brucknerite

404 Media reporta una vulnerabilidad remota en locomotoras estadounidenses que permite, en teoría, bloquear a distancia los frenos de una composición sin demasiados problemas. No se puede decir que el tren en España no tenga problemas últimamente, pero ¿podría ocurrir aquí algo similar? Respuesta corta: no, para tranquilidad de todos. Respuesta larga: seguid leyendo.

La vulnerabilidad se encuentra en el protocolo de enlace de cabeza y cola de tren (ICSA-25-191-10, CVE-2025-1727). Esto afecta, fundamentalmente, a composiciones de mercancías que operan con, al menos, una locomotora tirando y otra empujando en los extremos¹. En los ferrocarriles de nuestro querido aliado del otro lado del charco es habitual que los trenes de mercancías formen hileras de vagones de más de un kilómetro de largo, con cuatro —¡o más!— locomotoras activas en un momento dado, repartiendo su capacidad de tracción y freno a lo largo de la composición para evitar irregularidades en las fuerzas de tracción y compresión que podrían terminar con roturas de los enganches.

Las composiciones de trenes de mercancías no suelen llevar acoples muy complicados porque encarecen los vagones. En los Estados Unidos, el acople más habitual es el de tipo Janney, más rápido de enganchar que el de gancho y husillo habitual en España, y también más capaz de soportar grandes esfuerzos de tracción (uno de los parámetros más desconocidos que limitan, aquí, la longitud de los trenes mercantes).

Por sí mismo, el acople Janney solo proporciona una conexión mecánica. En el vídeo se aprecia, a la derecha del acople del vagón que se ve en la parte superior, una manguera negra colgante. Esta es la conexión neumática para el freno continuo de la composición (que, para funcionar, tiene que conectarse al vagón de al lado manualmente). Además de las conexiones mecánicas y neumáticas, los trenes de viajeros llevan conexiones eléctricas que permiten establecer un circuito de distribución para toda la composición, permitiendo funcionar a los sistemas secundarios (iluminación, aire acondicionado, megafonía…) y también para pasar comandos de señalización de un lado a otro. Este es el caso del acoplamiento entre dos locomotoras en mando múltiple, que permite conducir la segunda desde la cabina de la primera.

Esta conexión eléctrica no está disponible en los trenes americanos con locomotoras distribuidas a lo largo de la composición. Para evitar el retardo lógico en la aplicación del freno neumático a lo largo de un tren de más de un kilómetro de largo en el que no había un circuito eléctrico, los operadores pensaron que lo ideal sería utilizar una interfaz de radio entre las locomotoras. Empezamos a imaginarnos el problema.

El protocolo End-Of-Train And Head-Of-Train (o FRED para los amigos, por el nombre en inglés del antiguo farol rojo de cola o Flashing Rear-End Device que se adapta, en las locomotoras de cola, para recibir comandos de freno) funciona con paquetes de datos con modulación FSK y un código corrector de errores BCH. Esta jerga de telecos oculta que la onda de radio cambia su frecuencia entre dos valores para codificar ceros y unos (Frequency Shift Keying) y que a los mensajes binarios se les añade redundancia para protegerlos del ruido mediante un algoritmo conocido hace muchas décadas. No hay más autenticación entre el emisor y el receptor que esos dos detalles del formato del mensaje, así que haciendo un poco de ingeniería inversa y disponiendo de cualquier transmisor SDR (Software-Defined Radio, radio definida por software), un atacante puede suplantar a la locomotora de cabeza y enviar comandos a la de cola para frenar de forma extemporánea. Esta acción podría desde provocar la detención del convoy hasta su rotura o, incluso, su descarrilamiento.

Es teóricamente posible utilizar un Flipper Zero, que no es un transmisor SDR completo, pero sí es muy barato, para emitir las señales clave, aunque el alcance es muy pequeño y requeriría estar físicamente a pie de vía para ejecutar el ataque al paso de una locomotora de cola. Con más presupuesto y un emisor SDR más potente embarcado en una avioneta o un dron es posible saturar de comandos de freno un área de varias decenas de kilómetros a la redonda.

Esta vulnerabilidad se conoce desde 2012 y no se puede parchear sin cambiar los equipos en toda la flota, cosa que los operadores privados estadounidenses no parecen muy determinados a hacer. Hasta que alguien los ataque, es de suponer. Se ve claramente por qué esto no puede ocurrir en España o, en general, en la red europea: aquí no formamos trenes tan largos que requieran locomotoras adicionales en la composición, más allá de las que puedan ir en cabeza en mando múltiple. Los trenes más largos posibles, limitados por la longitud de las vías de apartado en cada línea y por la fuerza máxima de tracción en el enganche de cadena y husillo, son aquí de 750 metros (e incluso esta longitud es relativamente reciente y no está soportada más que por algunas líneas; hasta no hace tanto los mercantes más largos sin ser etiquetados como «especiales» eran de 400 metros, con carácter general²).

¿Cómo es posible que un fallo de esta entidad se descubra en 2012 y en 2025 todavía se esté discutiendo con los fabricantes de equipos qué hacer? La respuesta corta es capitalismo, obviamente. Boston Review reportó en 2016 la aventura de Neil Smith, el investigador independiente de seguridad y radioaficionado amateur que descubrió el pastel. The Register ha contado la historia hace unos días, y es tan vergonzoso como parece. La solución está al alcance de la mano: implementar nuevos enlaces radio que funcionen con el protocolo 802.16t. Pensad en una wifi doméstica que incorpora un cifrado bastante fuerte, pero adaptada al entorno industrial-ferroviario³. Los operadores llevan mas de doce años esquivando arreglar el problema, y más de cuatro años sin aplicar el estándar perfecto. El abanico de excusas, humo y espejos que despliegan se reduce, al final, a proteger los márgenes de sus cuentas de resultados. Visto el jaez de la administración que lleva los destinos de la superpotencia americana, esta cuestión podría retrasarse todavía algunos lustros. Yo no apostaría por otra cosa.

Para leer más

• Gault, M. (15/07/2025). Hackers Can Remotely Trigger the Brakes on American Trains and the Problem Has Been Ignored for Years. 404 Media. https://www.404media.co/hackers-can-remotely-trigger-the-brakes-on-american-trains-and-the-problem-has-been-ignored-for-years/
• End-of-Train and Head-of-Train Remote Linking Protocol (No. ICSA-25-191-10). (2025). Cibersecurity & Infrastructure Security Agency. https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10
• End-of-Train and Head-of-Train Remote Linking Protocol Weak Authentication. (10/07/2025). https://www.cve.org/CVERecord?id=CVE-2025-1727
• Emley, B. (14/01/2016). Technology Derailed. Boston Review. https://www.bostonreview.net/articles/bryce-emley-technology-railway-safety/
• Vigliarolo, B. (14/07/2025). US railroad industry’s outdated radio protocol is vulnerable. The Register. https://www.theregister.com/2025/07/14/train_brakes_flaw/

---

1. Se dan todo tipo de combinaciones. Muy frecuentemente hay locomotoras intermedias en la composición, por ejemplo. En ocasiones se ven trenes con números de locomotoras aparentemente absurdos, pero no todas están en funcionamiento; algunas están aprovechando el trayecto para acercarse a un taller. ↩︎
2. Un tren que circula como «especial» necesita salvaguardas extra en su operación, por ejemplo, porque no quepa en todos los apartaderos de su trayecto. Esto reduce considerablemente la capacidad de una línea para expedir trenes y es, por tanto, una circunstancia a evitar. ↩︎
3. En realidad es una variante de la familia de protocolos WiMAX para enlaces de microondas. ↩︎