Hoy es 3 de octubre
VALÈNCIA. El juez del juzgado de Instrucción número 6 de València ha archivado la denuncia de Ferrocarrils de la Generalitat Valenciana (FGV) contra el denunciante de un agujero de seguridad en la app de Metrovalencia y TRAM. Después de citar como investigado al ingeniero informático que dio el aviso, el magistrado ha determinado que tras la práctica de las diligencias no existen indicios suficientes para entender que los hechos denunciados sean constitutivos de infracción penal.
Esta denuncia se remonta al pasado mes de diciembre, cuando tras detectar un fallo informático que permitía acceder a los datos de los registrados de la aplicación móvil del metro y el tranvía de València y Alicante, el usuario decidió avisar a la administración y poner en alerta a la Agencia de Protección de Datos. Tras la alarma, FGV entendió que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 60.000 usuarios al alcance de terceros.
Sin embargo, no lo considera así el juez. "No consta acreditado que el denunciado hubiese accedido utilizando subterfugios o artimañas al sistema informático de Ferrocarriles de la Generalitat, dando en su declaración cumplida respuesta a las dudas que sobre la manera y razones de su acceso existían", sentencia. El ingeniero informático, en su voluntad de solucionar el problema, también presentó una denuncia en el juzgado contra FGV, que fue sobreseída. Y es que el Juzgado de Instrucción número 13 de València entendió que no parecía suficientemente acreditada la perpetración de la infracción penal por parte de la empresa pública.
De momento, el único proceso que sigue en marcha es el de la Agencia Española de Protección de Datos (AEPD). Cabe recordar que el usuario presentó una auditoría de la cuestión explicando por qué existía esa vulnerabilidad. De hecho, FGV sí reconoció ante la AEPD la existencia de vulnerabilidades en la confección por parte de la empresa Proconsi SL de las aplicaciones que dieron pie a la denuncia del ingeniero valenciano.
Tal y como reconoce FGV en un documento, emitido a instancias de la Agencia de Protección de Datos y al que pudo acceder Valencia Plaza, "la causa que originó la citada brecha se debió a que en el código fuente, generado por la mercantil Proconsi SL, existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana". Eso sí, FGV insistía en que para poder acceder a la "clave de autenticación secreta", incluida en el código fuente de la aplicación, es necesaria la utilización de herramientas y técnicas de ingeniería inversa, situación a la que se acoge para denunciar al informático.
Estas vulnerabilidades permitían, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios. También era posible ver las compras realizadas por cada usuario, incluyendo el título de transporte recargado, el importe y la fecha.
Después de no reconocer que existía un problema de seguridad públicamente y de desactivar el perfil de usuario de app y web, el pasado 20 de diciembre Proconsi modificó el sistema de autenticación, que dejó de ser un token fijo para pasar a ser un hash variable almacenado en la memoria del dispositivo del propio usuario y que es válido hasta el momento en el que cierre la aplicación, generando una nueva clave para cada sesión. Por último se llevó a cabo "una auditoría de seguridad de la aplicación para detectar otras vulnerabilidades y su posterior corrección", añadía la empresa pública. Las apps fueron actualizadas para solucionar el problema.
No era la primera vez que el denunciante alertaba de cuestión, y es que ya advirtió a FGV a través de redes sociales de un fallo de seguridad en la app en cuanto se lanzó, según confirmaron fuentes de la propia compañía, quienes aseguraron que se modificó el software para subsanarlo. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder de nuevo a los datos personales.