En plena locura por el cumplimiento de la
ley de Protección de Datos la situación parece muy grave, ya que el
agujero informático generado en la aplicación permite que cualquier
persona a través de internet pueda no solo acceder sino también
manipular libremente la información de los usuarios registrados –59.894
en el momento de la denuncia–, incluyendo su dirección de correo
electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección
postal completa y número de teléfono.
El
informático que ha presentado la denuncia, que también ha remitido un
escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en
la misma una auditoría donde explica, punto por punto, el problema que
lleva a que estos datos estén en abierto. Según afirma radica en la API,
interfaz de programación de aplicaciones, que está disponible de forma
pública en internet. Esta API carece de autenticación, es decir, no
valida quién realiza las peticiones, por lo que cualquiera puede acceder
a los datos de todos los usuarios.
"La autenticación es un requisito indispensable en todo software
de acceso público que maneja información privada y en este caso se ha
optado por no implementar ningún tipo de autenticación sin pensar en las
consecuencias. Se puede afirmar sin lugar a dudas que no se trata de un
fallo de seguridad; el software se ha concebido así
directamente porque no ha sido desarrollado por profesionales
cualificados", asegura este ingeniero en la auditoría.
Seguimiento de los viajes
No
solo son los datos personales los que quedan al descubierto, también
las tarjetas de transporte asociadas a cada usuario y, por tanto, sus
movimientos en el metro o tranvía, fecha, hora y tipo de acciones como
entrada o salida. Estos datos permiten conocer la ubicación exacta de
todos los usuarios y establecer sus patrones de movimiento. También es
posible ver las compras realizadas por cada usuario, incluyendo el
título de transporte recargado, el importe y la fecha.
En
su denuncia, el informático aporta datos de los movimientos de una
persona elegida al azar, residente en un municipio de La Ribera, que
todos los días coge el metro a la misma hora para trasladarse a su
trabajo en el centro de València –su dirección de correo electrónico
revela dónde trabaja–, y que por la tarde regresa a su pueblo desde la
misma estación, la de Plaza de España.
Más
grave aún es que también permite el acceso a la fecha de caducidad y la
marca de las tarjetas, lo que permitiría realizar pagos. "Esto supone
la realización de recargas no autorizadas de tarjetas de transporte y,
por tanto, de cobros ilícitos con tarjeta bancaria, siempre y cuando la
pasarela de pago no tenga autenticación de doble factor", recoge la
auditoría. No obstante, el denunciante avisa de que este último punto es
teórico ya que es ilegal realizar la comprobación.
De hecho, apunta incluso a la posibilidad
de realizar una recarga indicando importes de distinto cobro y de
recarga, por lo que entiende que es posible recargar 10 euros en una
tarjeta pagando solo 0,01, por ejemplo. Según la denuncia, también sería
factible cambiar la contraseña de los usuarios, realizar devoluciones
de pagos y eliminar o añadir tarjetas de crédito.
"El
hecho de aceptar pagos con tarjetas bancarias exige el cumplimiento de
unos estándares de seguridad muy estrictos, véase Payment Card Industry
Data Security Standards, que ni el software ni la infraestructura de Ferrocarrils de la Generalitat Valenciana cumplen", asegura.
Solución: desactivar la 'app'
En la auditoría también se proponen medidas para solucionar la situación. En primer lugar, desactivar los servicios de la app
con efecto inmediato hasta que se cumpla la legislación. Por otro lado,
realizar una investigación para descubrir si la información pública ha
sido descargada o explotada por terceras partes. A esta cuestión suma la
necesidad de emitir nuevas tarjetas de los usuarios afectados con nueva
numeración para que si alguien ha descargado su información no puedan
seguir monitorizándoles, además de auditar su nuevo software y poner la auditoría a disposición de los usuarios.
También
señala la necesidad de condenar "duramente" este tipo de situaciones y
exigir que profesionales cualificados se encarguen de diseñar e
implementar los productos que la sociedad utiliza en el día a día,
siendo la informática una pieza esencial en la misma. "Si el estándar de
calidad de FGV es el que ha quedado patente en esta pequeña auditoría,
¿qué garantías tienen los ciudadanos de que el resto de software e infraestructura informática cumplen con la legislación?", se pregunta.
FGV no sabe nada
El periódico "ValenciaPlaza" preguntó este miércoles a la empresa pública FGV, que aseguró
que no han recibido notificación alguna ni del juzgado ni de la AEPD.
Reconoce que hubo algún fallo cuando se lanzó la app el pasado
mes de marzo, pero asegura que, tras ser advertidos por algún usuario a
través de las redes sociales, estos fallos fueron corregidos.
Las fuentes consultadas se mostraron muy extrañadas porque la empresa pública utiliza el servidor de la Generalitat. La app
fue desarrollado por la empresa leonesa Proconsi, que ganó el concurso
convocado por la Gerencia de FGV al ofrecer 49.750 euros.
Fuentes:
No hay comentarios:
Publicar un comentario