ARTDEPARTMENT
ARTDEPARTMENT
Durante más de 13 abriles, una serio vulnerabilidad en los trenes estadounidenses ha permitido a cualquier persona con conocimientos técnicos básicos y un equipo de bajo coste manejar los frenos del postrero furgón de un tren en movimiento.
Lo peor es que este agujero de seguridad, descubierta por primera vez en 2012, ha sido sistemáticamente ignorada por la industria ferroviaria hasta que la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE.UU. (CISA, por sus siglas en inglés) intervino públicamente en 2024 con una advertencia formal.
Desde finales de los abriles 80, muchos trenes en EE. UU. usan un sistema inalámbrico que conecta la parte delantera (Head-of-Train o HoT) con la última parte del tren (End-of-Train o EoT). Este sistema envía datos como la presión del freno o si el postrero furgón sigue en su sitio.
Pero no es solo informativo: asimismo permite que el tren active los frenos desde la tren hasta la nalgas del tren si hay una emergencia.
El problema es que este sistema carece de una seguridad con estándares modernos: no sólo sus comunicaciones no están encriptadas, sino que fue enteramente diseñado bajo la suposición de que nadie más usaría las frecuencias reservadas para él.
Así, el protocolo que usan para remitir datos es tan débil que cualquier persona con un sistema de radiodifusión definido por software (SDR) puede imitar los comandos del sistema: es como si pudieras hackear un walkie-talkie y ordenar al tren que se detenga, sin que nadie se dé cuenta de que no fue el conductor quien lo hizo.
Si alguno activa los frenos de forma maliciosa:
"Todo el conocimiento para ocasionar el exploit ya existe en internet. Una IA incluso podría construirlo por ti". — Neil Smith
Pues adecuadamente, ya en 2012, el investigador independiente Neil Smith (sobrenombre Neils) descubre la vulnerabilidad al intentar con SDRs. Sin requisa, la AAR (Asociación de Ferrocarriles Americanos) y las empresas ferroviarias ignoraron el problema, alegando que era un puro supuesto teórico... y que no tenía sentido tomar medidas hasta que se produjera un incidente positivo.
Desde entonces, Neils ha señalado que el código necesario para explotar esta vulnerabilidad ya existía en Internet y que incluso un maniquí de inteligencia sintético podría recrearlo fácilmente.
Aunque se requiere cercanía física al tren (conveniente a la naturaleza de la señal de radiodifusión), esto no representa una barrera significativa: en caso necesario, puede utilizarse un dron para ello.
Esta postura se mantuvo incluso a posteriori de que Neil Smith publicara sus hallazgos en medios especializados: la AAR se dedicó a refutarlos públicamente en revistas generalistas como Fortune.
Parte del problema es estructural: la Autoridad Federal de Ferrocarriles (FRA) carece de instalaciones para pruebas de seguridad. Así, en 2024, más de una período a posteriori del descubrimiento, la AAR aún minimizaba el problema, indicando que los dispositivos vulnerables estaban "próximos a su obsolescencia".
Frente a su inacción, la Agencia de Ciberseguridad e Infraestructura (CISA) decidió emitir una alerta pública en 2024, reconociendo oficialmente la pesantez del peligro. Solo entonces la AAR comenzó a tomar medidas: en abril del mismo año anunciaron una aggiornamento del sistema, aunque su implementación no está prevista hasta 2027 como aniversario más temprana.
Esto implica que millones de toneladas de mercancías —incluyendo materiales peligrosos— seguirán dependiendo de un sistema inseguro durante al menos dos abriles más.
Vía | 404 Media
Imagen | Marcos Merino mediante IA
En Genbeta | "La cosa ha sido suficiente gorda": Melilla suma ya cinco días seguidos de corte informático tras un ciberataque
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.