Una vulnerabilidad crítica que permite a los hackers manipular los frenos de los trenes ha salido a la luz, afectando a los sistemas End-of-Train (EoT) y Head-of-Train (HoT). La Agencia de Ciberseguridad e Infraestructura (CISA) de EE. UU. ha emitido una alerta sobre esta falla, identificada como CVE-2025-1727. Esta vulnerabilidad radica en el protocolo de comunicación inalámbrica entre los dispositivos EoT (ubicados en la parte trasera del tren para monitorear su estado y aplicar frenos remotos) y los dispositivos HoT (en la locomotora). El protocolo carece de autenticación y cifrado, lo que permite a un atacante con equipos de radio de bajo costo enviar comandos fraudulentos para detener un tren o incluso causar fallas en los frenos.
Un Historial de Advertencias Ignoradas
La revelación de CISA es el resultado de años de esfuerzos por parte de investigadores. Neil Smith, uno de los investigadores acreditados, descubrió esta vulnerabilidad por primera vez en 2012 mientras trabajaba con ICS-CERT (predecesor de CISA). Durante años, Smith y ICS-CERT intentaron persuadir a la Asociación de Ferrocarriles Americanos (AAR) para que abordara el problema. Sin embargo, la AAR se negó a tomar medidas, argumentando que la vulnerabilidad debía probarse en un escenario real, algo que Smith consideró demasiado arriesgado dadas las posibles consecuencias, como descarrilamientos o la interrupción de toda la red ferroviaria nacional. A pesar de que la Boston Review publicó un artículo en 2016 detallando los hallazgos de Smith, y Eric Reuter, otro investigador, divulgó la vulnerabilidad en la conferencia DEF CON en 2018, la AAR mantuvo su postura.
Sorprendentemente, Smith descubrió recientemente que esta misma debilidad había sido reportada a la AAR por primera vez en 2005, hace dos décadas. Fue solo después de que Smith volviera a presentar sus hallazgos a CISA en 2024 que la agencia tomó medidas. Aunque inicialmente la AAR minimizó el problema, finalmente anunció que tomaría cartas en el asunto.
Acciones Futuras y Precedentes Peligrosos
La alerta de CISA señala que, si bien no hay evidencia de explotación en el mundo real, el comité de estándares del protocolo está buscando mitigaciones, y la AAR planea reemplazar los dispositivos EoT y HoT tradicionales con equipos y protocolos más seguros. Se estima que alrededor de 25,000 dispositivos HoT y 45,000 EoT necesitarán ser actualizados, un proceso que se espera que comience en 2026.
Este incidente subraya una preocupación de larga data en la industria de la ciberseguridad sobre la vulnerabilidad de los sistemas ferroviarios. La amenaza no es puramente teórica; en 2023, 20 trenes en Polonia fueron interrumpidos debido a un ataque cibernético que involucró la transmisión de comandos de radio no cifrados para detener los trenes. Este precedente destaca la urgencia de abordar las debilidades en la ciberseguridad de la infraestructura crítica para prevenir incidentes potencialmente catastróficos.
Fuente:
https://www.securityweek.com/train-hack-gets-proper-attention-after-20-…