Hoy es 18 de noviembre

la empresa pública reconoce la brecha en su sistema a la agencia de protección de datos

FGV denuncia al usuario que advirtió del agujero de seguridad en la 'app' del TRAM

29/03/2019 - 

VALÈNCIA. Ferrocarrils de la Generalitat Valenciana (FGV) ha presentado una denuncia contra el ingeniero informático que advirtió el pasado mes de diciembre de la existencia de un agujero de seguridad en las apps de Metrovalencia y TRAM. Así lo ha confirmado la empresa pública de transporte a Valencia Plaza, una decisión tomada al entender que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 6.000 usuarios al alcance de terceros.

El juzgado de Instrucción número 6 de València ha abierto diligencias previas, en una causa que se habría unido con la denuncia interpuesta por el propio ingeniero contra FGV, quien presentó una auditoría de la cuestión además de informar a la Agencia Española de Protección de Datos (AEPD). Mientras, la empresa que ganó el concurso convocado por FGV por 49.750 euros y que desarrolló las apps con vulnerabilidades, Proconsi SL, también se ha reservado la posibilidad de denunciar al informático.

Sin embargo, FGV ha decidido no denunciar a la compañía leonesa que creó la aplicación, a pesar de haber reconocido ante la Agencia de Protección de Datos la existencia de vulnerabilidades en su confección y que dieron pie a la denuncia del ingeniero valenciano. Estas vulnerabilidades permitían, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios.

Un 'token' mal usado, la causa de la brecha

Tal y como reconoce FGV en un documento, emitido a instancias de la Agencia de Protección de Datos y al que ha podido acceder Valencia Plaza, "la causa que originó la citada brecha se debió a que en el código fuente, generado por la mercantil Proconsi SL, existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana". Eso sí, FGV insiste en que para poder acceder a la "clave de autenticación secreta", incluida en el código fuente de la aplicación, es necesaria la utilización de herramientas y técnicas de ingeniería inversa, situación a la que se acoge para denunciar al informático.

"Una vez detectada la incidencia, y como medida preventiva, por la entidad pública mencionada se cierran los accesos al área de cliente de las apps y de la web de FGV", reconocen. "Al mismo tiempo se da traslado del incidente a Proconsi para que procede a su solución con carácter urgente y es informado, igualmente, el delegado de protección de datos de la Generalitat Valenciana". 

Lo que es evidente es que existía un problema de seguridad, pero en el momento de la incidencia desde la compañía no se reconoció públicamente la situación. 

En su denuncia, el informático aportaba, por ejemplo, datos de los movimientos extraídos de la aplicación de una persona elegida al azar, residente en un municipio de La Ribera, que todos los días cogía el metro a la misma hora para trasladarse a su trabajo en el centro de València –su dirección de correo electrónico revelaba dónde trabaja–, y que por la tarde regresaba a su pueblo desde la misma estación, la de Plaza de España.

El usuario ya advirtió por redes sociales

No era la primera vez que el denunciante alertaba del problema, y es que ya advirtió a FGV a través de redes sociales de un fallo de seguridad en la app en cuanto se lanzó, según confirmaron fuentes de la propia compañía, quienes aseguraron que se modificó el software para subsanarlo. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder de nuevo a los datos personales. 

Después de no reconocer que existía un problema de seguridad y de desactivar el perfil de usuario de app y web, el pasado 20 de diciembre Proconsi modificó el sistema de autenticación, que dejó de ser un token fijo para pasar a ser un hash variable almacenado en la memoria del dispositivo del propio usuario y que es válido hasta el momento en el que cierre la aplicación, generando una nueva clave para cada sesión. Por último se llevó a cabo "una auditoría de seguridad de la aplicación para detectar otras vulnerabilidades y su posterior corrección", añade la empresa pública.

Noticias relacionadas

next
x