Grupo PLaza

Valencia Plaza

La 'app' de aguas de Global Omnium deja al descubierto datos de miles de vecinos de València

Lo Más Leído

Suscríbe al canal de whatsapp

Suscríbete al canal de Whatsapp

Siempre al día de las últimas noticias

¡Quiero suscribirme!
Suscríbe nuestro newsletter

Suscríbete nuestro newsletter

Siempre al día de las últimas noticias

VALÈNCIA. Los datos de los usuarios de la aplicación para móvil de Global Omnium son accesibles para cualquiera con conocimientos informáticos y de servidores. Un agujero de seguridad que deja al descubierto información privada de numerosos vecinos de la ciudad, clientes de la empresa mixta de aguas de València, Emivasa, tal y como ha constatado la auditoría practicada por un ingeniero informático comprobada por este diario.

Valencia Plaza ha podido acreditar los fallos de seguridad en la arquitectura interna del software de la mano del mencionado profesional, quien sin grandes obstáculos accedió a múltiples datos de carácter personal de diversos usuarios al azar mediante simples peticiones al servidor utilizando un programa común en el campo de la informática.

La aplicación en cuestión da servicio a los clientes de Emivasa, la empresa mixta participada por la compañía (80%) y el Ayuntamiento de València (20%) cuyo objeto es el abastecimiento de agua al Cap i Casal. En la ciudad de València, según datos del Ayuntamiento, en 2018 había más de 430.000 abonados a la red de agua potable, aunque se desconoce si en los servidores utilizados por la aplicación se almacenan los datos de aquellos abonados que no están registrados en ella.

La auditoría practicada únicamente se refiere a los usuarios de Emivasa (València), que preside el alcalde Joan Ribó y cuyo hilo directo con el consistorio es la edil de Ciclo Integral del Agua, Elisa Valía. Pero lo cierto es que podría afectar a otras muchas localidades, dado que el servidor contiene los datos de otras empresas como Aguas de Altea, Aguas de Calpe, de Teruel, Aigües de Altafulla, de Morella, de Sagunt, de Tortosa, etcétera. Todas ellas prestan el servicio de suministro de agua potable en los respectivos municipios y son filiales de Global Omnium o empresas mixtas participadas por la administración pública y la compañía que preside Eugenio Calabuig.

La concejala del Ciclo Integral del Agua, Elisa Valía, y el consejero delegado de Global Omnium, Dionisio García Comín.

En un momento en el que la exigencia del cumplimiento de las normativas de protección de datos va a más, vulnerabilidades de este calibre continúan dándose. Por ello, y con ánimo de advertir para mejorar la aplicación, el informático ya ha enviado un escrito a la compañía señalando uno por uno los errores hallados en la aplicación.

En él, explica que ha llevado a cabo el estudio "por motivos meramente educativos" sin "técnicas de decompilación de binarios ni de acceso a programación interna de carácter privado de la empresa". Según afirma el informático, el problema radica en una concatenación de flaquezas que permiten dejar entrar sin problema a un usuario externo, dado que el sistema no valida quién realiza las peticiones, por lo que cualquiera puede acceder a los datos. No se trata, pues, de vulnerar ningún sistema, dado que la brecha se produce por la falta de barreras en la construcción del software.

La auditoría relata cómo el sistema implementado por la compañía permite interceptar información transferida entre los usuarios y el servidor. Además, se han encontrado deficiencias en la autenticación de los servicios web, un requisito que podría considerarse indispensable en cualquier aplicación que funcione con datos privados pero que no se ha implementado en este caso. Y todo ello se suma a otras debilidades en la autorización de datos y a la falta de obstáculos contra ataques masivos o 'de fuerza bruta'. Un cóctel que deja abierta la puerta a obtener información privada sin mucha dificultad.

Eugenio Calabuig, presidente de Global Omnium. Foto: MARGA FERRER

Global Omnium ya ha tomado en consideración el escrito recibido y, según han confirmado a este diario fuentes de la compañía, el departamento técnico se está encargando de subsanar los posibles errores que se hubieran encontrado. También inciden en que se requieren unos mínimos conocimientos de informática para detectarlos.

Consumo y datos personales

El acceso a los datos, según explica el técnico, consta de diferentes niveles. Por un lado, la aplicación adjunta las contraseñas de los usuarios en texto plano en todas las peticiones, lo que, sumado a la implementación precaria de los certificados de seguridad, podría permitir la extracción de credenciales en todo tipo de redes. 

Esto requeriría introducirse en redes ajenas, pero hay otras vías que no precisan de este paso y permiten tener acceso a datos sin usar las credenciales de las cuentas de los usuarios. En este otro nivel se podría conocer el consumo de agua y las cantidades de dinero abonadas cada mes por un contador. Ahora bien, siendo todavía un problema importante, podría considerarse que son datos bastante deslavazados cuya posesión no tendría por qué causar mayor preocupación. 

Recibe toda la actualidad
Alicante Plaza

Recibe toda la actualidad de Alicante Plaza en tu correo

Quiero suscribirme
Estos son los híbridos mejor valorados por los internautas españoles
Carlos Vidal-Meliá: "Mi recomendación sobre el Pacto de Toledo sería su disolución