Elisa Valía, edil de Ciclo Integral del Agua de València. Foto: ESTRELLA JOVERVALÈNCIA. El agujero de seguridad detectado en la aplicación móvil de Global Omnium ha hecho saltar las alarmas en el Ayuntamiento de València, que ha tomado la determinación de solicitar una auditoría externa independiente para constatar que la app cumple con los protocolos de seguridad. El servidor, que contiene los datos de miles de vecinos de València clientes de Emivasa -la empresa mixta del Ayuntamiento y Global Omnium encargada del abastecimiento de agua de la ciudad de València-, dejaba al descubierto gran cantidad de información privada. Tras la advertencia lanzada por un ingeniero informático, publicada por este diario, la firma ha solventado las fallas en la arquitectura interna del software.
La edil de Ciclo Integral del Agua y consejera de Emivasa, Elisa Valía, ha confirmado la determinación de la concejalía. "Vamos a pedir una auditoría sobre la aplicación desde el departamento del Ciclo Integral porque, aunque los errores ya se han corregido, queremos asegurarnos de que todo funciona correctamente", aseguró este lunes a preguntas de este diario. "Por el momento, se ha conseguido que los fallos no tuviesen mayor impacto, pero ahora queremos que alguien externo e independiente confirme los protocolos de seguridad", subrayó en este sentido.
Huelga recordar que, si bien las advertencias únicamente se referían a los usuarios pertenecientes a Emivasa (València), el servidor cubre a todas las empresas filiales de Global Omnium o empresas mixtas participadas por la administración pública y la firma privada, como por ejemplo Aguas de Altea, Aguas de Calpe, de Teruel, Aigües de Altafulla, de Morella, de Sagunt, de Tortosa, etcétera. El agujero de seguridad podía afectar, por tanto, a todos estos municipios.
Según explicaron fuentes internas de la empresa de aguas propiedad de Eugenio Calabuig, el departamento técnico estuvo durante la madrugada de este lunes trabajando para corregir las deficiencias advertidas por la auditoría del ingeniero informático. "Hemos estado en contacto a lo largo del día con los responsables de Global Omnium y nos han confirmado que se han corregido los errores, de manera que la aplicación ya funcionaba por la mañana", dijo Valía.
Así, al llegar la mañana del martes, las deficiencias más peligrosas habían sido solucionadas. Una de ellas permitía obtener las facturas originales en PDF de los usuarios de la aplicación, con el logo de Emivasa, y toda la información relativa al cliente: la identidad, el NIF, direcciones postales, histórico de consumos, la cuenta bancaria -excepto los últimos cuatro dígitos- y la entidad en la que está domiciliado el pago, entre otras cosas.
De hecho, una prueba practicada al azar por el experto, sin mayor ánimo que el de demostrar las deficiencias, extrajo la última factura correspondiente a un inmueble ubicado en la zona de Patraix, cuyo consumo durante el mes de mayo fue mínimo pero que se ha recuperado durante los meses de verano. Claro está, la factura contiene también el desglose de las tasas, impuestos y otras aportaciones que constituyen la cuantía final a abonar. Ahora, según confirmó el mismo ingeniero informático que practicó la auditoría, esta vía ya está bloqueada.
El alcalde de la ciudad, Joan Ribó, también presidente de Emivasa, confirmó las deficiencias en la aplicación. "Cuando tuvimos noción del asunto, nos pusimos en contacto directo con la empresa para que paralizara el sistema informático para tapar el agujero, que es significativo", relató en este sentido el primer edil, quien quiso resaltar que los datos que quedaban expuestos "no son datos sensibles para poder acceder a cuentas y cosas así" y que para acceder a ellos había que ser "especialista". Con todo, sí asumió que en este caso "las medidas de protección no eran demasiado elevadas, eran fáciles de saltar".
Así, el dirigente municipal explicó que el consistorio está haciendo "una revisión de todos los sistemas informáticos" porque "cada día vemos aparecer estos problemas en los diarios". Por ello, insistió en que la seguridad es cada vez "más importante" para el consistorio. En ese sentido, señaló que no sólo se pretende trabajar sobre los nuevos sistemas informáticos, sino en los antiguos, en cuyos casos "muchas veces es peor".
La rápida respuesta y la actitud resolutiva de la firma privada tras ser advertida por el experto contrasta sobremanera con las vividas en otros casos. De hecho, en este caso el técnico prefirió mantener el anonimato tras el caso de Metrovalencia. El agujero de seguridad detectado ahora hace dos años en la aplicación de móvil de Ferrocarrils de la Generalitat Valenciana (FGV), desvelado también por este diario, acabó en los tribunales. Otro experto en la materia denunció los fallos ante la empresa, en el juzgado y en la Agencia de Protección de Datos para alertar de la situación de los datos de los usuarios. Un aviso que le costó la denuncia de FGV y la Generalitat Valenciana al considerarlo un hacker malicioso. Finalmente, el juez archivó la denuncia.
