Cualquiera puede detener un tren en movimiento por $500. En EE. UU. no es ficción, sino protocolo

Más de 12 años después de que se identificara el problema, la Asociación de Ferrocarriles Americanos (AAR) comenzó a reemplazar un protocolo de radio obsoleto e inseguro, a través del cual era posible activar remotamente los frenos y detener trenes en cualquier parte de América del Norte. Se trata del protocolo que conecta las locomotoras (dispositivos Head-of-Train — HoT) con el equipo del último vagón, conocido como End-of-Train device (EoT) o FRED — un dispositivo de señalización roja intermitente.

Estos dispositivos juegan un papel clave en el monitoreo de trenes de carga largos, que a menudo se extienden por una o dos millas y requieren control remoto. Además de telemetría, el EoT puede recibir comandos, incluida una función crítica: el frenado de emergencia desde la parte trasera del tren, y no solo desde la locomotora.

El problema es que el protocolo que transmite comandos del HoT al EoT durante mucho tiempo utilizó una forma de autenticación extremadamente débil: solo un simple código de verificación BCH. Ya en 2012, el ingeniero Neil Smith demostró que con equipos por un valor de unos 500 dólares y un receptor de radio definido por software, era posible enviar comandos de frenado falsos. El alcance de la señal dependía de las condiciones — en línea recta, especialmente desde una altura, se podían transmitir señales a decenas o incluso cientos de kilómetros.

Las posibles consecuencias son difíciles de exagerar: un frenazo repentino puede no solo dañar el tren, sino también causar lesiones a pasajeros, accidentes y graves interrupciones en el sistema de transporte. Smith informó de la vulnerabilidad al ICS-CERT, que a su vez notificó a la AAR, pero la asociación ignoró el problema durante años, considerándolo puramente teórico. Los intentos de Smith de acceder al sitio de pruebas ferroviarias en Florence también fueron bloqueados, a pesar de que ese terreno pertenece a la Administración Federal de Ferrocarriles de EE. UU.

Cuando la AAR se negó a modernizar el protocolo, Smith publicó la información sobre la vulnerabilidad en Boston Review, lo que llevó a una rápida negación por parte de AAR en la revista financiera Fortune. El interés en el problema disminuyó por un tiempo, hasta que en 2014 otro especialista, Eric Reuter, descubrió independientemente la misma vulnerabilidad y presentó sus conclusiones en la conferencia DEFCON.

El cambio solo se produjo en el verano de 2024, cuando Smith logró volver a poner el tema sobre la mesa — esta vez con respaldo independiente. Como resultado, la vulnerabilidad recibió el número CVE-2025-1727, y la agencia CISA publicó una advertencia oficial. Casi al mismo tiempo, la AAR anunció el reemplazo del protocolo HoT/EoT por el nuevo estándar IEEE 802.16t DPP, que proporciona autenticación real y baja latencia en la transmisión de datos.

Se espera que el proceso de modernización sea amplio: será necesario reemplazar físicamente alrededor de 75.000 dispositivos en EE. UU., Canadá y México. Según Smith, la implementación no comenzará antes de 2026 y podría tomar entre 5 y 7 años. El costo del proyecto se estima entre 7 y 10 mil millones de dólares. Esta barrera financiera podría haber sido la razón del prolongado descuido del problema.

Ahora que los detalles de la vulnerabilidad se han hecho públicos, existe el riesgo de que actores maliciosos intenten aprovecharla. Smith destaca que, si se dispone del equipo tras un accidente, es fácil identificar un ataque — todos los comandos quedan registrados tanto del lado emisor como del receptor.