**Ataque con radio definida por software interrumpe el servicio de trenes bala en Taiwán y activa alerta antiterrorista**
—
### 1. Introducción
El 2024 ha sido testigo de un incidente singular en la ciberseguridad ferroviaria: un estudiante taiwanés, utilizando tecnología de radio definida por software (SDR), logró interrumpir el funcionamiento de tres trenes de alta velocidad (conocidos como bullet trains) durante casi una hora. El suceso no solo provocó la paralización del servicio y graves pérdidas económicas, sino que también movilizó una respuesta antiterrorista a nivel nacional. El caso pone de manifiesto las vulnerabilidades de infraestructuras críticas ante ataques que aprovechan tecnologías emergentes, subrayando la necesidad de fortalecer la seguridad en sistemas de control industrial y transporte.
—
### 2. Contexto del Incidente
El incidente tuvo lugar el pasado mes de mayo de 2024 en Taiwán, cuando un estudiante universitario, experimentando con equipos SDR de bajo coste, logró interferir en las comunicaciones esenciales del sistema ferroviario de alta velocidad. Los trenes afectados operaban en el corredor occidental, uno de los más transitados del país y que conecta las principales ciudades. Al detectarse la anomalía, se activaron los protocolos automáticos de seguridad, deteniendo los trenes por completo y generando el colapso temporal del servicio. La alteración, inicialmente considerada un posible acto terrorista, puso en jaque a las autoridades de seguridad y a los equipos de respuesta ante emergencias.
—
### 3. Detalles Técnicos
#### Radio definida por software y vectores de ataque
La radio definida por software (SDR) permite a cualquier persona con conocimientos básicos y hardware asequible (por ejemplo, un dongle RTL-SDR de menos de 50 euros) captar, analizar y transmitir señales en una amplia gama de frecuencias. En este caso, el atacante identificó la banda de frecuencia utilizada por los sistemas de señalización y control de los trenes de alta velocidad, que suelen operar entre los 400 y 470 MHz bajo protocolos propietarios o variantes del GSM-R.
El estudiante utilizó técnicas de sniffing para interceptar las señales de comunicación entre los trenes y el centro de control. Posteriormente, generó señales de interferencia (jamming) y comandos maliciosos que simularon condiciones de emergencia, forzando la activación de los sistemas de frenado automático. Aunque no se ha hecho pública la existencia de un CVE específico para este ataque, el incidente se alinea con las técnicas T1489 (Service Stop) y T1467 (Signal Jamming) del framework MITRE ATT&CK for ICS.
#### Indicadores de compromiso (IoC)
– Presencia de señales no autorizadas en la banda de control ferroviario.
– Logs de sistemas de señalización con comandos de parada de emergencia no originados desde el centro de control.
– Análisis forense de equipos SDR conectados a ordenadores portátiles en las inmediaciones de las vías.
No se ha confirmado el uso de herramientas automatizadas como Metasploit o frameworks similares, pero la documentación en foros y repositorios públicos sobre ataques SDR a infraestructuras ferroviarias sugiere que existen scripts y módulos disponibles para reproducir este tipo de ataques.
—
### 4. Impacto y Riesgos
El cese de operaciones durante casi una hora afectó a más de 2.000 pasajeros y generó pérdidas económicas estimadas en torno a los 500.000 euros, sin contar el coste en reputación y la disrupción del tráfico nacional. Desde el punto de vista de la seguridad, el incidente revela la debilidad de los sistemas de control ferroviario ante ataques de denegación de servicio y manipulación de señales radioeléctricas.
El principal riesgo reside en la posibilidad de escalar estos ataques a operaciones más sofisticadas o destructivas, con potencial impacto sobre la seguridad física de pasajeros, integración con otras infraestructuras críticas y cumplimiento normativo (GDPR, NIS2).
—
### 5. Medidas de Mitigación y Recomendaciones
– **Encriptado y autenticación de señales**: Implementar cifrado robusto y autenticación mutua en todos los canales de comunicación entre trenes y centros de control.
– **Monitorización de espectro radioeléctrico**: Desplegar sensores para identificar interferencias o señales anómalas en tiempo real.
– **Endurecimiento de protocolos propietarios**: Revisar y actualizar los protocolos de señalización, incluyendo la migración a tecnologías más seguras como LTE-R.
– **Formación y concienciación**: Capacitar a operadores y personal de seguridad para identificar y responder ante incidentes de radiofrecuencia.
– **Simulacros de respuesta**: Realizar ejercicios regulares de cibercrisis para mejorar la coordinación entre departamentos técnicos y fuerzas de seguridad.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad ferroviaria, como Sergio Cordero (ISSA España), han subrayado que “la democratización de la SDR expone vulnerabilidades históricamente ignoradas en la radiofrecuencia industrial”. Por su parte, el analista de amenazas Javier Merino señala que “la integración de controles de seguridad en el diseño de sistemas ICS/SCADA es ya una obligación legal bajo NIS2 y no solo una buena práctica”.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas responsables de infraestructuras críticas deben revisar sus arquitecturas de seguridad OT/ICS y adaptarse a un escenario donde la amenaza no requiere recursos estatales ni sofisticación extrema. Para los usuarios, aunque no hubo daños personales, el incidente demuestra la necesidad de exigir mayores garantías de seguridad y resiliencia en los servicios públicos.
—
### 8. Conclusiones
El ataque con SDR en Taiwán es una señal de alarma para el sector ferroviario y, en general, para todas las infraestructuras críticas. La facilidad de acceso a herramientas de radiofrecuencia y la falta de mecanismos de protección robustos convierten a estos sistemas en objetivos atractivos para atacantes con motivaciones diversas. La convergencia de normativas como NIS2, la presión creciente por parte de los reguladores y los nuevos vectores de ataque tecnológicos exigen una revisión urgente de las estrategias de ciberseguridad en el transporte.
(Fuente: www.darkreading.com)