La red ferroviaria de España en jaque: un simple ataque cibernético podría parar trenes sin esfuerzo y crear el caos
Gabriela García, conocida como "constrainterror", y David Meléndez, alias "TaiksonTexas", son dos figuras destacadas en la comunidad de ciberseguridad en España. Este año presentaron una investigación en la RootedCON, el congreso de hacking más importante de nuestro país, donde se generó un gran impacto al demostrar cómo un ataque cibernético podría paralizar la red ferroviaria de trenes de todo un país.
Aunque evitaron especificar si esto sería posible en España, se refirieron a un país ficticio llamado "Espoña" para mantener la discusión en un marco hipotético. El problema es que ahora la investigación ha llegado a EE.UU. y ha sorprendido a los gigantes tecnológicos de la seguridad, los cuales han puesto “el grito en el cielo”.
España tiene un problema de seguridad con su red ferroviaria, un ataque cibernético puede dejar trenes parados en cualquier lugar
Tras su participación en la RootedCON, García y Meléndez volaron en agosto a Las Vegas para presentar sus hallazgos en la DEF CON, uno de los congresos de ciberseguridad más importantes del mundo. Aunque Meléndez ya había asistido a ediciones anteriores, esta vez su charla captó la atención de empresas como ESET, que alertó sobre "vulnerabilidades críticas en el sistema de seguridad ferroviaria en España". Y claro, esto dinamitó que la información corriese como la pólvora pese a ser conocida meses antes.
La investigación presentada por García y Meléndez se centró en el sistema ASFA, un conjunto de balizas utilizado en las vías ferroviarias de España, excepto en las líneas de alta velocidad. El ASFA, que significa "Anuncio de Señales y Frenado Automático", permite al maquinista recibir instrucciones al pasar por encima de las balizas, como detener el tren o realizar un adelantamiento seguro.
Sin embargo, los investigadores demostraron cómo estas balizas, que funcionan de manera similar a dispositivos simples como cargadores de cepillos de dientes, podrían ser manipuladas para detener trenes en cualquier lugar, incluso en situaciones peligrosas como túneles o intersecciones de vía. Ni que decir tiene que esto es realmente peligroso y expone a la red ferroviaria a múltiples ataques, choques, colisiones y demás.
Con un dispositivo rudimentario se puede parar un tren
Durante su presentación en la RootedCON, García y Meléndez llevaron un dispositivo que diseñaron para comprobar balizas, el cual consistía en un par de bobinas. El desarrollo de este dispositivo resultó ser bastante rudimentario, utilizando incluso latas de morteruelo de Cuenca (no es broma, fue real) para estabilizar las bobinas. A pesar de su simplicidad, demostraron que un ataque con este tipo de tecnología podría causar un caos significativo en la red ferroviaria, sembrando miedo y desestabilización.
La posibilidad de detener trenes con esta técnica fue recibida con escepticismo por algunos asistentes al congreso, quienes argumentaron que sería necesario fabricar una gran cantidad de bobinas para suplantar balizas de manera efectiva. Sin embargo, García refutó estos comentarios, señalando que un grupo motivado podría fabricar las bobinas con facilidad, incluso en casa, utilizando materiales comunes como hilo de cobre. Ya podemos imaginar la implicación que esto tiene por su simplicidad.
La preocupación principal de los investigadores no era solo la posibilidad de detener trenes, sino hacerlo de manera silenciosa, sin necesidad de obstáculos evidentes. David Meléndez explicó que las balizas ASFA son dispositivos pasivos que podrían ser manipulados para provocar fallos selectivos, controlándolas incluso a través de tecnología móvil como 3G, y esto es gravísimo.
El objetivo de García y Meléndez no era alarmar, sino poner de manifiesto la necesidad de abordar estas vulnerabilidades para evitar posibles ataques. Según Josep Albors, director de investigación de ESET España, la divulgación de estas fallas es crucial para que se puedan solucionar y prevenir futuros incidentes, una filosofía que subraya la importancia de eventos como DEF CON y RootedCON en la comunidad de ciberseguridad global. Esperemos que el Ministro de Transporte corrija rápidamente este fallo tan simple como grave...