¿Sabías que una grave vulnerabilidad en los sistemas inalámbricos de las redes ferroviarias de Estados Unidos ha estado latente durante más de diez años? Esto expone a los trenes a interferencias remotas, un problema que afecta de manera directa a los dispositivos conocidos como End-of-Train (EoT). Estos dispositivos son cruciales, ya que transmiten datos desde el último vagón hasta la locomotora, manteniendo una conexión vital con el módulo Head-of-Train (HoT). Aunque se identificó el problema en 2012, no fue hasta que la intervención federal obligó a las autoridades a actuar que comenzó a recibir la atención que merece.
Detalles sobre la vulnerabilidad
Esta vulnerabilidad, que lleva el nombre de CVE-2025-1727, permite interrumpir las operaciones de los trenes estadounidenses utilizando hardware que podría costar menos de 500 dólares. Neils, un investigador de seguridad de hardware, fue quien dio la voz de alarma en 2012, justo cuando las radios definidas por software (SDR) estaban en auge. Su descubrimiento reveló que estas radios podían imitar fácilmente las señales entre los módulos HoT y EoT, lo que plantea una seria amenaza.
El sistema se basa en un sencillo checksum BCH y, para colmo, no tiene encriptación. Esto lo convierte en un blanco fácil, ya que cualquier dispositivo que opere en la misma frecuencia puede inyectar paquetes falsos. ¿Te imaginas? El HoT puede enviar comandos de freno al EoT, lo que significa que un atacante podría detener un tren de forma remota. ¡Increíble pero cierto!
“Esta vulnerabilidad aún no ha sido corregida”, afirmó Neils en redes sociales, mencionando que se necesitó más de una década y una advertencia pública de la Agencia de Seguridad Cibernética e Infraestructura (CISA) para que finalmente se comenzaran a tomar acciones significativas. A pesar de las alertas, la Asociación Americana de Ferrocarriles (AAR) inicialmente desestimó la vulnerabilidad como algo “teórico”.
Reacciones y cronología de los eventos
Desde que se identificó esta falla, los intentos de demostrarla se han encontrado con obstáculos, como la falta de un circuito de prueba dedicado por parte de la Autoridad Federal de Ferrocarriles y la negativa de la AAR a permitir el acceso a los sitios operativos. Aunque los hallazgos fueron publicados, la AAR continuó minimizando el riesgo, asegurando que los dispositivos estaban llegando al final de su vida útil y no requerían un reemplazo urgente. ¿Realmente es así de sencillo?
La situación no cambió hasta que CISA emitió un aviso formal, momento en el cual la AAR comenzó a trazar un plan para solucionar la vulnerabilidad. En abril de 2025, se anunció una actualización, pero la implementación completa no se espera hasta 2027. Este retraso plantea serias preocupaciones sobre la seguridad del sistema ferroviario estadounidense.
La raíz de esta vulnerabilidad se encuentra en una tecnología desarrollada en los años 80, que originalmente se diseñó para mitigar el riesgo de interferencias. Sin embargo, el acceso generalizado a las SDR ha cambiado drásticamente el panorama de riesgos. “Parece que cualquiera puede hackear un tren en EE. UU. y tomar control de los frenos”, advirtió Neils, capturando así la preocupación más amplia sobre la seguridad ferroviaria.
El futuro de la seguridad ferroviaria
La continua negación y el retraso en abordar este problema significan que los trenes estadounidenses pueden estar sentados sobre una bomba de tiempo. La falta de acción proactiva para solucionar esta falla crítica podría resultar en consecuencias devastadoras si no se toman medidas inmediatas. ¿Cómo es posible que esto siga ocurriendo?
Con el aumento de las amenazas cibernéticas en todas las áreas, la seguridad del transporte ferroviario no debe ser una excepción. Es imperativo que las autoridades y las organizaciones ferroviarias prioricen la actualización y protección de sus sistemas para garantizar la seguridad de los pasajeros y la integridad de las infraestructuras ferroviarias. La situación actual resalta la urgente necesidad de un enfoque más robusto hacia la ciberseguridad en el ámbito ferroviario.
