VALÈNCIA. El juez ha citado como investigado al denunciante del agujero de seguridad en la app de Metrovalencia y TRAM. Así consta en las diligencias previas emitidas por el juzgado de instrucción número 6 de València, quien emplaza al ingeniero a comparecer esta semana para prestar declaración.
Esta citación se enmarca en la denuncia que Ferrocarrils de la Generalitat Valenciana (FGV) presentó contra el informático tras advertir el pasado mes de diciembre de la existencia de un agujero de seguridad en las apps del servicio. Tras la alerta, FGV entendió que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 60.000 usuarios al alcance de terceros.
Según la citación, las diligencias previas se enmarcan en un posible delito de ataques a un sistema de información o interceptación de datos electrónicos, por lo que le llaman a declarar. Cabe recordar que el ahora denunciado presentó una auditoría de la cuestión explicando por qué existía esa vulnerabilidad, además de informar a la Agencia Española de Protección de Datos (AEPD).
El ingeniero informático, en su voluntad de solucionar el problema, también presentó una denuncia en el juzgado, que ha sobreseído provisionalmente las diligencias. Según informan desde el Tribunal Superior de Justicia de la Comunitat Valenciana, el Juzgado de Instrucción número 13 de València entiende que "no aparece suficientemente acreditada la perpetración de la infracción penal".
No era la primera vez que el denunciante alertaba del problema, y es que ya advirtió a FGV a través de redes sociales de un fallo de seguridad en la app en cuanto se lanzó, según confirmaron fuentes de la propia compañía, quienes aseguraron que se modificó el software para subsanarlo. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder de nuevo a los datos personales.
De hecho, FGV sí reconoció ante la Agencia de Protección de Datos la existencia de vulnerabilidades en la confección por parte de la empresa Proconsi SL de las aplicaciones que dieron pie a la denuncia del ingeniero valenciano. Estas vulnerabilidades permitían, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios.
Tal y como reconoce FGV en un documento, emitido a instancias de la Agencia de Protección de Datos y al que pudo acceder Valencia Plaza, "la causa que originó la citada brecha se debió a que en el código fuente, generado por la mercantil Proconsi SL, existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana". Eso sí, FGV insistía en que para poder acceder a la "clave de autenticación secreta", incluida en el código fuente de la aplicación, es necesaria la utilización de herramientas y técnicas de ingeniería inversa, situación a la que se acoge para denunciar al informático.
Después de no reconocer que existía un problema de seguridad y de desactivar el perfil de usuario de app y web, el pasado 20 de diciembre Proconsi modificó el sistema de autenticación, que dejó de ser un token fijo para pasar a ser un hash variable almacenado en la memoria del dispositivo del propio usuario y que es válido hasta el momento en el que cierre la aplicación, generando una nueva clave para cada sesión. Por último se llevó a cabo "una auditoría de seguridad de la aplicación para detectar otras vulnerabilidades y su posterior corrección", añadía la empresa pública. Las apps fueron actualizadas y ahora FGV ha sacado a licitación el rediseño de las webs.