Dos investigadores españoles han presentado una preocupante investigación que expone vulnerabilidades críticas en el sistema de seguridad ferroviaria ASFA (Anuncio de Señales y Frenado Automático), un sistema de apoyo a la conducción diseñado para garantizar la seguridad en los trenes inicialmente implementado en España los años 70 y que sigue siendo un pilar fundamental en la red ferroviaria.
La investigación liderada por Gabriela García y David Meléndez, que se ha expuesto en el marco de la reciente conferencia DEF CON 2024 celebrada en Las Vegas, ha captado la atención de la comunidad internacional de movilidad y ciberseguridad, destacando la necesidad urgente de actualizar y proteger los sistemas de control ferroviario frente a posibles ciberataques.
A lo largo de las décadas, el sistema ASFA ha sido objeto de diversas actualizaciones para mejorar su funcionalidad y robustez. Sin embargo, como ocurre con muchos sistemas legacy, la evolución tecnológica plantea nuevos retos en términos de ciberseguridad.
Los investigadores, que se interesaron por este tema hace ya tres años y comenzaron a explorar la viabilidad de explotar posibles vulnerabilidades en el sistema ferroviario español con la finalidad de corregirlas, demostraron cómo es posible replicar una baliza del sistema ASFA utilizando únicamente información de dominio público y herramientas accesibles.
Los españoles lograron replicar una baliza del sistema ASFA, capaz de configurarse para distintas funciones, incluso para detener un tren, aunque optaron por una versión que solo emite una señal de precaución. Esta baliza, configurable de manera similar a las reales, demuestra cómo el sistema ASFA, aunque antiguo y considerado uno de los más avanzados dentro de los sistemas legacy, sigue siendo vulnerable, lo que subraya la necesidad de mejorar su seguridad en España y otros países que usan tecnologías similares.
Aunque la investigación se enfocó en una configuración inofensiva de la baliza, como el aviso de precaución, sus estudios evidencian el riesgo potencial de que actores malintencionados puedan alterar la seguridad ferroviaria en un país. El objetivo de García y Meléndez no es generar alarma, sino subrayar la necesidad de tomar medidas preventivas y acelerar la adopción de tecnologías más avanzadas, como el ERMTS, que integra comunicaciones bidireccionales entre tren y vía.
“Algunos podrían llegar a pensar que investigaciones de este tipo pueden ser usadas de formas maliciosas por los atacantes, pero se ha demostrado en numerosas ocasiones que la seguridad por oscuridad no funciona, por lo que es mejor que los investigadores saquen a la luz estas vulnerabilidades para que se solucionen o se tomen medidas para mitigar posibles ataques. Precisamente por este motivo se crearon eventos como DEF CON y muchos otros alrededor del mundo, como la RootedCon en Madrid”, explica Josep Albors, director de investigación y concienciación de ESET España y también asistente en DEF CON 2024.