MADRID, 22 Ago. (Portaltic/EP) -
Los investigadores españoles Gabriela García y David Meléndez han presentado recientemente en la conferencia DEF CON 2024 de Las Vegas (Estados Unidos) una investigación que expone vulnerabilidades críticas en el sistema de seguridad ferroviaria 'Anuncio de Señales y Frenado Automático' (ASFA).
ASFA es un sistema de apoyo a la conducción basado en balizas y receptores instalados en los trenes, que avisa al maquinista del estado de la señal más próxima en su sentido de marcha para que pueda reaccionar ante la información que reciben, por ejemplo, modificando la velocidad. Si el conductor no reacciona no debería, y en casos determinados, el sistema puede tomar el control del tren y frenarlo automáticamente.
Este sistema se implantó en la red ferroviaria española en los años 70 y sigue teniendo un uso extendido, principalmente en los tramos donde aún no se han instalado tecnologías más modernas. En todos estos años ha recibido actualizaciones, pero como apuntan desde la firma de seguridad ESET, la evolución tecnológica plantea nuevos retos en términos de ciberseguridad, especialmente en un entorno donde los ataques a infraestructuras críticas son cada vez más sofisticados.
En este contexto, Gabriela García y David Meléndez comenzaron hace tres años a explorar la viabilidad de explotar posibles vulnerabilidades en el sistema ferroviario español con la finalidad de corregirlas, y demostraron que es posible replicar una baliza del sistema ASFA utilizando únicamente información de dominio público y herramientas accesibles.
Los investigadores lograron replicar una baliza del sistema ASFA, capaz de configurarse para distintas funciones, incluso para detener un tren, aunque optaron por una versión que solo emite una señal de precaución, como han mostrado en el marco de DEF CON 2024.
Como apuntan desde ESET en una nota de prensa, este estudio evidencia el riesgo potencial de que actores malintencionados puedan alterar la seguridad ferroviaria en un país, poniendo sobre la mesa el hecho de que el sistema ASFA sigue siendo vulnerable, lo que subraya la necesidad de mejorar su seguridad en España y otros países que usan tecnologías similares.
"Algunos podrían llegar a pensar que investigaciones de este tipo pueden ser usadas de formas maliciosas por los atacantes pero se ha demostrado en numerosas ocasiones que la seguridad por oscuridad no funciona, por lo que es mejor que los investigadores saquen a la luz estas vulnerabilidades para que se solucionen o se tomen medidas para mitigar posibles ataques", ha añadido el director de investigación y concienciación de ESET España y uno de los asistentes de DEF CON 2024, Josep Albors.