Noruega inicia revisión de ciberseguridad tras descubrir función de acceso remoto en autobuses chinos

 (scandasia.com)
1 puntos por GN⁺ 2025-11-06 | 1 comentarios | Compartir por WhatsApp
  • La operadora de transporte público de Noruega, Ruter, descubrió una tarjeta SIM oculta en autobuses eléctricos de la china Yutong, lo que llevó al gobierno a iniciar una revisión de ciberseguridad
  • En pruebas internas se confirmó una SIM de Rumania y, en teoría, existía la posibilidad de que el proveedor detuviera remotamente los vehículos o manipulara el software
  • Ruter señaló que no hay evidencia de uso indebido, pero mencionó que este hallazgo hizo pasar la situación de la fase de sospecha a la de hechos concretos
  • La empresa retiró la SIM y reforzó las normas de adquisiciones, los firewalls y los requisitos de seguridad en la nube para localizar el control operativo
  • De unos 1,300 autobuses eléctricos, 850 son productos de Yutong, y el incidente pone de relieve los riesgos de seguridad en cadenas de suministro tecnológico extranjeras

Noruega inicia una revisión de ciberseguridad

  • Noruega comenzó una inspección de ciberseguridad a nivel nacional después de que se descubriera una tarjeta SIM oculta en autobuses eléctricos Yutong fabricados en China
    • Los autobuses están operados por la empresa de transporte público Ruter, y la SIM fue encontrada durante pruebas en instalaciones internas de seguridad
    • Esta tarjeta SIM implicaba una posible capacidad de acceso remoto y control del vehículo
  • Ruter explicó que confirmó una posibilidad teórica de que el proveedor chino pudiera detener los vehículos o intervenir mediante actualizaciones de software
    • Sin embargo, no existen casos reales de uso indebido, y el descubrimiento fue descrito como “un paso de la sospecha a los hechos concretos

Medidas de respuesta de Ruter

  • Ruter completó de inmediato la remoción de la tarjeta SIM e inició el refuerzo de los procedimientos de adquisición y del sistema interno de seguridad
    • Su objetivo es asegurar el control local de toda la operación del transporte reforzando los firewalls internos y los requisitos de seguridad en la nube
  • La empresa también está revisando futuras condiciones de licitación y contrato para fortalecer la seguridad de la cadena de suministro

Reacción del gobierno y dirección de la política

  • El ministro de Transporte de Noruega, Jon-Ivar Nygård, declaró en una entrevista con la emisora nacional NRK que
    se está llevando a cabo una evaluación de riesgos de proveedores de países fuera de las alianzas de seguridad de Noruega
    • También subrayó la necesidad de proteger la infraestructura crítica
  • A raíz de este caso, el gobierno está revisando los estándares de seguridad digital del sistema de transporte público

Estado de operación de los autobuses eléctricos y evaluación del riesgo

  • En Noruega circulan aproximadamente 1,300 autobuses eléctricos, de los cuales unos 850 son de Yutong
    • Solo en las regiones de Oslo y Akershus operan alrededor de 300 unidades
  • Ruter evaluó que la posibilidad de un intento real de interferencia es baja, pero señaló que
    este incidente muestra el aumento de los riesgos de ciberseguridad relacionados con proveedores extranjeros de tecnología

Contexto internacional

  • En medio de la expansión global de los autobuses eléctricos chinos, especialmente en el mercado del Sudeste Asiático,
    este caso plantea preocupaciones sobre la dependencia digital y la vulnerabilidad estratégica de los sistemas de transporte público
  • El CEO de Ruter, Bernt Reitan Jenssen, afirmó: “Es poco probable que estos autobuses sean explotados maliciosamente, pero el riesgo debe tomarse en serio

No hay información adicional en el texto original

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-06
Opiniones de Hacker News

  • Trabajo en seguridad ferroviaria. Hace algunos años, dos importantes empresas ferroviarias no chinas intentaron fusionarse para competir con una empresa estatal china y reducir el riesgo de ciberataques en los ferrocarriles occidentales
    Pero un funcionario de la UE lo bloqueó por motivos antimonopolio, y el intento fracasó
    Después hubo varios intentos de ajuste, pero al final nunca se autorizó
    Como resultado, la china CRCC ha seguido ganando contratos en el extranjero. Existe la sospecha de que busca robar propiedad intelectual mediante contratos a precios bajos, incluso asumiendo pérdidas. En este contexto, controlar una red ferroviaria también tiene una enorme importancia estratégica en términos militares
    Este artículo trata de autobuses, pero los paralelismos con el sector ferroviario son claros

    • Hace un año, un proveedor ferroviario en Polonia presentó una demanda por el problema del jailbreak del software de locomotoras. Alegaban que un tercero había hecho posible el mantenimiento no oficial.
      La tecnología de vigilancia en un producto no necesariamente es para la guerra, pero eso no significa que sea algo bueno
    • Incluso si la fusión en Europa se hubiera concretado, habría sido 10 veces más pequeña que las empresas chinas y, dentro de Europa, en la práctica habría sido un monopolio. No creo que la decisión de bloquearla haya sido completamente equivocada
    • Occidente es demasiado indulgente con este tipo de burócratas. China viola abiertamente las reglas de la OMC mientras opera empresas respaldadas por el Estado, y quienes toman este tipo de decisiones están debilitando la respuesta occidental
    • En el fondo, me pregunto por qué deberían existir las “empresas ferroviarias privadas”
    • En una guerra, la logística es clave, así que no se puede subestimar la importancia estratégica de controlar los ferrocarriles. La misma lógica aplica a drones y autos

  • Me pregunto si la empresa china puso una tarjeta SIM rumana en el autobús, o si la instaló el importador.
    También me pregunto si es conectividad para funciones de gestión de la flota o si realmente era una comunicación secreta.
    Además, no entiendo por qué alguien querría comprar un autobús que no pueda monitorearse en remoto. De hecho, eso es una función útil en el transporte público

    • La función de gestión vehicular en cuestión estaba documentada y podía desactivarse fácilmente
    • Esto huele simplemente a propaganda occidental antichina. Parece que vino una instrucción desde arriba para aumentar la presión sobre China.
      Da la impresión de ser parte de una ingeniería social para crear un clima de miedo y lograr que los gobiernos locales eviten productos chinos
    • Si China hubiera querido ocultar algo, habría usado una eSIM sin marca.
      Probablemente eligieron una SIM rumana porque el plan funciona bien en todo el EEE.
      Es un caso exagerado de FUD (miedo, incertidumbre y duda), aunque aun así debieron haber sido más cautelosos considerando que la mitad de los vehículos son de fabricación china

  • Es una pena que Noruega, teniendo al lado países fabricantes de autobuses como Scania y Volvo, haya comprado unidades chinas traídas desde miles de km.
    Hoy en día parece que la reducción de costos decide todo. Pero en infraestructura nacional, la seguridad y el control son más importantes

    • Lo más triste es que hasta Suecia reemplazó marcas nacionales por autobuses BYD
    • Me sorprendió saber que Volvo fabrica autobuses en Suecia. Pero como ya tiene 78% de capital chino, en la práctica es una empresa china
    • China lleva al menos 10 años de ventaja sobre Scania/Volvo en tecnología de autobuses eléctricos. Es muy probable que en ese momento las empresas europeas no tuvieran un modelo adecuado
    • La empresa noruega Tide planea incorporar autobuses eléctricos de Scania el próximo verano
      Comunicado relacionado
    • En realidad, los autobuses suecos también llevan tarjetas SIM. La diferencia es quién puede usar esa puerta trasera.
      Claro, hoy es casi imposible que Suecia ataque a Noruega, pero visto históricamente es una ironía interesante

  • Hubo antes el caso de la puerta trasera en trenes polacos, y me pregunto qué pasó después

    • Todavía sigue en tribunales. Artículo relacionado
    • Es hipócrita tolerar el engaño al consumidor de empresas nacionales mientras solo se critica la influencia extranjera
    • Al final, el objetivo era difundir noticias para sembrar miedo

  • Me sorprende que Noruega haya elegido esta marca. Al subirse, se siente como estar sentado dentro de una caldera

    • Pero si la temperatura media del verano en Noruega es de unos 18 grados, quizá esa sensación de calor no sea un gran problema

  • Si la clave para actualizaciones remotas se filtrara, podrían dejar inservibles cientos de miles de vehículos.
    Tener un sistema así da realmente miedo

    • Más aterrador que dejarlos inservibles sería un sobrecalentamiento de las baterías. Imagínate que todos los vehículos de una ciudad se incendien al mismo tiempo

  • Si un Estado realmente quisiera ocultar una función de control para espionaje, jamás usaría un método de comunicación tan fácil de detectar como una eSIM.
    Esto simplemente forma parte de las funciones de diagnóstico remoto de IoT que los fabricantes llevan años impulsando
    Mientras tanto, Occidente exagera esto como si fuera una nueva amenaza y le pone un marco de guerra comercial
    Como en el caso de los drones DJI: se exige una función por regulación y luego más tarde se la presenta como problema
    Enlace relacionado

  • Si hubiera sido eSIM, ¿habría sido mucho más difícil detectarla o quitarla?
    Por cierto, recientemente también se introdujeron autobuses eléctricos BYD en Suecia

    • El artículo no explica el método exacto de detección, pero parece que encontraron directamente el puerto SIM o la tarjeta.
      Si hicieron una prueba en una jaula de Faraday, daría igual si era eSIM o no.
      En definitiva, creo que no habría habido gran diferencia

  • En mi opinión, esta es una polémica por casi nada.
    Si esta función de acceso remoto estuviera en un producto de otro país, simplemente la llamarían función de actualización de software
    ¿Que China desactive los autobuses? Eso sería una acción demasiado irreal y sin sentido
    En realidad, la mayoría de los dispositivos electrónicos tienen actualizaciones automáticas y, en teoría, también empresas estadounidenses podrían controlarlos de forma remota.
    En ese sentido, el riesgo real está en otra parte

  • Si los autobuses traen este tipo de funciones, preocupa qué podría estar escondido en una MacBook o un smartphone.
    ¿De verdad se puede confiar en Apple?

    • A mí me preocupan más los periféricos baratos de PC, routers y dispositivos para hogar inteligente.
      Incluso los inversores solares están conectados a internet, así que en una guerra podrían ser usados de forma remota
    • Como casos relacionados están la controversia del chip espía de Supermicro y el
      caso de la puerta trasera en el firmware de Gigabyte
    • Apple no podría no saberlo. Es una de las empresas más vigiladas del mundo, y siempre hay gente desesperada por encontrarle un error
    • Además, no hay que olvidar la Cloud Act de EE. UU.
    • TSMC podría ser un punto de intervención, pero la seguridad de hardware de Apple es muy fuerte.
      Todos los datos fuera del SoC están cifrados.
      El verdadero riesgo no son Apple o Google, sino los periféricos fabricados en China