Orange gana a Telefónica el contrato de Adif para blindar los trenes ante ciberataques

Orange (MasOrange tras fusionarse con MásMóvil) se ha hecho con el contrato para dotar de conectividad a dos importantes Centros de Procesamiento de Datos (CPD) de Adif, la gestora de infraestructuras española.

La compañía pública sacó a concurso meses atrás por algo menos de medio millón de euros en dos paquetes. El primero, para el CPD de Delicicias, ascendía a 484.000 euros, mientras que el segundo, enfocado al CPD de Villaverde Alto, ascendía a 60.500 euros (los dos con un plazo de ejecución de 24 meses).

Se da la circunstancia de que uno de los puntos clave que exigía Adif en los pliegos es que, en el caso del CPD de Delicias -el más antiguo y crítico-, sea provisto de un sistema de ciberseguridad para filtrar el tráfico que pasa por los equipos para evitar ataques distribuidos de denegación de servicio, denominados DDoS (por sus siglas en inglés). Son los ejecutados de forma preferencial por los hackers afines al Kremlin, que han multiplicado su actividad desde el comienzo de la invasión de Rusia a Ucrania. De hecho, la propia Renfe fue amenazada por hackers prorrusos con ser ciberatacada después de que el Gobierno dotara de tanques a Ucrania, a principios del año pasado.

Esto, unido a que el sector Transportes es el más ciberatacado (sufre el 21,34% de los ciberincidentes según el último Informe de Seguridad Nacional), convierte este sistema de filtrado en un elemento clave.

Su misión es evitar que el tráfico se sature tras estos ataques y las webs de Adif queden sin servicio. Se trata de analizar el tráfico entrante y separar el normal del anómalo para evitar males mayores.

"El servicio de filtrado de tráfico malicioso se debe proveer en modalidad de 24x7, de manera que el enlace esté protegido permanentemente también deberá disponer de un teléfono de contacto en horario 24X7 para coordinar las actuaciones ante emergencias. Las especificaciones de este servicio se detallan en el punto 3.5 y en el Anexo", explica Adif en el pliego de prescripciones técnicas.

Adif, Renfe, Iryo, Ouigo...

Finalmente, ha sido Orange la que se ha adjudicado el servicio. Otras empresas de telecomunicaciones, como Telefónica o Vodafone, participaron también en el concurso público para brindar este servicio a una empresa pública y crítica para el país, como lo es Adif, pero finalmente fue la corporación francesa la que se llevó el gato al agua.

De forma directa, la protección de los Centros de Procesamiento de Datos protege también la operativa de los trenes en un sector, como el ferroviario -y otros tantos- en el que todo está conectado por Internet.

En los CPD se tratan todos los datos que pasan por las empresas (clientes, empleados, etcétera) y son fundamentales para los servicios ofrecidos por Adif. La paralización de la conexión tiene una incidencia directa en la operativa de la empresa. Pero afecta a más compañías.

De hecho, parte de la información de otros operadores ferroviarios (Renfe, Iryo, Ouigo...) puede pasar por los CPD de la gestora de infraestructuras. El pliego, de hecho, explica que Adif ha firmado un contrato con Renfe por el que le brinda conexión a Internet profesional o filtrado anti DDoS, entre otras cosas, en los dos Data Center que Renfe tiene en Madrid; todo con un ancho máximo de 5 Gbps.

El pliego también destaca que "Adif y Renfe Operadora pueden decidir en cualquier momento, incluso durante un ataque DDOS, variar dicha política de enrutamiento (en referencia al tráfico de red). En concreto, durante un ataque puede dirigir la clase o clases C afectadas por el mismo (aunque se estuvieran en ese momento anunciando por Villaverde o por otro enlace de otro proveedor) al enlace de Delicias que se encuentra protegido por el filtrado anti DDOS, debiendo hacerse cargo de la mitigación el operador que tenga contratado este servicio". Esto convertirá a Delicias en un 'guardián' que permitirá filtrar el tráfico en caso de dudas sobre el mismo.

También se concreta que Adif será quien proporcione el servicio de acceso a Internet con filtrado AntiDDoS a Renfe, pero esta última tendrá que gestionar el servicio de forma independiente de Adif, definiendo sus propios elementos a proteger y sus propias políticas.

"A todos los efectos el licitador proporcionará estos servicios a dos empresas diferentes: Adif y Renfe Operadora dentro del contrato, por lo que tendrá que tener en cuanta esta duplicidad en los servicios asociados. "A todos los efectos el licitador proporcionará estos servicios a dos empresas diferentes: Adif y Renfe Operadora dentro del contrato, por lo que tendrá que tener en cuenta esta duplicidad en los servicios asociados", concluye el pliego.