Durante un reciente ejercicio de evaluación para un operador líder de metro en India, pude observar de cerca muchos aspectos de la ciberseguridad ferroviaria y del metro. Al igual que con cualquier otra infraestructura crítica, los ferrocarriles deben operar a un nivel de seguridad muy único que tenga en cuenta vulnerabilidades operativas, la perspectiva de amenazas, desafíos relacionados con el fabricante de equipos originales y mandatos de cumplimiento.

En 2026, los riesgos no se tratan solo de perder datos (nunca lo fueron, de hecho). En cambio, se trata de garantizar la seguridad cinética, lo que significa que un cambio de bit en un sistema SCADA no lleva a un SPAD (Señal Pasada en Peligro). En la publicación del blog de hoy, articulamos un marco estratégico para proteger la OT ferroviaria, avanzando mucho más allá del cumplimiento hacia una verdadera resiliencia.

Antes de continuar, no olvides consultar nuestra publicación anterior sobre Cómo las Utilidades de la UE Deben Inventariar PLCs Basados en Modbus e IEC aquí.

La realidad de la OT ferroviaria: Mirando más allá de las capas iniciales

La TI tradicional ve la seguridad a través de la lente de la CIA (Confidencialidad, Integridad, Disponibilidad). En OT ferroviaria, usamos RAMS (Fiabilidad, Disponibilidad, Mantenibilidad, Seguridad). Si un control de seguridad (como por ejemplo, un firewall) causa un aumento de latencia de 200 ms en un paquete ETCS (Sistema Europeo de Control de Trenes), puede desencadenar un frenado de emergencia que es esencialmente un modo "a prueba de fallos". Esto podría llevar a algunos desafíos operativos que tienen que ser manejados por sí mismos.   

Aspectos pasados por alto y desafíos únicos asociados a la ciberseguridad ferroviaria

• Extensión geográfica: A diferencia de una fábrica, los activos ferroviarios están distribuidos por miles de millas. Una "Casa de Señalización" en un área remota es un punto de entrada físico y digital.

• OT en la sombra: Los equipos de mantenimiento a menudo instalan módems 4G/5G no autorizados para diagnósticos remotos para evitar viajar a los sitios de campo. Estos evitan todas las defensas perimetrales.

• Fragilidad del protocolo: Los convertidores de serie a IP heredados y los protocolos más antiguos (como Profibus o VHF no cifrado) a menudo fallan si se les realiza un escaneo de vulnerabilidad estándar de TI.

• Desafíos de la cadena de suministro: Con cadenas de suministro que cruzan el globo, algunas de las ramas de las cadenas de suministro podrían estar en geografías cuestionables o pueden atravesarlas o las propias cadenas pueden ser vulnerables a la intoxicación de la cadena de suministro.

• La seguridad OT es un detalle desatendido

• Estado variable de la conectividad

Por qué fallan los rieles de seguridad institucionales

Los programas de seguridad dirigidos por TI tradicionales tienden a fallar en los ferrocarriles por tres razones específicas:

• Sesgo filosófico: Los equipos de TI priorizan el parcheo de CVE "altos". Los expertos en OT saben que parchar un enclavamiento de 30 años es de alto riesgo; preferimos el parcheo virtual en el borde de la red. Además, los equipos de seguridad de TI no son fluidos en seguridad OT.

• Trampas de escaneo activo: Las herramientas de seguridad estándar usan "Sondeo Activo". En una red ferroviaria, esto puede inundar un PLC (Controlador Lógico Programable) y causar una falla de "congelación en estado".

• Silencios de gobernanza: El CISO a menudo habla un idioma diferente al del Ingeniero RAMS. Sin una "Sincronización Seguridad-Seguridad", las medidas de seguridad a menudo son vetadas por las juntas de seguridad.

La evaluación de riesgo y seguridad basada en TS 50701

Ahora veamos CLC/TS 50701, el estándar de oro para la ciberseguridad ferroviaria. A diferencia de los marcos genéricos, se integra directamente con el ciclo de vida EN 50126.

Fase 1: Sistema bajo Consideración (SuC)

No evaluamos "el ferrocarril". Definimos SuCs específicos que tienen atributos únicos:

• En a bordo: TCMS (Sistema de Control y Gestión del Tren), PIS (Información al Pasajero).

• En vía: Enclavamiento, Balizas, RBC (Centro de Bloques de Radio).

• Central: Sistemas de Gestión del Tráfico (TMS), SCADA.

Fase 2: Zonas y conduits

Mapeamos el entorno en "Zonas de Seguridad" manejables en base a la criticidad.

• Zona 1 (Crítico para la Seguridad): Señalización y enclavamiento (SL-4).

• Zona 2 (Operacional): CCTV, sistemas de PA (SL-2).

• Zona 3 (Pública): Wi-Fi para pasajeros (SL-1).

Análisis de vulnerabilidad y riesgo

Usamos STRIDE (Suplantación, Manipulación, Repudiación, Divulgación de Información, Denegación de Servicio, Elevación de Privilegios) para evaluar cada conduit.

La Hoja de Ruta de Implementación (Estrategia de 24 Meses)

Seguridad de la cadena de suministro: La política del "Listado de Materiales"

Eres tan seguro como tu proveedor más débil. Nuestra política de cadena de suministro ahora exige:

• SBOM (Listado de Materiales de Software): Los proveedores deben proporcionar una lista legible por máquina de cada biblioteca en su código.

• HBOM (Listado de Materiales de Hardware): Identifica el origen de los chips y componentes físicos para mitigar los riesgos de "puertas traseras".

• VEX (Intercambio de Explotabilidad de Vulnerabilidades): En lugar de solo listar CVEs, los proveedores deben proporcionar archivos VEX que indiquen si una vulnerabilidad es realmente explotable en el contexto ferroviario.

Justificando la economía: Reduciendo el riesgo cibernético y cinético por pasajero

En los ferrocarriles, justificamos el gasto mediante una métrica de Fatalidades y Lesiones Ponderadas (FWI).

Tradicionalmente:

$$Riesgo = Frecuencia \times Consecuencia$$

En la era ciberfísica, calculamos la Reducción de Cyber-FWI:

• El Modelo: Mapeamos un escenario cibernético de "peor caso" (por ejemplo, manipulación remota de un interruptor) a su potencial impacto FWI.

• La justificación: Si una inversión de $2M en Arquitectura de Confianza Cero reduce la probabilidad de un evento con $50 fatalidades$ en un $30\%$, el ROI se calcula contra el VPF (Valor de Prevenir una Fatalidad), el cual es actualmente de aproximadamente $3.2M por persona en la mayoría de los mercados ferroviarios desarrollados.

• El resultado: La seguridad ya no es un "centro de costos"; es una póliza de seguro de seguridad que protege la licencia social de operación de la marca.

Ninguna cantidad de tecnología puede reemplazar el "Intuición del Despachador". Debemos entrenar a los operadores para reconocer las anomalías cibernéticas inducidas relevantes. Si una señal se comporta "extrañamente" pero el sistema dice que está "Verde", el humano debe tener la autoridad para iniciar una anulación manual sin temor a penalizaciones de desempeño.

Este borrador está diseñado para ser insertado como un Anexo de Ciberseguridad o Programa dentro de un Acuerdo de Suministro de Material Rodante. Se aleja del lenguaje vago de "mejor esfuerzo" y exige entregables técnicos específicos alineados con CLC/TS 50701 y IEC 62443.

Requisitos de ciberseguridad OT ferroviaria

1. Cumplimiento y gobernanza general

1.1. Adhesión a normas: El proveedor diseñará, desarrollará y entregará el material rodante en pleno cumplimiento con CLC/TS 50701 (Aplicaciones ferroviarias – Ciberseguridad) y las normas IEC 62443-4-1/4-2 para el desarrollo de productos seguros.

1.2. Objetivo de Nivel de Seguridad (SL): El proveedor demostrará que el "Sistema bajo Consideración" (SuC) cumple con un mínimo Nivel de Seguridad 2 (SL-2) para sistemas no críticos y SL-4 para sistemas Críticos de Seguridad (por ejemplo, TCMS, Frenado, Señalización), según lo definido por la Evaluación de Riesgos del Comprador.

2. Entregables de seguridad obligatorios

2.1. Listado de Materiales de Software (SBOM): Para cada componente de software (incluidos firmware, SO y bibliotecas de terceros), el proveedor proporcionará un SBOM en un formato legible por máquina (por ejemplo, CycloneDX o SPDX). Este será actualizado con cada liberación de software.

2.2. Listado de Materiales de Hardware (HBOM): El proveedor divulgará el país de origen y fabricante para todos los componentes críticos de comunicación y procesamiento (CPU, Conmutadores de Red, Puertas de Enlace 5G).

2.3. Divulgación de Vulnerabilidades (VEX): El proveedor proporcionará archivos Intercambio de Explotabilidad de Vulnerabilidades (VEX) junto con el SBOM, indicando si las CVEs (Vulnerabilidades y Exposiciones Comunes) específicas son explotables dentro del contexto operacional específico del ferrocarril.

3. Diseño seguro y control de interfaz

3.1. Segmentación de la red: El proveedor garantizará la separación física o lógica (VLAN/VPN) entre:

• Redes críticas para la seguridad (Control de Tren)

• Redes operacionales (CCTV, PIS)

• Redes públicas (Wi-Fi para pasajeros)

3.2. Tráfico unidireccional: El flujo de datos desde las zonas críticas de seguridad hacia las zonas Operacionales/Públicas debe ser mediado por una Puerta de Enlace Unidireccional (Diodo de Datos) impuesta por hardware o un firewall con estado con "Listas de Permiso" estrictamente definidas.

3.3. Fortalecimiento: Todos los Sistemas de Control Industrial (ICS) y las interfaces HMI deben ser "fortalecidos", incluyendo la eliminación de servicios innecesarios, el cierre de puertos no utilizados (USB/Ethernet) y la desactivación de credenciales por defecto.

4. Gestión del ciclo de vida y vulnerabilidades

4.1. Garantía de parcheo: El proveedor garantizará la disponibilidad de parches de seguridad durante toda la "Vida de Diseño" del material rodante (por ejemplo, 30 años).

4.2. Respuesta a incidentes: En caso de una vulnerabilidad "crítica" (puntaje CVSS 9.0+), el proveedor proporcionará un plan de mitigación dentro de 72 horas y un parche validado dentro de 30 días.

4.3. Soporte de parcheo virtual: Donde un parche físico no sea posible debido a requisitos de recertificación RAMS (Seguridad), el proveedor brindará firmas para Sistemas de Prevención de Intrusiones de Red (IPS) para proporcionar "Parcheo Virtual".

5. Acceso y derechos de auditoría

5.1. Acceso remoto: Cualquier acceso de mantenimiento remoto (por ejemplo, para "Mantenimiento Predictivo") debe ser Solicitado, Registrado y con Tiempo Limitado. La Autenticación Multifactor (MFA) es obligatoria para todas las sesiones remotas del proveedor.

5.2. Derecho a auditar: El Comprador (o un tercero designado) se reserva el derecho de realizar anualmente Pruebas de Penetración y Auditorías de Código Fuente en conjuntos representativos de trenes en las instalaciones del proveedor o in situ.

Consideraciones clave

• Abordar el "problema de los 30 años": La mayoría de los contratos de TI terminan después de 5 años. El enfoque anterior vincula al proveedor por la vida útil real del activo ferroviario.

• Evita el "Ruido CVE": Al requerir VEX, se impide que el proveedor ignore vulnerabilidades mientras también se previene que pierdan tiempo en errores que no afectan la configuración específica del ferrocarril.

• Protege el verdadero "Aislamiento": La exigencia específica de Diodos de Datos evita el problema de la "red plana" donde un enrutador Wi-Fi comprometido permite el acceso a los frenos.

Habla con nuestro experto en TS 50701 y discute tus desafíos de seguridad ferroviaria aquí.

Descargar la guía de evaluación de riesgos de seguridad ICS para transporte y logística.

Obtén tu Lista de Verificación de Cumplimiento de IEC 62443 y NIS2 aquí.

Descargar: Plantilla de Plan de Respuesta a Incidentes para Ciberseguridad de Infraestructura Crítica