Las pruebas realizadas por el operador noruego Ruter revelaron que algunos modelos de buses eléctricos de la marca Yutong pueden ser accedidos de forma remota a través de sus sistemas de actualización y diagnóstico. Dinamarca abrió una investigación similar tras conocer los resultados, mientras el fabricante chino afirma cumplir las normativas internacionales y almacenar los datos en servidores europeos.
El operador público noruego Ruter, responsable de una parte importante del transporte en las ciudades de Oslo y Akershus, dio a conocer los resultados de una serie de pruebas de ciberseguridad realizadas en buses eléctricos con conectividad remota. Los ensayos se efectuaron en un entorno aislado, incluso en minas subterráneas, con el fin de eliminar cualquier interferencia externa. Se probaron un bus nuevo de la marca Yutong, fabricado en China, y otro de la compañía VDL, de origen neerlandés.
Las pruebas detectaron que el modelo de Yutong contaba con una función de actualización de software Over-The-Air (OTA), que permite al fabricante acceder de forma remota al sistema del vehículo para mantenimiento y diagnóstico. En teoría, esta capacidad podría ser utilizada para detener o alterar el funcionamiento del bus. El vehículo de VDL, en cambio, no incluía esa función.
El director ejecutivo de Ruter, Bernt Reitan Jenssen, explicó que las pruebas permitieron pasar “de la preocupación al conocimiento concreto sobre cómo implementar sistemas de seguridad que nos protejan frente a actividades no deseadas o ataques a los sistemas de datos del bus”.
Por su parte, de acuerdo a medios europeos, la empresa aseguró que los buses no pueden ser operados a distancia, aunque el fabricante sí tiene acceso a subsistemas como la batería y el suministro de energía a través de la red móvil.
Ruter informó que, tras los hallazgos, está implementando nuevos requisitos de ciberseguridad en sus procesos de compra, desarrollando firewalls locales y mecanismos que permitan revisar y retrasar las señales entrantes para controlar las actualizaciones antes de que se ejecuten. También coordina con las autoridades nacionales la elaboración de estándares claros en materia de seguridad digital para el transporte.
Impacto en Dinamarca
El caso noruego motivó una investigación en Dinamarca, donde la autoridad de transporte público Movia opera 469 buses eléctricos, de los cuales 262 son de Yutong. El director de operaciones de Movia, Jeppe Gaard, indicó que “los buses eléctricos, al igual que los autos eléctricos, pueden ser desactivados si sus sistemas tienen acceso web. No es un problema exclusivo de los buses chinos; es un desafío común a todos los vehículos y dispositivos conectados”.
El organismo danés de protección civil, Samsik, señaló que no existen registros de desactivaciones remotas, pero advirtió que los sistemas con conectividad, cámaras, micrófonos y GPS pueden representar vulnerabilidades explotables. Añadió que mantiene un seguimiento constante y evalúa la necesidad de actualizar las recomendaciones para el sector transporte.
Por su parte, y citados por medios europeos y norteamericanos, Yutong respondió que cumple estrictamente con las leyes y regulaciones locales y que los datos de sus vehículos en la Unión Europea se almacenan cifrados en servidores de Amazon Web Services en Frankfurt, utilizados únicamente para mantenimiento y mejora del servicio. “Nadie puede acceder ni visualizar estos datos sin autorización del cliente”, habría precisado la compañía en un comunicado.
Aunque las autoridades noruegas indicaron si las vulnerabilidades detectadas fueron corregidas, destacaron que los riesgos no se limitan a un fabricante o país, sino que derivan del avance tecnológico y la creciente conectividad en los sistemas de transporte modernos.
Buses eléctricos en Chile
De acuerdo con cifras de la propia compañía para América Latina y del sistema Red para el transporte en la capital, en Chile hay al menos 314 buses eléctricos de la marca Yutong, la mayoría de ellos operando en Santiago. 100 de esos buses fueron entregados en enero de 2019 y otras 214 unidades en enero de 2024.