El Gobierno Central elimina aplicaciones vinculadas al apagado remoto de e-rickshaws
El gobierno indio ha tomado medidas decisivas al eliminar dos aplicaciones para teléfonos inteligentes de las tiendas de aplicaciones, tras informes alarmantes sobre la manipulación remota de vehículos. Presuntamente, estas aplicaciones se utilizaban para desactivar los e-rickshaws, dejando a los conductores varados y planteando importantes preocupaciones de ciberseguridad para el sector de los vehículos eléctricos.
La controversia de BAT-BMS y los apagados remotos
La medida se produce tras la difusión de informes en redes sociales y vídeos virales que demuestran cómo los e-rickshaws podían quedar inoperables a través de la aplicación "BAT-BMS". Desarrollada por Shenzhen Grenergy Technology en China, BAT-BMS fue diseñada originalmente como una herramienta legítima para monitorizar parámetros de la batería, como el voltaje y la temperatura, en baterías de iones de litio.
Sin embargo, la funcionalidad de la aplicación ha sido explotada en la India para interrumpir las operaciones de los vehículos. Se observó a usuarios utilizando la aplicación para conectarse a baterías con tecnología Bluetooth y desactivar remotamente la función de descarga. Este fallo de seguridad ha provocado casos en los que conductores de e-rickshaws quedaron varados en medio de las carreteras; algunos incluso informaron que tuvieron que pagar a desconocidos para que les ayudaran a reiniciar sus vehículos.
Vulnerabilidades de seguridad en sistemas BMS económicos
Un aspecto crítico de esta crisis reside en el hardware que se utiliza en el mercado indio. Los hallazgos preliminares de los funcionarios gubernamentales sugieren que muchos e-rickshaws económicos en la India utilizan sistemas de gestión de baterías (BMS, por sus siglas en inglés) fabricados en China que poseen características de seguridad mínimas.
Estos sistemas específicos suelen carecer de protocolos de autenticación esenciales o de protección por contraseña. Debido a que el BMS se comunica a través de Bluetooth, cualquier persona dentro de un rango limitado puede conectarse de forma inalámbrica a la batería no asegurada y manipular su salida de energía. Esta vulnerabilidad convierte una herramienta estándar de gestión de baterías en un arma potencial para el sabotaje remoto.
Respuesta del gobierno y llamamiento al escrutinio de las tiendas de aplicaciones
El secretario de TI, S Krishnan, confirmó la eliminación de las aplicaciones infractoras durante una cumbre de ciberseguridad de la CII, señalando que el gobierno actuó inmediatamente después de que salieran a la luz los informes. Más allá de la eliminación inmediata, el Gobierno Central está pivotando ahora hacia la prevención sistémica.
El gobierno tiene previsto tratar el asunto con los principales proveedores de tiendas de aplicaciones, exigiendo una mayor diligencia debida y escrutinio antes de permitir aplicaciones en sus plataformas. El objetivo es garantizar que las aplicaciones con capacidades potencialmente dañinas, o aquellas capaces de explotar vulnerabilidades de hardware, no se pongan a disposición del público. Simultáneamente, el gobierno de Delhi ha ordenado a su departamento de transporte investigar la autenticidad de la aplicación BAT-BMS y su capacidad para desactivar vehículos mediante la conectividad Bluetooth.
Conclusiones clave
- Acción inmediata tomada: El gobierno central ha eliminado dos aplicaciones específicas, incluida BAT-BMS, de las tiendas digitales para evitar nuevas manipulaciones remotas de los e-rickshaws.
- Vulnerabilidad de hardware: El problema se ve agravado por el uso de sistemas de gestión de baterías (BMS) de bajo coste fabricados en China que carecen de protección por contraseña y de una autenticación Bluetooth segura.
- Mayor regulación: El gobierno está presionando para que los operadores de las tiendas de aplicaciones realicen un escrutinio más estricto para evitar la distribución de aplicaciones que puedan explotar vulnerabilidades de IoT y de gestión de vehículos.
