Dos hackers revelan que es factible parar trenes en España gracias a una vulnerabilidad en las vías y su hallazgo ha llegado a EEUU
REUTERS/Marcelo del Pozo
- Dos investigadores españoles presentaron en la RootedCON de marzo sus hallazgos sobre cómo sería posible detener trenes en un país ficticio.
- En agosto han ido a uno de los mayores congresos de ciberseguridad del mundo, la DEF CON de EEUU, para contar que un país real con ese problema es... España.
Gabriela García y David Meléndez son dos hackers bien conocidos en la comunidad española de ciberseguridad. Ella usa el nickname de constrainterror, y él también es conocido en redes por el de TaiksonTexas. Este año presentaron en la RootedCON, el mayor congreso de hacking del país, una investigación que demostraba cómo se podrían paralizar los trenes de todo un país.
La charla fue la más celebrada de la última edición de la Rooted, que tuvo lugar entre los días 7 y 9 de marzo de 2024. Por supuesto, llegó a algunos medios. Sin embargo, en la charla los hackers prefirieron no concretar si el eventual ataque a la red ferroviaria se podría producir en España, si aquí se darían las circunstancias para que un incidente como este tuviese lugar.
Por eso los hackers hablaban en todo momento de un país ficticio llamado Espoña.
No es la primera vez que la Rooted acoge una charla tan excepcionalmente delicada como esta. Apenas un par de ediciones atrás, el mismo congreso fue el lugar en el que una empresa de ciberseguridad española, Tarlogic, reveló una vulnerabilidad en los contadores inteligentes de la luz con la que actores maliciosos podrían llegar a dejar sin electricidad a barrios enteros.
La organización de la propia RootedCON siempre destaca este tipo de ponencias porque su propósito es, fundamentalmente, poner de relieve el talento hacker que existe en España y hacer crecer su comunidad. De hecho, en la última edición uno de sus organizadores ya avanzaba que la Rooted planea internacionalizarse para exportar y promocionar ese talento.
Con la investigación de García y Meléndez la RootedCON solo tuvo que poner el primer escenario. Este mes de agosto García y Meléndez han volado a Las Vegas, en EEUU, para continuar presentando sus hallazgos en la DEF CON, uno de los mayores congresos de ciberseguridad de todo el planeta.
No era la primera vez que acudían —Meléndez ya ha estuvo en ediciones previas de una DEF CON que, por cierto, dispara la paranoia de los vecinos en Las Vegas—. Pero esta vez la charla ha llamado la atención de firmas de ciberseguridad como ESET, que ha difundido notas alertando, esta vez ya sí, del hallazgo de "vulnerabilidades críticas en el sistema de seguridad ferroviaria en España".
Una lata de morteruelo de Cuenca y la posibilidad de detener trenes en mitad de la nada
La vulnerabilidad que García y Meléndez compartieron ya en marzo en España tiene que ver con el ASFA, un sistema de balizas radicado en las vías férreas del país —salvo en las líneas de alta velocidad— y cuyas siglas corresponden a Anuncio de Señales y Frenado Automático.
"Una preocupante investigación expone vulnerabilidades críticas en el sistema de seguridad ferroviaria ASFA. La investigación ha captado la atención de la comunidad internacional de ciberseguridad y movilidad, destacando la necesidad urgente de actualizar y proteger los sistemas de control ferroviario frente a posibles ciberataques", continúa el comunicado de ESET.
El sistema ASFA es, para que se entienda de una forma sencilla, un sistema de balizas. Cuando un tren pasa por encima de una, la locomotora recoge su señal y en cabina el maquinista podrá ver una indicación. En algunos países, el sistema análogo al ASFA indica al tren una luz verde o una luz roja —puede continuar o debe frenar—. En España las balizas arrojan varias instrucciones más.
De este modo, el sistema ASFA es utilizado por ejemplo para detener trenes con el objeto de garantizar un rebase —un adelantamiento— con seguridad o para dirigir el tráfico ferroviario.
Business Insider España tuvo la oportunidad de charlar con los investigadores semanas después de que presentaran su charla en la Rooted. En aquella ocasión, Meléndez remarcaba que investigando sobre las balizas, accediendo a documentación pública, tanto él como su compañera vieron que la tecnología era como la de un cargador de cepillos de dientes o de cocinas de inducción.
"Extrapolando, planteamos la posibilidad de hacer un dispositivo que digamos que pudiese identificar balizas simplemente poniéndolo encima de una". "Planteamos la hipótesis de que, teniendo ese sistema para comprobar balizas, se podría inferir cómo construir una falsa y por lo tanto existiría la posibilidad de que un tercero pudiese parar un tren".
"Creando una baliza que indicara rojo a la cabina cuando el tren estuviese en mitad de la nada, por ejemplo", remachó.
A la Rooted tanto García como Meléndez llevaron ese comprobador. De hecho, el dispositivo no era algo mucho más sofisticado que un par de bobinas. "El tema de las bobinas es tremendamente esotérico", recordaba Gabriela García entre risas. "Una de las cosas que tiene de esotérico es que lo que logró estabilizar una de las bobinas fue una lata de pollo y la otra, una de morteruelo de Cuenca".
Detener un tren puede sembrar el caos, pero también desatar el terror
La presentación de la investigación ya causó revuelo en la propia RootedCON. El transcurso de la misma contó incluso con espontáneos del público que cuestionaban que la vulnerabilidad pudiese ser explotada de forma efectiva. "Nos dijeron que con esto solo se podría parar un tren, no es como un avión, que se puede estrellar", rememoraba García.
"Pero, ¿cuál es el problema de parar un tren? Una opción: que actores maliciosos paren 10 trenes de golpe en toda la infraestructura española. Casualmente, las balizas ASFA están en todos los Cercanías. Para empezar, que una persona lea que se han detenidos 10 trenes seguramente decida no coger ninguno ese día por si acaso. Como mínimo siembras el caos", deslizaba.
"Lo segundo: se podrían parar trenes en intersecciones de vía. Esto es lo más peligroso", continuaba constrainterror. Una tercera posibilidad: que alguien parase trenes en túneles. "Ya no siembras miedo y caos sino que además siembras un terror absurdo en la gente".
Las balizas se energizan cuando un tren pasa por encima y algunas salvaguardas plantean la emisión de una señal a una torre cercana que confirma que la indicación de la baliza es la correcta. Fuentes de Adif han confirmado a medios como El Confidencial que si se suplantara una baliza del ASFA tendrían que darse una serie de problemas en varios sistemas antes de llegar a detener un tren.
Los propios investigadores ya eran conscientes de esto meses atrás, antes de que llevaran sus hallazgos a Las Vegas. Gabriela García explicaba por ejemplo que hay balizas variables, que tienen varios comportamientos, y una de las indicaciones que pueden dar estas balizas es la de autorizar o no un rebase.
Cuando un maquinista recibe la señal de rebase autorizado para adelantar a otro tren en vía, este se conecta por radio con el tren tierra, explicaba David Meléndez. Pero García continuaba: "Y está súper probado que meterte en una frecuencia de radio es... puedes llamar a David Marugán". Marugán es un conocido hacker español especializado en sistemas de radio.
"Parar tres trenes ya es una anomalía lo suficientemente grande"
Ya en marzo, la charla que dieron tanto García como Meléndez generó todo tipo de reacciones, desde las "muy buenas" a algunas "más complejas". "Nuestro trabajo era avisar de lo que hay y ponernos a disposición de quien necesite cualquier tipo de ayuda a este respecto".
En la RootedCON, eso sí, se evitó reconocer que se trataba de una vulnerabilidad presente en España. Algunos de los asistentes a la charla cuestionaban el alcance del problema con argumentos muy dispares: "Es que tendrías que construir 1.000 bobinas para identificar y luego suplantar balizas".
"En realidad no, pero una bobina no es más que un hilo de cobre", exponía entonces Gabriela García en conversación con este medio. "Te puedes sentar un día mientras ves una serie para darle vueltas a varias bobinas. Un comando terrorista que de verdad quiera hacer daño y esté motivado puede poner a 10 personas con varios hilos de cobre cada uno y te las sacan en un momento".
No hace falta ni comprar las bobinas hechas: en cualquier ferretería puedes comprar hilo de cobre. "Es lo que nos preocupa, no queríamos empezar la charla aterrorizando, pero por eso creemos que la organización de la Rooted se tomó la charla tan en serio: con esta vulnerabilidad puedes paralizar la red ferroviaria de un país entero. Si un Cercanías no sale, el AVE tampoco".
"Tres trenes parados es una anomalía lo suficientemente grande como para que la gente se asuste".
De hecho, David Meléndez enfatizaba que esa metodología se podría incluso sofisticar. "Una baliza no es más que una bobina y un condensador puestos en serie en un circuito cerrado, no tiene batería. Funciona pasivamente. No necesita estar energizada constantemente. Podrían provocarse fallos selectivos. Con un 3G podrías controlar una baliza y activarla o desactivarla".
"Un tren lo puedes parar cruzando un automóvil en la vía, evidentemente. Pero la gracia de esto es que se pueden detener trenes de forma silenciosa, no tienes que poner ningún obstáculo en vía ni nada que resulte súper evidente".
El objetivo de los investigadores no ha sido nunca generar alarma, por eso la prudencia vista desde que se compartió la charla por primera vez en la Rooted hace meses. En palabras de Josep Albors, director de investigación de ESET España, que también acudió a la DEF CON de agosto, "algunos podrían llegar a pensar que investigaciones como esta pueden ser usadas de forma maliciosa".
Pero no es así. "Se ha demostrado que la seguridad por oscuridad no funciona, por lo que es mejor que los investigadores saquen a la luz estas vulnerabilidades para que se solucionen o se tomen medidas para mitigar posibles ataques. Precisamente por este motivo se crearon eventos como DEF CON y muchos otros alrededor del mundo, como la RootedCON", zanja.
Conoce cómo trabajamos en BusinessInsider.
Etiquetas: Trending, Movilidad, España, Renfe, Ciberseguridad