VALÈNCIA. Las aplicaciones para móvil de Metrovalencia y el TRAM tienen al descubierto los datos de 60.000 usuarios del servicio de transporte de la Generalitat. Así lo ha denunciado en un juzgado de València un ingeniero informático que señala a Ferrocarrils de la Generalitat Valenciana (FGV) y a la empresa de software que realizó la app por presunta violación del derecho de protección de datos de carácter personal.
Valencia Plaza pudo comprobar este miércoles cómo el ingeniero, que pide mantener su anonimato, accedía de forma aparentemente sencilla a través del programa Postman a todos los datos de los usuarios registrados excepto el número de tarjeta de crédito, que sospecha que también se podría conseguir si tratara de realizar un pago aunque no lo ha probado para no incurrir en un delito.
En plena locura por el cumplimiento de la ley de Protección de Datos la situación parece muy grave, ya que el agujero informático generado en la aplicación permite que cualquier persona a través de internet pueda no solo acceder sino también manipular libremente la información de los usuarios registrados –59.894 en el momento de la denuncia–, incluyendo su dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa y número de teléfono.
El informático que ha presentado la denuncia, que también ha remitido un escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en la misma una auditoría donde explica, punto por punto, el problema que lleva a que estos datos estén en abierto. El problema, afirma, radica en la API, interfaz de programación de aplicaciones, que está disponible de forma pública en internet. Esta API carece de autenticación, es decir, no valida quién realiza las peticiones, por lo que cualquier puede acceder a los datos de todos los usuarios.
"La autenticación es un requisito indispensable en todo software de acceso público que maneja información privada y en este caso se ha optado por no implementar ningún tipo de autenticación sin pensar en las consecuencias. Se puede afirmar sin lugar a dudas que no se trata de un fallo de seguridad; el software se ha concebido así directamente porque no ha sido desarrollado por profesionales cualificados", asegura este ingeniero en la auditoría.
No solo son los datos personales los que quedan al descubierto, también las tarjetas de transporte asociadas a cada usuario y, por tanto, sus movimientos en el metro o tranvía, fecha, hora y tipo de acciones como entrada o salida. Estos datos permiten conocer la ubicación exacta de todos los usuarios y establecer sus patrones de movimiento. También es posible ver las compras realizadas por cada usuario, incluyendo el título de transporte recargado, el importe y la fecha.
En su denuncia, el informático aporta datos de los movimientos de una persona elegida al azar, residente en un municipio de La Ribera, que todos los días coge el metro a la misma hora para trasladarse a su trabajo en el centro de València –su dirección de correo electrónico revela dónde trabaja–, y que por la tarde regresa a su pueblo desde la misma estación, la de la plaza de España.
Más grave aún es que también permite el acceso a la fecha de caducidad y la marca de las tarjetas, lo que permitiría reconstruir datos completos de las mismas. "Esto supone la realización de recargas no autorizadas de tarjetas de transporte y, por tanto, de cobros ilícitos con tarjeta bancaria, siempre y cuando la pasarela de pago no tenga autenticación de doble factor", recoge la auditoría. No obstante, el denunciante avisa de que este último punto es teórico ya que es ilegal realizar la comprobación.
De hecho, apunta incluso a la posibilidad de realizar una recarga indicando importes de distinto cobro y de recarga, por lo que entiende que es posible recargar 10 euros en una tarjeta pagando solo 0,01, por ejemplo. Según la denuncia, también sería factible cambiar la contraseña de los usuarios, realizar devoluciones de pagos y eliminar o añadir tarjetas de crédito.
"El hecho de aceptar pagos con tarjetas bancarias exige el cumplimiento de unos estándares de seguridad muy estrictos, véase Payment Card Industry Data Security Standards, que ni el software ni la infraestructura de Ferrocarrils de la Generalitat Valenciana cumplen", asegura.
En la auditoría también se proponen medidas para solucionar la situación. En primer lugar, desactivar los servicios de la app con efecto inmediato hasta que se cumpla la legislación. Por otro lado, realizar una investigación para descubrir si la información pública ha sido descargada o explotada por terceras partes. A esta cuestión suma la necesidad de emitir nuevas tarjetas de los usuarios afectados con nueva numeración para que si alguien ha descargado su información no puedan seguir monitorizándoles, a lo que suma auditar su nuevo software y poner la auditoría a disposición de los usuarios.
Además, señala la necesidad de condenar "duramente" este tipo de situaciones y exigir que profesionales cualificados se encarguen de diseñar e implementar los productos que la sociedad utiliza en el día a día, siendo la informática una pieza esencial en la misma. "Si el estándar de calidad de FGV es el que ha quedado patente en esta pequeña auditoría, ¿qué garantías tienen los ciudadanos de que el resto de software e infraestructura informática cumplen con la legislación?", se pregunta.
Este periódico preguntó este miércoles a la empresa pública FGV, que aseguró que no han recibido notificación alguna ni del juzgado ni de la AEPD. Reconoce que hubo algún fallo cuando se lanzó la app el pasado mes de marzo, pero asegura que, tras ser advertidos por algún usuario a través de las redes sociales, estos fallos fueron corregidos. Las fuentes consultadas se mostraron muy extrañadas porque la empresa pública utiliza el servidor de la Geneeralitat.
La app fue desarrollado por la empresa leonesa Proconsi, que ganó el concurso convocado por la Gerencia de FGV al ofrecer 49.750 euros.