Introducción: el fin de semana en que Europa volvió al papel

Viernes por la noche, septiembre de 2025. Introducción: el fin de semana en que Europa volvió al papel Viernes por la noche, septiembre de 2025. En varios de los principales aeropuertos europeos, las colas frente a los mostradores de facturación empiezan a crecer de forma inusual. Las máquinas de self check-in no funcionan, los kioscos de impresión de tarjetas de embarque se reinician en bucle y las pantallas internas muestran mensajes de error. Lo que al principio parece “un problema técnico” termina revelándose como un ataque de ransomware al sistema de check-in MUSE de Collins Aerospace, proveedor de varias aerolíneas y aeropuertos.

Durante tres días, aeropuertos como Heathrow, Bruselas y Berlín-Brandenburgo sufren centenares de retrasos y cancelaciones. Las aerolíneas improvisan procesos manuales: listas de pasajeros impresas, etiquetas de equipaje escritas a mano, embarques con megáfono. Todo ello sin que la seguridad de los vuelos se vea comprometida, pero con una gran pérdida de capacidad y confianza del público.

El incidente es un caso de estudio perfecto sobre cómo un ataque informático a un eslabón de la cadena de suministro digital puede escalar hasta convertirse en una crisis operacional internacional.

Anatomía del ataque: un proveedor, muchos aeropuertos

Según la Agencia Europea de Ciberseguridad (ENISA) y análisis posteriores de firmas especializadas, el ataque fue un ransomware dirigido al entorno del proveedor, no a los sistemas internos de los aeropuertos.

Algunos elementos clave:

• Los atacantes comprometen la infraestructura de MUSE, el sistema común de procesamiento de pasajeros.

• El cifrado y/o apagado de servicios afecta simultáneamente a varios aeropuertos y aerolíneas que dependen de la misma plataforma.

• Los sistemas de control de tránsito aéreo y seguridad física no fueron impactados, pero la capacidad de procesar pasajeros y equipaje se redujo drásticamente.

• La vuelta a la operación normal requirió restaurar servicios, limpiar sistemas y, sobre todo, reconstruir la confianza entre proveedores y clientes.

El mensaje para el sector es claro: la seguridad cibernética de la aviación es tan fuerte como su proveedor más débil.

NIS2 y la nueva realidad regulatoria

Este ataque se produce en pleno despliegue de la Directiva NIS2 de la Unión Europea, que clasifica a aeropuertos, aerolíneas y proveedores TIC clave como “entidades esenciales”.

Esto implica obligaciones reforzadas de:

• Gestión de riesgos de ciberseguridad.

• Notificación rápida de incidentes significativos.

• Gobernanza (responsabilidades claras del nivel directivo).

El incidente de Collins/MUSE sirve de “prueba de estrés” para NIS2:

• Pone de relieve la importancia de evaluar el riesgo de terceros (contratos, auditorías, certificaciones).

• Obliga a los operadores a demostrar que tienen planes de continuidad y contingencias manuales para mantener operaciones esenciales aunque fallen los sistemas digitales.

• Refuerza el papel de ENISA como punto focal europeo para coordinar la respuesta, compartir indicadores de compromiso y publicar lecciones aprendidas.

De la pantalla al pasajero: impacto humano y operativo

Más allá de los titulares, ¿qué ocurre en el terreno cuando un aeropuerto “pierde” su sistema de check-in?

• El tiempo de procesamiento por pasajero se multiplica, generando colas que pueden ocupar todo el hall de salidas.

• Aumenta el riesgo de errores manuales (nombres mal escritos, equipaje etiquetado erróneamente, desbalances de peso mal calculados si no hay herramientas adecuadas).

• El personal de tierra y de las aerolíneas ve su estrés incrementado, lo que afecta a la calidad del servicio y potencialmente a la seguridad si confluyen otros factores.

• Los pasajeros, sin información clara, recurren a redes sociales para quejarse, amplificando el daño reputacional.

Este tipo de eventos demuestra que la ciberseguridad no es solo un problema técnico, sino una cuestión de experiencia del pasajero y resiliencia de modelo de negocio.

Lecciones para aeropuertos, aerolíneas y autoridades

A partir de este caso, se pueden extraer varias lecciones accionables:

1. Mapear la dependencia de terceros

   • Inventario de todos los sistemas críticos y sus proveedores.

   • Evaluar qué ocurriría si un proveedor clave cae durante horas o días.

     
     

2. Incluir ciberresiliencia en los contratos

   • Cláusulas de seguridad mínimas, pruebas de penetración periódicas, certificaciones.

   • Acuerdos sobre tiempos máximos de indisponibilidad y canales de comunicación en crisis.

     
     

3. Planificación de contingencias “analógicas”

   • Procedimientos para operar en modo degradado: listas impresas, flujos separados para equipaje, priorización de vuelos críticos (conexiones, evacuaciones médicas, etc.).

   • Simulacros integrados que involucren a aerolínea, aeropuerto y proveedor.

     
     

4. Cultura de ciberseguridad

   • Entrenamientos regulares para todo el personal, no solo TI.

   • Canales para reportar anomalías (phishing, accesos sospechosos) sin miedo a represalias.

     
     

5. Coordinación con reguladores y CERT nacionales

   • Uso temprano de los Centros Nacionales de Respuesta a Incidentes (CSIRT).

   • Participación en ejercicios paneuropeos de cibercrisis.

En conjunto, la idea central es que los aeropuertos deben verse a sí mismos como infraestructura digital crítica, no solo como edificios con pistas.

Así como la aviación aprendió tras el 11-S que la seguridad física tenía que integrarse en cada eslabón de la cadena, el episodio de los aeropuertos europeos y muchos otros incidentes recientes muestran que la ciberseguridad es ya una tercera capa inseparable del safety y del security clásicos.

La experiencia de este ataque dejó una moraleja clara para la comunidad: