En un país como España, donde el transporte ferroviario es esencial tanto para pasajeros como para mercancías, garantizar la seguridad en esta infraestructura crítica es prioritario. Uno de los sistemas clave para la seguridad de los trenes en España es el ASFA (Anuncio de Señales y Frenado Automático), un sistema que ha evolucionado a lo largo de los años, pero que aún sigue siendo un pilar fundamental en la red ferroviaria. Por ello, desde ESET, compañía líder en ciberseguridad, indican que es crucial no solo comprender el valor de sistemas como ASFA, sino también abordar los desafíos de seguridad que pueden surgir en su operación.
En este contexto, y en el marco de la reciente conferencia DEF CON 2024 celebrada en Las Vegas y en la que ha participado ESET, dos investigadores españoles han presentado una preocupante investigación que expone vulnerabilidades críticas en el sistema de seguridad ferroviaria ASFA. La investigación ha captado la atención de la comunidad internacional de ciberseguridad y movilidad, destacando la necesidad urgente de actualizar y proteger los sistemas de control ferroviario frente a posibles ciberataques.
"ASFA es un sistema de apoyo a la conducción diseñado para garantizar la seguridad en los trenes que circulan por la red ferroviaria española. Este sistema, implementado inicialmente en los años 70, sigue siendo ampliamente utilizado en la actualidad, especialmente en tramos donde aún no se han desplegado tecnologías más modernas. ASFA se basa en un conjunto de balizas y señales distribuidas en las vías que interactúan con receptores instalados en los trenes, ayudando a los maquinistas a reaccionar de manera adecuada ante las señales. Además, en situaciones específicas, el sistema puede tomar el control y detener el tren automáticamente en caso de que el conductor no reaccione según lo esperado", explica Josep Albors, director de investigación y concienciación de ESET España y uno de los asistentes de DEF CON 2024.
A lo largo de las décadas, el sistema ASFA ha sido objeto de diversas actualizaciones para mejorar su funcionalidad y robustez. Sin embargo, como ocurre con muchos sistemas legacy, la evolución tecnológica plantea nuevos retos en términos de ciberseguridad según ESET, especialmente en un entorno donde los ataques a infraestructuras críticas son cada vez más sofisticados.
Una advertencia sobre la ciberseguridad ferroviaria
Durante la DEF CON 2024, uno de los eventos de ciberseguridad más importantes a nivel mundial, celebrada en Las Vegas durante el mes de agosto, se presentó una investigación liderada por los españoles Gabriela García y David Meléndez. Los investigadores, que se interesaron por este tema hace ya tres años y comenzaron a explorar la viabilidad de explotar posibles vulnerabilidades en el sistema ferroviario español con la finalidad de corregirlas, demostraron cómo es posible replicar una baliza del sistema ASFA utilizando únicamente información de dominio público y herramientas accesibles.
Los españoles lograron replicar una baliza del sistema ASFA, capaz de configurarse para distintas funciones, incluso para detener un tren, aunque optaron por una versión que solo emite una señal de precaución. Esta baliza, configurable de manera similar a las reales, demuestra cómo el sistema ASFA, aunque antiguo y considerado uno de los más avanzados dentro de los sistemas legacy, sigue siendo vulnerable, lo que subraya la necesidad de mejorar su seguridad en España y otros países que usan tecnologías similares.
Aunque la investigación se enfocó en una configuración inofensiva de la baliza, como el aviso de precaución, sus estudios evidencian el riesgo potencial de que actores malintencionados puedan alterar la seguridad ferroviaria en un país. El objetivo de García y Meléndez no es generar alarma, sino subrayar la necesidad de tomar medidas preventivas y acelerar la adopción de tecnologías más avanzadas, como el ERMTS, que integra comunicaciones bidireccionales entre tren y vía.
"Algunos podrían llegar a pensar que investigaciones de este tipo pueden ser usadas de formas maliciosas por los atacantes pero se ha demostrado en numerosas ocasiones que la seguridad por oscuridad no funciona, por lo que es mejor que los investigadores saquen a la luz estas vulnerabilidades para que se solucionen o se tomen medidas para mitigar posibles ataques. Precisamente por este motivo se crearon eventos como DEF CON y muchos otros alrededor del mundo, como la RootedCon en Madrid", declara Albors.
