Las infraestructuras ferroviarias han estado enfocadas hacia la consecución de objetivos relacionados con la eficiencia en la ocupación de las líneas, la velocidad, el coste y por supuesto, la seguridad.
Sin embargo, el concepto de seguridad que se ha manejado tradicionalmente en el ámbito de los sistemas ferroviarios ha estado relacionado con la seguridad en la circulación.
Tratemos de ver este concepto en más detalle.
En castellano hablamos del término seguridad, pero dicho término puede tener varias acepciones en el mundo de la ingeniería, por lo que en ocasiones puede resultar confuso. Utilizaremos pues los términos anglosajones safety y security para entender los matices.
En el ámbito safety nos vamos a enfocar hacia el tratamiento de los riesgos derivados de fuentes con origen accidental, tal como los fallos en el comportamiento de un sistema (sistema de protección automática embarcada por poner un ejemplo).
Por otro lado, en el campo security nos orientaremos hacia los riesgos derivados de acciones deliberadas para causar un daño en una infraestructura, sistema o inmueble.
Lo que diferencia, pues, safety de security es la intencionalidad de la amenaza. Si es con el objetivo de protegernos frente a un daño intencionado nos referiremos a security, mientras que si es frente a una fuente de tipo azarosa nos referiremos como safety. En ocasiones el campo safety está más orientado hacia la prevención frente a fallos inherentes o internos, mientras que el campo security tiene el enfoque hacia lo externo.
Es en la acepción de safety en la que tradicionalmente el entorno ferroviario ha hecho especial énfasis por razones obvias, y es la que al comienzo de este artículo indicábamos como seguridad en la circulación; lo principal es proteger a las personas frente a los fallos propios de los sistemas y subsistemas. Para ello se han desarrollado una serie de mecanismos cuya filosofía general es que, frente a un fallo, se ha de llevar al sistema a un estado seguro.
Pongamos un ejemplo ilustrativo. el circuito de vía, como sabemos, es un sistema eléctrico que determina si una porción de la vía, denominada cantón, está ocupada por un tren. De una manera simplificada, este sistema es un circuito por el que fluye una corriente y recibe una señal en forma de voltaje en una parte del circuito (ver leyes de kirchoff). Cuando el cantón de nuestro circuito de vía es ocupado por un tren, el tren cortocircuita el circuito por los propios ejes de los bogies (N.d.E.: conjunto de dos o tres pares de ruedas articulados en la plataforma de un vagón o locomotora para facilitar su adaptación a las curvas o al cambio de vías – RAE), por lo que la señal recibida es cero y esto significa ocupación del cantón.
Cuando ocurre un fallo en el circuito de vía, tal como un mal funcionamiento por rotura del carril o del propio circuito de vía, la señal recibida es igualmente cero, dando igualmente el cantón como ocupado, aunque realmente no lo está.
Por tanto, el circuito de vía, ante un fallo del mismo, se va a un “estado seguro” (hay que decir que ir a un “estado seguro” es en sí mismo ya una diferencia entre security y safety, pues en security no existe ese concepto de “estado seguro”; de hecho, se dice que la seguridad nunca es total, pero por simplicidad en este artículo no ahondaremos en el tema). Es decir, en esa situación de fallo el sistema da ocupado, aunque no lo esté, con todo lo que ello lleva consigo como óptimo (la señal luminosa que precede al cantón se pone a rojo, la señal del anterior cantón a amarillo, etc.), por lo que los trenes precedentes estarían exentos de la situación de peligro.
El ámbito safety ha sido trabajado con gran profundidad y éxito en el sector ferroviario en todas sus áreas durante muchos años: señalización, telecomunicaciones, sistemas de mando y control, energía, material rodante, etc. Por el contrario, el único ámbito del dominio security que el entorno ferroviario ha considerado tradicionalmente, ha sido el de la seguridad física: personal de seguridad, seguridad en los accesos, sistemas CCTV, etc.
En lo que se refiere a los propios sistemas ferroviarios, solamente en los últimos años, el ámbito de la ciberseguridad (a partir de aquí ya nos centraremos en este ámbito y término) ha adquirido importancia.
Las razones van desde una mayor exposición e interconexión de las redes y sistemas principales y subsidiarios ferroviarios, un incremento en la estandarización en los sistemas de señalización y sistemas de protección automática (antiguamente España tenía el ATP ASFA, Alemania tenía LZB y Francia TVM, sin embargo actualmente todos ellos disponen del estándar europeo ERTMS), un proceso de transformación digital que está atravesado el sector y todo ello aderezado con una serie de ataques sobre la infraestructura ferroviaria de algunos administradores de infraestructura en los últimos cinco años (ataque por DoS en Ucrania en 2015, actuaciones de reconocimiento previo paso a APT en Reino Unido en 2016, DDoS en Suecia en 2017, etc.).
Para finalizar, la importancia que ha ido cobrando los ciberriesgos ha hecho que organismos como la European Union for Network and Information Security Agency (ENISA), junto con los administradores de infraestructuras ferroviarias europeas, estén llevando a cabo una serie de iniciativas en los últimos años, con el fin de incrementar el nivel de madurez en materia de ciberseguridad en el espacio europeo ferroviario.
Veremos en los siguientes capítulos algunas de estas iniciativas, su problemática, así como el análisis de ciberseguridad sobre algunos sistemas como el ERTMS.