El 8 de septiembre de 2024, The Verge y Bleeping Computer detallaron el hallazgo de Ian Carroll y Sam Curry: un fallo de SQL Injection en FlyCASS, la plataforma que pequeñas aerolíneas utilizan para inscribir tripulaciones en el programa TSA Known Crewmember. Al modificar el parámetro de nombre de usuario en el formulario de acceso con una simple inyección del tipo ’ OR ’1’=’1, los investigadores lograron autenticarse como administradores sin credenciales válidas y crear registros de pilotos falsos. Con esas credenciales fraudulentas, accedieron a las áreas restringidas de seguridad de varios aeropuertos, demostrando que el sistema no validaba correctamente las entradas antes de construir las consultas a la base de datos.
Modo de ataque y alcance
La vulnerabilidad permaneció activa durante meses, tiempo en el que cualquier actor malicioso que la detectara podía automatizar la creación de perfiles de tripulación inexistentes. Al explotar el SQL Injection, Carroll y Curry simularon pertenencia al programa Known Crewmember y obtuvieron pases exprés en controles TSA sin supervisión adicional. Aunque la TSA aseguró que utiliza otros mecanismos de verificación en paralelo, el experimento reveló que el acceso al sistema FlyCASS abría una vía crítica para eludir los protocolos primarios de control de pasajero.
Impacto en operaciones y finanzas
Tras la publicación de los resultados, la TSA suspendió inmediatamente el servicio FlyCASS y ordenó la auditoría de las credenciales generadas durante el período vulnerable. Varias aerolíneas de bajo coste tuvieron que reforzar manualmente sus procesos de acreditación de tripulación, lo que añadió costes operativos estimados en 2 millones de dólares por la implementación de controles físicos y revisiones manuales de documentación. Además, la confianza en los sistemas digitales de verificación de identidad se vio afectada, lo que motivó la inversión urgente en evaluaciones de seguridad para otros componentes críticos de la infraestructura aeroportuaria.
Recomendaciones y respuesta institucional
En las semanas siguientes, la TSA exigió la implementación de autenticación multifactor en FlyCASS, la parametrización de todas las consultas SQL y la realización de pruebas de penetración regulares enfocadas en inyección de código. También se recomendó a las aerolíneas monitorizar en tiempo real los logs de acceso al sistema y establecer alertas por patrones de creación masiva de registros, para detectar y bloquear intentos de manipulación antes de que lleguen a las instalaciones de control.