El Gobierno Central prohíbe aplicaciones tras informes de apagados remotos de e-rickshaws
El gobierno indio ha tomado medidas decisivas al eliminar dos aplicaciones para teléfonos inteligentes de las principales tiendas de aplicaciones, tras los alarmantes informes de que se estaban desactivando e-rickshaws de forma remota. Esta medida se produce tras la creciente preocupación por la ciberseguridad relacionada con la vulnerabilidad de los sistemas de gestión de vehículos conectados a internet que se utilizan en el masivo sector de vehículos eléctricos del país.
La controversia de BAT-BMS y la interrupción remota
La controversia estalló tras la aparición de vídeos virales en redes sociales que mostraban a personas utilizando una aplicación llamada BAT-BMS para apagar e-rickshaws de forma remota. La aplicación, desarrollada por Shenzhen Grenergy Technology en China, fue diseñada originalmente como una herramienta legítima para supervisar el estado de la batería, incluyendo parámetros como el voltaje y la temperatura.
Sin embargo, las capacidades de control remoto de la aplicación han sido explotadas para interrumpir las operaciones de los vehículos. Al conectarse mediante Bluetooth a baterías de litio compatibles, usuarios no autorizados han podido desactivar la función de descarga de la batería, dejando efectivamente a los conductores varados en medio de las carreteras. Algunos conductores incluso informaron haber tenido que pagar a desconocidos para que les ayudaran a reiniciar sus vehículos tras ser víctimas de estos apagados digitales.
Vulnerabilidades en los BMS fabricados en China
El incidente ha puesto de relieve un fallo de seguridad crítico en el segmento de e-rickshaws económicos de la India. Los hallazgos preliminares de los funcionarios gubernamentales sugieren que muchos e-rickshaws en la India utilizan sistemas de gestión de baterías (BMS, por sus siglas en inglés) fabricados en China que carecen de funciones de seguridad esenciales.
Estos sistemas suelen funcionar sin protección por contraseña ni protocolos de autenticación robustos. Debido a que la aplicación BAT-BMS permite a los usuarios conectarse de forma inalámbrica a baterías de litio con Bluetooth dentro de un rango limitado, la falta de seguridad facilita que cualquier persona en las proximidades intercepte la señal y desactive la salida de energía. Esta vulnerabilidad transforma una herramienta de diagnóstico en un arma potencial para el acoso digital y el robo.
Respuesta del gobierno y exigencias de supervisión
El secretario de TI, S Krishnan, confirmó la eliminación de las aplicaciones durante una cumbre de ciberseguridad de la CII, afirmando que el gobierno tomó medidas inmediatamente después de que el problema saliera a la luz. Más allá de la eliminación de las aplicaciones específicas, el Gobierno Central está exigiendo una mayor responsabilidad a los proveedores globales de tiendas de aplicaciones.
Krishnan enfatizó que las tiendas de aplicaciones deben ejercer niveles mucho más altos de diligencia debida y supervisión antes de alojar aplicaciones en sus plataformas. El gobierno tiene la intención de tratar el asunto con estos proveedores para garantizar que el software potencialmente dañino o explotable no esté disponible para el público. Mientras tanto, se ha encomendado al departamento de transporte del gobierno de Delhi la investigación de la autenticidad de la aplicación BAT-BMS y sus vulnerabilidades específicas basadas en Bluetooth.
Conclusiones clave
- Acción inmediata: El gobierno indio ha eliminado dos aplicaciones, incluida la de desarrollo chino BAT-BMS, de las tiendas de aplicaciones para evitar nuevos apagados remotos de e-rickshaws.
- Fallo de seguridad: Muchos e-rickshaws económicos utilizan sistemas de gestión de baterías (BMS) fabricados en China que no son seguros y carecen de protección por contraseña, lo que los hace vulnerables a ataques basados en Bluetooth.
- Presión regulatoria: El Gobierno Central exige una supervisión y una diligencia debida más estrictas por parte de las plataformas de tiendas de aplicaciones para evitar la distribución de aplicaciones dañinas o explotables.
