Los resultados de las pruebas mostraron que el fabricante chino de autobuses podía acceder a los sistemas de control de los vehículos para actualizar el software y realizar diagnósticos.
Un importante operador noruego de transporte público ha anunciado que introducirá requisitos de seguridad más estrictos y reforzará las medidas contra los ciberataques después de que una prueba en nuevos autobuses eléctricos fabricados en China mostrara que el fabricante podía apagarlos de forma remota.
El operador Ruter dijo que los resultados de las pruebas publicados la semana pasada mostraron que el fabricante chino de autobuses Yutong Group tenía acceso a sus sistemas de control para actualizaciones de software y diagnósticos.
"En teoría, esto podría aprovecharse para afectar al funcionamiento del autobús", señaló.
Las pruebas, con autobuses conducidos en minas subterráneas para eliminar señales externas, se realizaron tanto en autobuses Yutong completamente nuevos como en vehículos de tres años del fabricante neerlandés VDL, según la empresa. Añadió que las pruebas mostraron que los autobuses neerlandeses no tenían capacidad para realizar actualizaciones de software por vía inalámbrica, mientras que los fabricados en China sí la tenían.
Yutong no respondió de inmediato el miércoles a las solicitudes de comentario.
El diario 'The Guardian', que informó sobre el asunto, citó un comunicado de la empresa china en el que aseguraba que "cumple estrictamente" las leyes y normas de los lugares donde operan sus vehículos. El comunicado indicaba que los datos sobre sus autobuses se almacenan en Alemania.
El periódico citó a un portavoz no identificado de Yutong que dijo que los datos están cifrados y "se utilizan exclusivamente para el mantenimiento, la optimización y la mejora relacionados con el vehículo, para atender las necesidades de posventa de los clientes".
Según la web de Yutong, la empresa ha vendido decenas de miles de vehículos en Europa, África, América Latina y la región de Asia-Pacífico en las últimas décadas.
El estudio se inició en parte por la preocupación por la vigilancia, en un momento en que muchos países de Europa, Norteamérica y más allá han tomado medidas para proteger los datos de los consumidores y las operaciones remotas.
Preocupaciones más amplias sobre el control remoto de los vehículos eléctricos
Los hallazgos mostraron que "el fabricante tiene acceso digital directo a cada autobús para actualizaciones de software y diagnósticos", señaló Ruter, que afirma gestionar la mitad del transporte público de Noruega y operar en Oslo y en la región oriental de Akershus.
Las preocupaciones sobre el control remoto de los vehículos eléctricos no son nuevas. En enero, los reguladores de Estados Unidos abrieron una investigación a Tesla tras informaciones de accidentes relacionados con el uso de una tecnología de la compañía que permite a los conductores ordenar a su vehículo que regrese a ellos o se desplace a otro lugar mediante una aplicación en el móvil.
Los autobuses de Yutong están conducidos por personas, no son vehículos sin conductor como taxis y lanzaderas en lugares como California y China.
"Tras estas pruebas, Ruter pasa de la preocupación al conocimiento concreto sobre cómo podemos implantar sistemas de seguridad que nos protejan frente a actividades indeseadas o el pirateo de los sistemas de datos del autobús", dijo en un comunicado el consejero delegado de Ruter, Bernt Reitan Jenssen.
Riesgo para "todo tipo de vehículos" de este tipo
En la vecina Dinamarca, la empresa de transporte Movia dijo que estaba revisando las evaluaciones de riesgo en materia de ciberseguridad y espionaje en los autobuses de línea, y posibles medidas para evitar el pirateo, el uso indebido de datos y el riesgo de inutilizar el autobús.
Movia señaló que las autoridades danesas no habían indicado ningún caso de autobuses desactivados, pero que buscaba formas de eliminar vulnerabilidades.
Según dijo, los nuevos hallazgos se presentaron en la conferencia de tráfico InformNorden por asesores de la Universidad del Sureste de Noruega y mostraron que ni un atacante ni el proveedor podían tomar el control del autobús.
"También es importante subrayar que los asesores noruegos indicaron que no se trata de una preocupación exclusiva de los autobuses chinos, es un problema de todo tipo de vehículos y dispositivos con este tipo de electrónica incorporada", señaló Movia en un correo electrónico.
Normas de seguridad más estrictas
Las cámaras de los autobuses no están conectadas a internet, por lo que "no hay riesgo de transmisión de imágenes o vídeo desde los autobuses", dijo Ruter, que cuenta con más de 100 autobuses Yutong en su flota. Afirmó que los autobuses no pueden operarse de forma remota.
Aun así, Ruter dijo que el fabricante puede acceder al sistema de control de la batería y del suministro eléctrico a través de la red móvil. Señaló que eso significa que, en teoría, los autobuses "pueden ser detenidos o quedar inoperativos por parte del fabricante".
La empresa noruega afirmó que está respondiendo imponiendo normas de seguridad más estrictas en futuras compras, desarrollando cortafuegos que garanticen el control local y eviten el pirateo, y trabajando con las autoridades en "requisitos claros de ciberseguridad".
También está adoptando medidas para retrasar las señales entrantes, "de modo que podamos conocer las actualizaciones que se envían antes de que lleguen al autobús".