Cuando EL ESPAÑOL - Omicrono pasó un día con el grupo de élite de lucha contra hackers desde Madrid, la frase que pudimos extraer lo dejó claro: "nadie está a salvo". Podemos estar amenazados incluso de las maneras más simples posibles.
El más claro ejemplo de esto lo vemos en Ruter, la mayor empresa de transporte público de Noruega, que ha descubierto importantes problemas de seguridad en una línea de autobuses comprados desde China.
La misma Ruter lo detalla en un escueto informe en el que aseguran que comprobaron los autobuses de la firma Yutong, usados en sus líneas de transporte. Unos autobuses que, en teoría, se podían inutilizar de forma remota.
Autobuses públicos con problemas de seguridad
Ruter explica en su web que han realizado "exhaustivas" pruebas a su flotilla de autobuses eléctricos, provenientes de la firma china Yutong. Concretamente, se inspeccionaron autobuses Yutong y VDL ya antiguos de los Países Bajos.
Se examinaron dos escenarios muy concretos, relacionados con la vigilancia y con el acceso remoto que Yutong tenía a sus autobuses. Y descubrieron detalles interesantes y preocupantes al mismo tiempo.
Autobús Yutong afectado.
Ruter detalló que Yutong tenía acceso digital a los sistemas de control del autobús especializados para realizar actualizaciones de software y diagnósticos varios. Expusieron que estos autobuses son compatibles con las llamadas actualizaciones OTA vía Internet.
"Esto significa que el fabricante tiene acceso digital directo a cada bus para realizar actualizaciones de software y diagnósticos", expuso la empresa noruega. No solo eso; unas SIM rumanas presentes en el bus facilitaban este acceso.
A través de SIM provenientes de Rumanía, el fabricante podía acceder al sistema de control de la batería y la alimentación eléctrica usando la red móvil. "En teoría, por lo tanto, el fabricante puede detener o inutilizar el bus".
Por si fuera poco, la plataforma de software de Yutong también es problemática. Ruter descubrió vulnerabilidades en las plataformas de actualización de software de Yutong para con sus clientes. Eso sí, ya han sido parcheadas.
Autobús en marcha.
Respecto al control remoto de los buses, Ruter explicó que existía "un bajo grado de integración entre los sistemas del bus" y que solo había una vía para acceder a este funcionamiento crítico. Con parchear esta entrada, se aislaban estos autobuses.
"También podemos retrasar las señales que llegan al bus para obtener información sobre las actualizaciones antes de que lo reciban", dijo Ruter. Además, confirmaron estar trabajando codo con codo con el Ministerio de Transportes para subsanar estos problemas.
En este sentido, ya se están implementando medidas de distinta índole, que pasan por desarrollar cortafuegos para el control local y evitar el manejo remoto de los buses y la imposición de requisitos de seguridad más estrictos en futuras compras de buses.
No solo eso; Ruter colaborará con autoridades nacionales y locales en la "definición de requisitos claros de ciberseguridad" y aprovecharán una ventana de "oportunidad tecnológica" antes de que "la próxima generación de autobuses esté más integrada y sea más difícil de asegurar".
Un idílico paisaje noruego
Esta situación es la prueba de que se pueden posicionar puertas traseras inesperadas en algunos de los lugares más insospechados, como sería en este caso un autobús. Especialmente en un mundo dominado por el auge de la IA.
Un caso que ha surgido en la palestra en los últimos años refiere precisamente a este concepto. El gobierno de Reino Unido lleva meses intentando exigir a Apple la imposición de una puerta trasera en los datos de iCloud de sus usuarios, sin ir más lejos.
Este caso, que ya viene de largo, se ha encontrado con una clara negativa por parte de Apple, que en respuesta retiró el sistema de seguridad iCloud Advanced Data Protection a consecuencia de estas solicitudes.