¡Hola, lectores!

En la era de la digitalización, el sector ferroviario emerge como un pilar crucial en la transformación de la movilidad. Sin embargo, con las oportunidades que ofrece la tecnología, también surgen desafíos fundamentales, siendo la ciberseguridad uno de los más urgentes. En este artículo, exploraremos cómo la digitalización está impulsando el avance del transporte ferroviario y cómo la garantía de la ciberseguridad se convierte en un imperativo para asegurar su éxito y proteger la integridad de sus operaciones.

Como comentábamos, el sector ferroviario se encuentra en un proceso de digitalización que busca mejorar la eficiencia, la calidad y la sostenibilidad de los servicios de transporte de personas y mercancías. La digitalización implica el uso de tecnologías de la información y la comunicación (TIC) para optimizar la gestión, el control y la operación de los trenes, las estaciones, las vías y las infraestructuras. Estas tecnologías incluyen sistemas de control industrial (ICS), sistemas de señalización ferroviaria (ERTMS), sistemas de gestión del tráfico ferroviario (TMS), sistemas de información al viajero (PIS), sistemas de venta de billetes (TIS), sistemas de videovigilancia (CCTV), entre otros. Con la digitalización estos sistemas se ven más expuestos a las amenazas que están en el ciberespacio, esto implica unos riesgos con grandes consecuencias en el desarrollo económico global.

Un ejemplo que pone de manifiesto la importancia de este sector para el porvenir de la economía del país es que en el 2019, según un informe de la Comisión Europea, el sector ferroviario transportó más de 1.700 millones de toneladas de mercancías y más de 8.000 millones de pasajeros en la Unión Europea, generando un valor añadido bruto de más de 140.000 millones de euros y empleando más de 1,2 millones de personas. Además, el sector ferroviario invirtió en 2019 más de 50.000 millones de euros en infraestructura, material rodante y sistemas de información y comunicaciones, lo que supone un aumento del 7% respecto al año anterior. Sin embargo, el sector ferroviario también se enfrenta a un alto nivel de riesgo cibernético, ya que el 40% de las empresas ferroviarias europeas han sufrido al menos un incidente de ciberseguridad en los últimos 2 años, según una encuesta de la Agencia de la Unión Europea para la ciberseguridad, [ENISA].

Debido a estos riesgos, la digitalización es un reto para el sector ferroviario por tener una mayor exposición. Por ello, se deben proteger de las amenazas cibernéticas sus sistemas de información y comunicación, así como sus sistemas de control industrial. Estas amenazas pueden provenir de diferentes actores como hackers, ciberdelincuentes, ciberterroristas, ciberactivistas o estados-nación; que, a su vez, pueden tener diferentes motivaciones, como el beneficio económico, la ideología política, el activismo o el terrorismo.

Los ataques cibernéticos al sector ferroviario pueden tener graves consecuencias como el robo o el secuestro de datos, el sabotaje, el espionaje, el fraude o el daño físico. A continuación, destacamos algunos de los ataques más importantes del sector ferroviario desde 2015:

• En 2015, un ataque por denegación de servicio (DoS) afectó al sistema de control de tráfico ferroviario de Ucrania, causando retrasos y cancelaciones de trenes. [Wired].
• En 2016, se detectaron actividades de reconocimiento previas a un ataque persistente avanzado (APT) en el sistema ferroviario de Reino Unido, que podrían haber comprometido la seguridad y la privacidad de los pasajeros. [Darktrace].
• En 2017, un ataque distribuido de denegación de servicio (DDoS) paralizó el sistema de transporte público de Estocolmo. Incluyendo el metro, los autobuses y los trenes. [Computer].
• En 2019, un ataque de ransomware bloqueó las máquinas expendedoras de billetes del sistema de transporte de San Francisco (EE. UU) durante 48 horas. [Forbes].
• En 2020, un ataque de phishing dirigido a los empleados del operador ferroviario Transnet de Sudáfrica provocó una interrupción de los servicios de carga y de correo electrónico. [Security Magazine].

Estos son sólo algunos ejemplos de los ciberataques que han afectado al sector ferroviario en los últimos años, pero es posible que haya otros que no hayan sido de ámbito público o que no hayan sido detectados. Estos ataques demuestran la importancia de la ciberseguridad para el sector ferroviario, que debe proteger sus sistemas de información y comunicación, así como sus sistemas de control industrial de las amenazas cibernéticas.

La ciberseguridad es un aspecto clave para el sector ferroviario, que se enfrenta a diversas amenazas cibernéticas que pueden afectar a la seguridad, la eficiencia y la calidad del servicio. Por ello, el sector ferroviario ha desarrollado varios documentos y normas para implantar medidas de prevención, detección y respuesta ante los ataques cibernéticos. Algunas de las entidades que han contribuido a este desarrollo son:

• La Unión Internacional de Ferrocarriles (UIC). Es una organización que representa a los operadores ferroviarios y que promueve la cooperación y la innovación en el sector. La UIC ha publicado varios documentos y guías sobre ciberseguridad ferroviaria, como el “Cybersecurity Hadbook for Railways”, el “Cybersecurity Strategy for Railways” o el “Cybersecurity Framework for Railways”.
• La Agencia de la Unión Europea para la Ciberseguridad (ENISA). Es una agencia que apoya a los Estados miembros y a las instituciones de la UE en el desarrollo de políticas y capacidades de ciberseguridad. La ENISA ha publicado varios informes y estudios sobre ciberseguridad en el sector ferroviario, como el “Cybersecurity Challenges en the Railways Sector” o el “Railway Cybersecurity: Paving the Way to the Future”.

Estos documentos han servido de base para que la Organización Internacional de Normalización (ISO), que desarrolla y publica normas internacionales de diversos campos, publicase en 2022 la norma ISO 50701 y su posterior modificación en el 2023. Esta norma es específica para el desarrollo de la ciberseguridad en lo que se refiere a la operación, mantenimiento, comunicaciones e infraestructuras del tren, y se basa en las normas existentes 27001 y IEC 62443, que sirven de referencia para la ciberseguridad, e identifica las particularidades existentes en el sector ferroviario a la hora de implantarla.

Algunos de los aspectos importantes que desarrolla la norma ISO 50701 son:

• Definir los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de la ciberseguridad ferroviaria, basado en el ciclo de mejora continua PDCA (Planificar, Hacer, Verificar, Actuar).
• Establecer los principios y las directrices para la evaluación de riesgos y la gestión de incidentes de ciberseguridad ferroviaria, así como para la auditoría y la certificación del sistema de gestión de la ciberseguridad ferroviaria.
• Proporcionar un marco de referencia para la definición de roles y responsabilidades, la asignación de recursos, la formación y la concienciación, la comunicación y la cooperación entre las partes interesadas de la ciberseguridad ferroviaria.
• Ofrecer un conjunto de buenas prácticas y controles de ciberseguridad ferroviaria, adaptados a las características y necesidades específicas del sector, como la interoperabilidad, la continuidad del servicio, la protección de los datos personales o la seguridad física.

Podemos ver que con la publicación de esta norma hay una implicación por parte del sector para poner medidas de ciberseguridad que generen buenas prácticas para acometer la seguridad en sus plataformas, que, como hemos visto con anterioridad, tienen una gran repercusión en la economía en general.

Autor: Juan Manuel Pérez Martínez (Arquitecto de Ciberseguridad OT/ICS)

Juan Manuel Pérez Martínez

• Juan Manuel Pérez Martínez