Hoy es 22 de noviembre

metrovalencia reconoce que la brecha de seguridad fue generada por la empresa que la diseñó

Salvador justifica la denuncia de FGV y tilda de "hacker" al usuario que avisó del fallo en la 'app'

29/03/2019 - 

VALÈNCIA. La Conselleria de Vivienda, Obras Públicas y Vertebración del Territorio ha decidido tomar la argumentación de Ferrocarrils de la Generalitat (FGV) respecto a la denuncia del ente público al usuario que advirtió de un agujero de seguridad en las apps de Metrovalencia y TRAM. Este viernes, Valencia Plaza publicaba la decisión de la compañía de llevar a los tribunales al ingeniero, señalando que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 6.000 usuarios al alcance de terceros.

"Las medidas legales que se han tomado han sido, precisamente, porque en la inspección que se ha hecho en el marco de Ferrocarrils de la Generalitat Valenciana para identificar cuál había sido el problema y por qué se había producido este agujero, es que había sido provocado precisamente por un hacker dentro de FGV y por tanto el titular de la noticia no es ajustado a la realidad", señalaba este viernes la consellera MªJosé Salvador, en la rueda de prensa posterior al pleno del Consell.

Evidentemente, la afirmación no tiene demasiado sentido. Y es que el agujero informático no fue provocado por el "hacker", sino por la firma Proconsi SL, tal y como señalaba FGV en un documento emitido a instancias de la Agencia Española de Protección de Datos (AEPD), quien desarrolló la aplicación con un error en el código fuente. Sin embargo, la consellera de Vivienda aseguró que el titular no era exacto. 

Parece ser que la presidenta de FGV quería decir que quien denunció el fallo en el sistema no era un usuario, sino un "hacker" que había entrado malintencionadamente al sistema. Sin embargo, el denunciante, usuario de la app, ya había advertido anteriormente de un fallo de seguridad en las aplicaciones cuando se lanzaron y así se lo comunicó a FGV a través de las redes sociales, según confirmaron fuentes de la compañía, que modificó el software para subsanar el problema. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder a los datos personales. 

Con todo, tampoco quedaba muy claro el asunto tras la última frase de Salvador: "No es FGV el que denuncia al que comunica o hace público el agujero, sino al causante de ese agujero de seguridad", concluía. Evidentemente esto no es así. El informático denunciado por la administración pública es el que advirtió del problema ahora subsanado, mientras que FGV ha señalado que no va a denunciar a la empresa desarrolladora de la que ha admitido que su código fuente generó la brecha.

Estas vulnerabilidades permitían, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios.

Un 'token' mal usado, la causa de la brecha

Tal y como reconoce FGV en un documento, emitido a instancias de la Agencia de Protección de Datos y al que ha podido acceder Valencia Plaza, "la causa que originó la citada brecha se debió a que en el código fuente, generado por la mercantil Proconsi SL, existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana". Eso sí, FGV insiste en que para poder acceder a la "clave de autenticación secreta", incluida en el código fuente de la aplicación, es necesaria la utilización de herramientas y técnicas de ingeniería inversa, situación a la que se acoge para denunciar al informático.

"Una vez detectada la incidencia, y como medida preventiva, por la entidad pública mencionada se cierran los accesos al área de cliente de las apps y de la web de FGV", reconocen. "Al mismo tiempo se da traslado del incidente a Proconsi para que procede a su solución con carácter urgente y es informado, igualmente, el delegado de protección de datos de la Generalitat Valenciana", señalan. 

Noticias relacionadas

next