad (por ejemplo, A-ISAC) para anticipar amenazas.
Los ciberincidentes en aviación escalan rápidamente a problemas operativos. Minimizar el impacto exige preparación para operar en modo degradado, higiene rigurosa de la cadena de suministro y planes de recuperación ensayados. El sector debería acelerar requisitos estandarizados de ciberresiliencia para proveedores críticos y reforzar la colaboración de inteligencia de amenazas. La inversión en controles y pruebas hoy reduce cancelaciones y costes mañana; es el momento de revisar contratos, endurecer la validación de software y entrenar a los equipos en escenarios realistas.