FGV desactiva parte de su 'app' tras la denuncia de un agujero en el sistema informático 

VALÈNCIA. La empresa pública Ferrocarrils de la Generalitat Valenciana (FGV) ni reconocía ni desmentía este jueves que sus apps de Metrovalencia y TRAM tienen un agujero de seguridad. La entidad pública negaba en un comunicado que cualquier usuario pudiera acceder a los datos, pero sí admitía que podría hacerse a través de "ingeniería inversa".

Sin embargo, a primera hora de este jueves FGV cerró el acceso de la app a internet, según confirmaba a Valencia Plaza el director general de Tecnologías de la Información y la Comunicación de la Generalitat, Pedro Pernías. Una cuestión que impedía utilizar el servicio que implica el uso de datos personales y solo dejaba visible la información accesible sin registrar, como los horarios. También despareció de la web la pestaña 'El meu compte'.

La respuesta de la empresa pública llegó tras la información publicada por Valencia Plaza este mismo día donde se recogía la denuncia de un informático en el juzgado de guardia y ante la Agencia Española de Protección de Datos (AEPD) donde exponía que los datos de 60.000 usuarios de la app del servicio de transporte de la Generalitat estaban al descubierto. 

Este diario pudo comprobar este miércoles cómo el ingeniero accedía de forma aparentemente sencilla a través del programa Postman a todos los datos de los usuarios registrados -dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa y número de teléfono y patrones de movimiento- excepto el número de tarjeta de crédito.

"No se puede acceder sin 'hackeo'"

FGV reaccionaba a la información con un comunicado en el que admitía que era posible acceder a los datos personales de sus usuarios aunque no es algo que esté al alcance de cualquiera sino de lo que se conoce como hackers. "La comunicación entre la aplicación cliente y los servidores de FGV se encuentra cifrada de extremo a extremo, no siendo posible acceder a ningún tipo de información sin hacer uso de herramientas de ingeniería inversa, lo que en lenguaje común se conoce como hackeo", señalaba el comunicado. 

Los hackers son informáticos expertos en seguridad informática que logran superar barreras y detectan fallos en empresas e instituciones. En este caso, el denunciante ya advirtió de un fallo de seguridad en la app en cuanto se lanzó y así lo advirtió a FGV a través de las redes sociales, según confirman fuentes de la compañía, que modificó el software para subsanar el problema. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder a los datos personales. 

El ingeniero presentó entonces la denuncia y lo comunicó a la AEPD. También advirtió por correo electrónico, este jueves, al departamento de Tecnologías de la Información y la Comunicación de la Generalitat. La denuncia ha recaído en el juzgado de Instrucción número 21 de València, que casualmente es el que ha instruido el caso del accidente del Metro ocurrido en 2006 en el que murieron 43 personas.

El escrito presentado ante el juez adjunta una auditoría donde explica, punto por punto, el problema que lleva a que estos datos estén en abierto. Viendo la respuesta de la administración y teniendo en cuenta que los datos no corren riesgo de descarga al haber sido desconectada la app de la web, el ingeniero ha autorizado a Valencia Plaza a hacerla pública: VER DOCUMENTO. 

Según recoge la auditoría, el problema radica en la API, interfaz de programación de aplicaciones, que está disponible de forma pública en internet. Esta API carece de autenticación, es decir, no valida quién realiza las peticiones, por lo que es posible acceder a los datos de todos los usuarios.

"La autenticación es un requisito indispensable en todo software de acceso público que maneja información privada y en este caso se ha optado por no implementar ningún tipo de autenticación sin pensar en las consecuencias. Se puede afirmar sin lugar a dudas que no se trata de un fallo de seguridad; el software se ha concebido así directamente porque no ha sido desarrollado por profesionales cualificados", asegura este ingeniero en la auditoría.

"No se han dado descargas masivas"

Desde la empresa que dirige Andrés Sánchez Jordán aseguran que "FGV dispone de otros sistemas de seguridad, ajenos a la propia aplicación, que detectarían e impedirían un volcado masivo de información sensible. Los primeros análisis realizados por la empresa, desde el área de Sistemas, no ha encontrado evidencias de que se hayan producido descargas masivas de ningún tipo de información".

"La información de pago con tarjeta no se almacena ni se ha almacenado en ningún momento en servidores de FGV. De hecho, todos los procedimientos relacionados con el pago a crédito se redirigen directamente a pasarelas de pago seguro que cumplen toda la normativa vigente de privacidad y seguridad. En consecuencia, FGV puede asegurar que no hay cobros ilícitos con tarjeta bancaria", insisten. Mientras, el ingeniero informático asegura que los datos de las tarjetas atraviesan su infraestructura y software para llegar a la pasarela de pago y que la app no cumple con los estándares por la falta de autenticación.

La empresa añade que el hackeo "puede comportar infracción tipificada en el Código Penal", una amenaza velada al informático que ha descubierto y advertido del agujero de seguridad.