VALÈNCIA. Los datos de los usuarios de la aplicación para móvil de Global Omnium son accesibles para cualquiera con conocimientos informáticos y de servidores. Un agujero de seguridad que deja al descubierto información privada de numerosos vecinos de la ciudad, clientes de la empresa mixta de aguas de València, Emivasa, tal y como ha constatado la auditoría practicada por un ingeniero informático comprobada por este diario.
Valencia Plaza ha podido acreditar los fallos de seguridad en la arquitectura interna del software de la mano del mencionado profesional, quien sin grandes obstáculos accedió a múltiples datos de carácter personal de diversos usuarios al azar mediante simples peticiones al servidor utilizando un programa común en el campo de la informática.
La aplicación en cuestión da servicio a los clientes de Emivasa, la empresa mixta participada por la compañía (80%) y el Ayuntamiento de València (20%) cuyo objeto es el abastecimiento de agua al Cap i Casal. En la ciudad de València, según datos del Ayuntamiento, en 2018 había más de 430.000 abonados a la red de agua potable, aunque se desconoce si en los servidores utilizados por la aplicación se almacenan los datos de aquellos abonados que no están registrados en ella.
La auditoría practicada únicamente se refiere a los usuarios de Emivasa (València), que preside el alcalde Joan Ribó y cuyo hilo directo con el consistorio es la edil de Ciclo Integral del Agua, Elisa Valía. Pero lo cierto es que podría afectar a otras muchas localidades, dado que el servidor contiene los datos de otras empresas como Aguas de Altea, Aguas de Calpe, de Teruel, Aigües de Altafulla, de Morella, de Sagunt, de Tortosa, etcétera. Todas ellas prestan el servicio de suministro de agua potable en los respectivos municipios y son filiales de Global Omnium o empresas mixtas participadas por la administración pública y la compañía que preside Eugenio Calabuig.
En un momento en el que la exigencia del cumplimiento de las normativas de protección de datos va a más, vulnerabilidades de este calibre continúan dándose. Por ello, y con ánimo de advertir para mejorar la aplicación, el informático ya ha enviado un escrito a la compañía señalando uno por uno los errores hallados en la aplicación.
En él, explica que ha llevado a cabo el estudio "por motivos meramente educativos" sin "técnicas de decompilación de binarios ni de acceso a programación interna de carácter privado de la empresa". Según afirma el informático, el problema radica en una concatenación de flaquezas que permiten dejar entrar sin problema a un usuario externo, dado que el sistema no valida quién realiza las peticiones, por lo que cualquiera puede acceder a los datos. No se trata, pues, de vulnerar ningún sistema, dado que la brecha se produce por la falta de barreras en la construcción del software.
La auditoría relata cómo el sistema implementado por la compañía permite interceptar información transferida entre los usuarios y el servidor. Además, se han encontrado deficiencias en la autenticación de los servicios web, un requisito que podría considerarse indispensable en cualquier aplicación que funcione con datos privados pero que no se ha implementado en este caso. Y todo ello se suma a otras debilidades en la autorización de datos y a la falta de obstáculos contra ataques masivos o 'de fuerza bruta'. Un cóctel que deja abierta la puerta a obtener información privada sin mucha dificultad.
Global Omnium ya ha tomado en consideración el escrito recibido y, según han confirmado a este diario fuentes de la compañía, el departamento técnico se está encargando de subsanar los posibles errores que se hubieran encontrado. También inciden en que se requieren unos mínimos conocimientos de informática para detectarlos.
Consumo y datos personales
El acceso a los datos, según explica el técnico, consta de diferentes niveles. Por un lado, la aplicación adjunta las contraseñas de los usuarios en texto plano en todas las peticiones, lo que, sumado a la implementación precaria de los certificados de seguridad, podría permitir la extracción de credenciales en todo tipo de redes.
Esto requeriría introducirse en redes ajenas, pero hay otras vías que no precisan de este paso y permiten tener acceso a datos sin usar las credenciales de las cuentas de los usuarios. En este otro nivel se podría conocer el consumo de agua y las cantidades de dinero abonadas cada mes por un contador. Ahora bien, siendo todavía un problema importante, podría considerarse que son datos bastante deslavazados cuya posesión no tendría por qué causar mayor preocupación.
Captura de la 'app'
Captura de la 'app'
Sin embargo, y es donde se encontraría la parte más sensible de la falla cibernética, en un tercer nivel de acceso es posible obtener las facturas originales en PDF de los usuarios de la aplicación, con el logo de Emivasa, y toda la información relativa al cliente: la identidad, el NIF, direcciones postales, histórico de consumos, la cuenta bancaria -excepto los últimos cuatro dígitos- y la entidad en la que está domiciliado el pago, entre otras cosas.
De hecho, una prueba practicada al azar por el experto, sin mayor ánimo que el de demostrar las deficiencias, extrajo la última factura correspondiente a un inmueble ubicado en la zona de Patraix, cuyo consumo durante el mes de mayo fue mínimo pero que se ha recuperado durante los meses de verano. Claro está, la factura contiene también el desglose de las tasas, impuestos y otras aportaciones que constituyen la cuantía final a abonar.
Solución: suspensión temporal y cambios en protocolos
"La suma de vulnerabilidades en este sistema se debe a una omisión absoluta de los más mínimos estándares de seguridad y calidad en la construcción y diseño de software", asegura este experto, lo que demuestra, a su juicio, que se están utilizando "tecnologías obsoletas" y obviando "todo tipo de protocolos de protección de datos de carácter personal". Por ello, subraya que la primera medida a implementar debería ser la suspensión temporal de los servicios web que dan soporte a la aplicación, para más tarde emprender "urgentemente" cambios en los protocolos de autenticación y autorización de usuarios.
El técnico señala en este sentido la gran importancia de concienciar acerca de este tipo de situaciones y exigir que los productos informáticos que la sociedad emplea en su día a día estén diseñados por profesionales de software y con los sistemas de seguridad preceptivos que eviten exponer los datos de sus usuarios. Así, insta a las administraciones públicas, que manejan grandes cantidades de información de los ciudadanos, a "revisar todo el software e infraestructura informática" para "evitar males mayores".
El técnico prefiere mantener el anonimato, especialmente tras lo ocurrido en otros casos. No hay más que recordar el agujero de seguridad detectado ahora hace dos años en la aplicación de móvil de Ferrocarrils de la Generalitat Valenciana (FGV), que también desveló este diario. Entonces, otro experto en la materia denunció los fallos ante la empresa, en el juzgado y en la Agencia de Protección de Datos para alertar de la situación de los datos de los usuarios. Un aviso que le costó la denuncia de FGV y la Generalitat Valenciana al considerarlo un hacker malicioso. Finalmente, el juez archivó la denuncia.
Captura de la 'app'
