Veíamos en el anterior capítulo anterior una introducción al concepto de la ciberseguridad en el entorno ferroviario y por qué solamente en los últimos años ha conseguido la atención de expertos en el sector.
En este capítulo, en primer lugar daremos una visión superficial de la señalización tradicional, para seguir explicando qué es el sistema ERTMS, su utilidad y relación con la señalización y terminar dando algunas consideraciones relacionadas con la ciberseguridad.
En la señalización tradicional tenemos una serie de sistemas encaminados a proteger a los trenes mediante una serie de principios que son:
- Evitar el alcance o colisión entre trenes.
- Autorizar la circulación de los trenes si previamente se ha considerado un itinerario y este es seguro.
- Impedir los descarrilamientos de trenes por circular por encima de una velocidad permitida (por las condiciones de vía, tal como su curvatura, proximidad a una estación etc.).
- Contar una serie de modos de conducción degradados dependiendo de las necesidades.
Igualmente se busca:
- La eficiencia en el uso y capacidad de la vía.
- El buen mantenimiento de la infraestructura viaria.
La manera de implementar esto es mediante una serie de elementos que son: enclavamientos, circuitos de vía (o contadores de ejes), agujas, señales luminosas, balizas etc. A continuación, daremos unas pinceladas de la funcionalidad de cada elemento.
- El circuito de vía, como decíamos en el artículo anterior, es un subsistema cuya función es la detección de la ocupación o no de una porción de la vía denominada cantón. Esto se puede hacer también para determinados entornos viarios con un subsistema denominado contador de ejes (básicamente cuenta los ejes que entran y salen y si es el mismo significa que el tren ha pasado y por tanto el cantón está vacío).
- Las agujas tienen como funcionalidad el cambio de dirección de un tren para que salga por una bifurcación mediante elementos mecánicos aplicados sobre la vía.
- Las señales luminosas advierten del estado de rojo, verde o amarillo de los cantones que le siguen para dar al tren instrucciones de parada, continuación o advertencia.
- Las balizas fijas sirven para dar información al tren de determinadas informaciones de tipo constante, tal como el punto kilométrico en el que se encuentra, la velocidad permitida, etc. Las balizas conmutables dan información al tren de la señal luminosa asociada al segmento. Ambas se llevan a cabo mediante la emisión de radiación electromagnética desde la baliza al tren producida después de la energización de la misma por el tren.
- El enclavamiento es un ordenador con un sistema fail-safe que recibe todas las informaciones del estado de los elementos de vía y autoriza a realizar las operaciones oportunas que son seguras. Es el auténtico corazón de la señalización clásica y el que controla toda la parte de la vía de su responsabilidad.
Hasta aquí hemos explicado lo que es la señalización tradicional. A esta capa de la seguridad podemos añadir otra que es la protección mediante un ATP.
Fundamentalmente un ATP es un sistema de protección automática del tren (por sus siglas Automatic Train Protection – ATP), cuyo fin es que frente a una situación inesperada del tren (rebase de una señal en rojo, sobrepasar una velocidad establecida u otras), el sistema ATP aplique freno automático (independientemente de que el conductor la active o no). Los ATP pueden tener otras funcionalidades que se encaminan a aumentar la capacidad y velocidad de las líneas, gracias a su automatismo.
Hay muchos tipos de ATP dependiendo del entorno y mercados: CBTC para mass transit/metro, ASFA (ATP tradicional ferroviario de España), LZB (ATP tradicional ferroviario de Alemania), etc.
Dada la gran cantidad de ATP existentes, se buscó dentro del espacio europeo ferroviario la uniformidad del mismo, a lo que se le llamó interoperabilidad ferroviaria. El ATP que consiguió tal fin fue el denominado ERTMS (European Railways Train Management System).
El sistema ERTMS cuenta con tres niveles (L1, L2, L3), cada uno de ellos con más capacidades y también elementos de soporte de comunicaciones distintos.
Básicamente podemos hablar que el ERTMS está compuesto del sistema ETCS, del GSM-R (basado en el GSM con frecuencias específicas para el entorno ferroviario) y dependiendo del nivel de ERTMS, del RBC (Radio Block Center). El RBC es la inteligencia del N2 y N3 del sistema ERTMS.
Debemos explicar que la manera en la que el suelo se comunica con el tren es mediante balizas para el N1, o mediante el sistema GSM-R en los N2 y N3.
El sistema ERTMS pone un especial énfasis en la disponibilidad e integridad por razones obvias. Sin embargo, faltan análisis y pruebas profundas que permitan definir de manera clara el nivel de madurez de ciberseguridad en el subsistema ERTMS.
En general, sin ser una lista exhaustiva, distintos organismos proponen la realización de una serie de pruebas y mejoras tales como:
- Auditorías de HE sobre balizas fijas y conmutables para definir si es posible realizar un ataque de MiTM sobre las mismas.
- Pruebas de ataque de DoS sobre elementos RBC.
- Inserción de elementos de notificación de logs/eventos tipo SIEM o similar.
- Apropiada segmentación de redes según recomendaciones.
- Implementación de políticas de parcheo y actualización de versiones del sistema GSM-R.
- Implementación de políticas de parcheo sobre RBC.
Sin embargo, llevar a cabo algunas de estas medidas implica ciertas dificultades, debido a que, por ejemplo, las actualizaciones de software son difíciles y complejas de aplicar, algo habitual en entornos industriales. Es necesario considerar que cada vez que se hace una modificación en la línea ha de llevarse a cabo una batería de pruebas de funcionalidades, con su coste y dificultades de planificación y ejecución. Además, estas actualizaciones de software en gran medida dependen de los fabricantes, con el añadido de dificultad y costes que ello implica.
Igualmente, la realización pruebas de hacking ético sobre una infraestructura en operación es algo que no se puede realizar de manera sencilla y directa. Como se ha explicado en este y el anterior artículo, lo fundamental es la seguridad en la circulación, por lo que las pruebas en sistemas en operación han de ser cuidadosamente seleccionadas.
Finalmente, el nivel de madurez y conocimiento del ámbito de la ciberseguridad es todavía bajo en el sector ferroviario, problema que permea sobre todos los ámbitos técnicos, administrativos y procedimentales.
Como hemos podido ver en este artículo, el sistema ERTMS es vital para garantizar la seguridad en la circulación de los trenes. Sin embargo, algunos agentes y organismos europeos sugieren la posibilidad de un significativo espacio para la mejora en lo que a materia de ciberseguridad se refiere, aspecto que es previsible que reciba una mayor atención en los años futuros.
