Para el sector ferroviario, ENISA identificó amenazas que van desde ransomware (45%) a amenazas relacionadas con datos (25%), dirigidas principalmente a sistemas informáticos como servicios de pasajeros, sistemas de venta de billetes y aplicaciones móviles, causando interrupciones del servicio. Los grupos hacktivistas lanzan cada vez más ataques DDoS contra las empresas ferroviarias, en gran medida como consecuencia de la invasión rusa de Ucrania.
La mayoría de los ataques observados iban dirigidos contra los sistemas informáticos ferroviarios (servicios a los pasajeros, sistemas de expedición de billetes, aplicaciones móviles, paneles de visualización, etc.), provocando interrupciones debido a la indisponibilidad de estos servicios. Como ejemplos cabe citar los ataques de ransomware contra Skånetrafiken (agosto de 2021) y Ferrovie dello Stato Italiane (marzo de 2022), que provocaron que los clientes no pudieran comprar billetes tras la infección de los sistemas informáticos. Los únicos casos en los que se vieron afectados los sistemas y redes OT fueron cuando se vieron afectadas redes enteras o cuando los sistemas informáticos de misión crítica no estaban disponibles.
Entre los robos de datos más destacados se encuentran los de OmniTRAX, MTA, Merseyrail, Norfolk Southern Railroads y Lokaltog A/S, donde se robaron historiales médicos y de personal. El caso de OmniTRAX es el primero conocido públicamente de un ataque de ransomware de doble extorsión contra un operador ferroviario de mercancías estadounidense.
En otro caso, la red del operador ferroviario danés DSB sufrió interrupciones del servicio (octubre de 2022) debido a un ataque a uno de sus proveedores de servicios de TIC tras un supuesto ataque DDoS. Al parecer, el incidente afectó a la accesibilidad de un sistema informático clave para la seguridad, interrumpiendo las operaciones de DSB durante varias horas ese día.
En un caso interesante, los hacktivistas lanzaron un ataque de ransomware contra la compañía ferroviaria estatal de Bielorrusia en un intento de interrumpir los movimientos de tropas rusas (enero de 2022). Para lograrlo, el grupo utilizó un ransomware modificado para hacer caer el sistema ferroviario, cifrando servidores, bases de datos y estaciones de trabajo pertenecientes al servicio ferroviario bielorruso.
Los ataques DDoS están aumentando en 2022, representando una quinta parte (20%) de los ataques contra el sector ferroviario. Esto se debe principalmente al aumento de la actividad hacktivista tras la invasión no provocada de Ucrania por parte de Rusia. Elementos hacktivistas con sentimientos pro-rusos/ anti-OTAN han lanzado ataques DDoS contra empresas ferroviarias. Algunos ejemplos son los grupos de hackers prorrusos que reivindicaron ataques contra el operador ferroviario CFR Calatori (abril de 2022), los ferrocarriles lituanos (junio de 2022), los ferrocarriles de pasajeros letones SJSC (junio de 2022) y los ferrocarriles estonios (agosto de 2022).
En cuanto a vulnerabilidades (15%), destacan dos casos. En diciembre de 2021, la agencia de transportes canadiense Metrolinx cerró temporalmente su sitio web como medida de precaución tras ser informada por el Gobierno federal de una cibervulnerabilidad. En enero de 2022, un hacker anónimo informó de una vulnerabilidad que afectaba al sistema ferroviario nacional suizo, permitiendo potencialmente el acceso a los datos personales de los clientes, concluye ENISA en su parte de este informe centrada en el transporte ferroviario.
