Dos investigadores españoles, Gabriela García y David Meléndez, presentaron durante el DEF CON 2024, uno de los eventos de ciberseguridad más importantes a nivel mundial, celebrado en Las Vegas (EEUU), un informe en el que destapan un importantísimo y grave fallo de seguridad en uno de los sistemas de control ferroviario español que se usa desde hace décadas.
García y Meléndez presentaron durante el marco del DEF CON 2024, su investigación sobre el sistema denominado ASFA (Anuncio de Señales y Frenado Automático) que consisten un conjunto de balizas distribuidas en las vías que interactúan con receptores instalados en los trenes, dándole instrucciones a los maquinistas para que desvíen el tren, lo paren, lo arranquen o limiten la velocidad.
Estos descubrieron que era posible interceptar y manipular estas comunicaciones entre las balizas y los trenes, lo que dejaba la pista libre para que alguien con malas intenciones podría dar indicaciones equivocadas a los maquinistas y causar el caos en el sistema ferroviario español.
En su presentación, pusieron en manifiesto la urgente necesidad de actualizar y proteger estos sistemas que llevan activos desde los años 70 y se utilizan en todas las vías ferroviarias que utilizan todos los trenes de Adif: RENFE, RAM y FGV.
Si bien es cierto que estas balizas funcionan bastante bien, no es tan complicado duplicarlas y enviar señales incorrectas a los trenes, para que estos paren, arranquen o superen límites de velocidad en zonas donde no deberían.
Los investigadores señalan que explotar este fallo es muy sencillo, ya que hay un montón de información abierta al público sobre estas balizas y su funcionamiento, además de que como las vías son antiguas y de fácil acceso, ni si quiera es costoso crear una baliza falsa y colocarla.
¿Cuál es la solución?
Después de sus descubrimientos, los investigadores han trabajado para diseñar una solución, y han presentado varias propuestas de medidas de seguridad que podrían solucionar este fallo y que se ajustan a todos los presupuestos.
Por ejemplo, que haya inspectores de vías que detecten si aparece algún dispositivo extraño o que no debería estar ahí, según señalan "En Italia hay trenes no tripulados que van inspeccionando la vía". Aunque ellos optarían por usar drones para ello, y así reducir el coste.
Aun así, señalan que sería necesario aplicar más medidas de protección y seguridad, y recomiendan usar el sistema ERTMS, que ya es utilizado en otros países de Europa, y que de hecho, la Comisión Europea pretende que todos los países miembro se acojan a él como parte de los esfuerzos para crear una red ferroviaria única dentro de toda la Unión.