Cualquier hacker puede activar remotamente los frenos de los trenes de EE.UU.: hace 13 años que se sabe y nadie lo ha arreglado aún

Durante más de 13 años, una grave vulnerabilidad en los trenes estadounidenses ha permitido a cualquier persona con conocimientos técnicos básicos y un equipo de bajo coste accionar los frenos del último vagón de un tren en movimiento.

Lo peor es que este agujero de seguridad, descubierta por primera vez en 2012, ha sido sistemáticamente ignorada por la industria ferroviaria hasta que la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE.UU. (CISA, por sus siglas en inglés) intervino públicamente en 2024 con una advertencia formal.

¿Cómo funcionan esos trenes?

Desde finales de los años 80, muchos trenes en EE. UU. usan un sistema inalámbrico que conecta la parte delantera (Head-of-Train o HoT) con la última parte del tren (End-of-Train o EoT). Este sistema envía datos como la presión del freno o si el último vagón sigue en su sitio.

Pero no es solo informativo: también permite que el tren active los frenos desde la locomotora hasta la cola del tren si hay una emergencia.

¿Cuál es el fallo?

El problema es que este sistema carece de una seguridad con estándares modernos: no sólo sus comunicaciones no están encriptadas, sino que fue enteramente diseñado bajo la suposición de que nadie más usaría las frecuencias reservadas para él.

Así, el protocolo que usan para enviar datos es tan débil que cualquier persona con un sistema de radio definido por software (SDR) puede imitar los comandos del sistema: es como si pudieras hackear un walkie-talkie y ordenar al tren que se detenga, sin que nadie se dé cuenta de que no fue el conductor quien lo hizo.

¿Qué consecuencias podría tener?

Si alguien activa los frenos de forma maliciosa:

• El tren se detiene repentinamente, lo que podría provocar descarrilamientos, colisiones por alcance o interrupciones del servicio.
• Imagina esto ocurriendo con trenes de carga con materiales peligrosos.
• También puede servir como distracción para otros actos más graves.

¿Desde cuándo se conoce este problema?

Pues bien, ya en 2012, el investigador independiente Neil Smith (alias Neils) descubre la vulnerabilidad al experimentar con SDRs. Sin embargo, la AAR (Asociación de Ferrocarriles Americanos) y las empresas ferroviarias ignoraron el problema, alegando que era un mero supuesto teórico… y que no tenía sentido tomar medidas hasta que se produjera un incidente real.

Desde entonces, Neils ha señalado que el código necesario para explotar esta vulnerabilidad ya existía en Internet y que incluso un modelo de inteligencia artificial podría recrearlo fácilmente.

Aunque se requiere cercanía física al tren (debido a la naturaleza de la señal de radio), esto no representa una barrera significativa: en caso necesario, puede utilizarse un dron para ello.

Esta postura se mantuvo incluso después de que Neil Smith publicara sus hallazgos en medios especializados: la AAR se dedicó a refutarlos públicamente en revistas generalistas como Fortune.

Parte del problema es estructural: la Autoridad Federal de Ferrocarriles (FRA) carece de instalaciones para pruebas de seguridad. Así, en 2024, más de una década después del descubrimiento, la AAR aún minimizaba el problema, indicando que los dispositivos vulnerables estaban “próximos a su obsolescencia”.

¿Qué medidas se han tomado?

Ante su inacción, la Agencia de Ciberseguridad e Infraestructura (CISA) decidió emitir una alerta pública en 2024, reconociendo oficialmente la gravedad del riesgo. Solo entonces la AAR comenzó a tomar medidas: en abril del mismo año anunciaron una actualización del sistema, aunque su implementación no está prevista hasta 2027 como fecha más temprana.

Esto implica que millones de toneladas de mercancías —incluyendo materiales peligrosos— seguirán dependiendo de un sistema inseguro durante al menos dos años más.