No lo vieron venir: los autobuses eléctricos chinos que usa Noruega podrían ser un caballo de Troya por una tarjeta SD
850 autobuses a Yutong, comprados por Noruega, son accesibles vía actualizaciones remotas, lo que permitiría controlarlos a distancia.
Todo el mundo llama paranoico al gobierno de Estados Unidos en general y a Donald Trump en particular por desconfiar de los coches chinos y creer que estos cuenta con software espía para recopilar datos de EE.UU., pero resulta que en Noruega ha habido un caso que apunta a algo similar: los autobuses eléctricos chinos que usan podrían ser un caballo de Troya.
El país nórdico compró 850 autobuses a Yutong y ahora parece que, gracias a su tarjeta SD y al sistema de actualizaciones remotas, los vehículos pueden ser manipulados a distancia. Ruter, el operador de dichos autobuses, ha señalado que la marca china “tiene acceso digital a los sistemas de control para actualizaciones de software y diagnósticos”.
De hecho, se apunta que “en teoría, esto podría aprovecharse para influir en el autobús”, aunque tranquiliza a la población comentando que “las cámaras del autobús no están conectadas a Internet; no existe riesgo de transmisión de imágenes o videos desde los autobuses”.
Para comprobar el alcance de manipulación al que pueden someterse, se ha llevado a cabo un test con dos autobuses, uno chino y uno que no, en el interior de una montaña, con el fin de que el primero no tuviera conexión a la red y no pudiera ser accedido de manera remota.
Las conclusiones son que el autobús chino de Yutong tiene capacidad para actualizaciones de software autónomas (inalámbricas), lo que “significa que el fabricante tiene acceso digital directo a cada autobús para realizar actualizaciones de software y diagnósticos”.
Concretan que el sistema de control de la batería y la alimentación se controla mediante una red móvil a través de una tarjeta SIM rumana. Esto puede no parecer importante, pero significa que, al menos en teoría, el fabricante podría detener o inutilizar este autobús.
Eso sí, se apunta que “existe un bajo grado de integración entre los sistemas del autobús y solo hay una vía de acceso a su funcionamiento crítico”, lo que hace que sea fácil aislarlo del exterior. No solo eso, la compañía asegura que puede retrasar las señales al autobús para conseguir información sobre las actualizaciones antes de que lleguen y que estos mecanismos ya se están implementando.
¿Qué medidas concretas se van a implantar? Ruter enumera: imponer requisitos de seguridad aún más estrictos en futuras adquisiciones de vehículos, desarrollar cortafuegos que garanticen el control local y protejan contra la piratería informática, colaborar con las autoridades nacionales y locales en la definición de requisitos claros de ciberseguridad y aprovechar una oportunidad tecnológica antes de que la próxima generación de autobuses esté más integrada y sea más difícil de proteger.
A este respecto, la compañía se muestra optimista, ya que sus expertos creen que “Noruega se encuentra en una encrucijada donde es posible introducir requisitos para los autobuses y normativas que reduzcan significativamente la seguridad”.
Consideran que en el marco actual, los autobuses tienen la misma funcionalidad que la que tenía un coche en 2016, es decir, que sus funciones conectadas todavía son bastante limitadas. Por eso se puede atajar el problema, aunque son conscientes de que cuanto más se avance hacia los sistemas de asistencia al conductor y, directamente a la conducción autónoma, serán necesarias medidas más seguras porque los riesgos serán mayores.
La solución más rápida que se tomado ha sido la de quitar las tarjetas SIM de los autobuses, puesto que, como se suele decir, “muerto el perro, se acabó la rabia”. Si tarjeta que reciba las actualizaciones remotas, no hay posibilidad de control, y sin ellas los vehículos son plenamente capaces de seguir operando sin ningún problema.
Bernt Reitan Jenssen, director general de Ruter, ha declarado: “Esta prueba exhaustiva y única nos permite equipar los autobuses con la protección adecuada. El transporte público de Oslo y Akershus debe tener acceso a la tecnología más avanzada y a la máxima seguridad. Tras estas pruebas, las preocupaciones de Ruter se han transformado en conocimiento concreto sobre cómo implementar sistemas de seguridad que nos protejan de actividades no deseadas o intentos de pirateo informático en los sistemas de los autobuses”.
La compañía se ha reunido con el Ministerio de Transporte para trabajar en soluciones futuras a este problema, que hipotéticamente podría llegar a considerarse como de seguridad nacional.
Esto en parte se debe a que los autobuses de Yutong forman una parte importante de la flota de autobuses eléctricos de Noruega: de los 1.300 ejemplares que la forman, unos 850 son de la marca china. De hecho, tan solo en Oslo y Akershus ya hay operando 300.