Ruter encontró riesgos potenciales de ciberseguridad en los autobuses de la marca china Yutong, que pueden ser accedidos de forma remota a través de una «puerta de enlace» para controlar los sistemas de control del vehículo, junto con actualizaciones remotas over-the-air. El operador de transporte público noruego realizó pruebas en un entorno controlado con dos autobuses, uno nuevo de Yutong y otro, de tres años, de VDL, con fines comparativos, habiendo identificado problemas potenciales con el acceso no autorizado a los sistemas operativos del vehículo, lo que permite que sean desactivados de forma remota o que enfrenten otros problemas operativos.
En un comunicado, Ruter indica que la seguridad de las imágenes no está en juego, pero “el proveedor chino tiene acceso digital a los sistemas de control para actualizaciones de ‘software’ y diagnósticos. En teoría, esto podría ser explotado para afectar al autobús. Hay acceso al sistema de control de la batería y la fuente de alimentación a través de la red móvil, mediante una tarjeta SIM rumana. Por lo tanto, en teoría, este autobús podría ser detenido o vuelto inoperable por el fabricante. Hay un bajo grado de integración entre los sistemas del autobús, y solo hay una salida y acceso a la funcionalidad crítica del autobús. Esto facilita su aislamiento del contacto con el mundo exterior. También podemos retrasar las señales al autobús, por lo que podemos obtener información sobre las actualizaciones enviadas antes de que lleguen al autobús. Estos mecanismos se están implementando ahora”, asegura la empresa, que ya está desarrollando soluciones para prevenir situaciones de riesgo potencial, en colaboración con las autoridades de seguridad. También confirma que tiene la intención de implementar requisitos de seguridad más elaborados para los vehículos que se utilizarán, con el objetivo de actuar antes de la llegada de la próxima generación de autobuses, para que “se vuelva más integrado y difícil de proteger.”
Este caso ha llamado la atención de las autoridades en Dinamarca, donde hay 262 vehículos Yutong en operación que sirven a la empresa de transporte Movia, que, según el periódico británico The Guardian, está investigando maneras de evitar tales riesgos de ciberseguridad en sus vehículos. Sin embargo, en declaraciones citadas por el periódico británico, el Director de Operaciones de Movia, Jeppe Gaard, explica que el riesgo de que los autobuses sean desactivados de forma remota mientras están conectados a la red “no es exclusivo de los autobuses chinos. Es un problema para todo tipo de vehículos y objetos con componentes electrónicos chinos dentro”. No se han reportado problemas de autobuses que funcionen mal debido a ciberataques, pero la agencia de protección civil y gestión de emergencias, Samsik, ha señalado que hay subsistemas que presentan vulnerabilidades para el correcto y deseado funcionamiento de los vehículos.
Por su parte, Yutong asegura que sus autobuses cumplen escrupulosamente con todos los requisitos de ciberseguridad vigentes en Europa, y que los datos recopilados se conservan en el continente, específicamente en el centro de datos de Amazon Web Services (AWS) en Frankfurt, Alemania. Según The Guardian, un portavoz de Yutong declaró que los datos recopilados por los autobuses están relacionados “meramente con el propósito de mantenimiento del vehículo, optimización y mejoras para satisfacer las necesidades del servicio postventa al cliente”.
