La denuncia sobre la 'app' de Metrovalencia recae en el mismo juzgado que el accidente de metro

VALÈNCIA. La denuncia de un informático sobre un agujero de seguridad en las aplicaciones para móvil de Metrovalencia y el TRAM ha recaído casualmente en el mismo juzgado que instruyó el caso del accidente del metro de València ocurrido en 2006 y que costó la vida a 43 personas. Así consta en el documento de la denuncia, que recoge que el Juzgado de Instrucción número 21 de València, cuya titular es Nieves Molina, será el que tenga que decidir si iniciar o no una investigación por presunta violación del derecho de protección de datos de carácter personal en la que datos de casi 60.000 usuarios habrían estado expuestos.

Nieves Molina dio hace unos meses por concluida la investigación sobre el accidente de la Línea 1 de Metrovalencia y procesó a la exgerente Marisa Gracia y a los otros siete directivos. Lo hizo "vinculada" por la orden de la Audiencia Provincial de reabrir la causa, que la propia jueza instructora había archivado en varias ocasiones.

El informático que ha presentado la denuncia, que también ha remitido un escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en la misma una auditoría donde explica, punto por punto, el problema que llevaba a que estos datos estuvieran en abierto: VER DOCUMENTO.

Según afirma, el problema radica en la API, interfaz de programación de aplicaciones, que está disponible de forma pública en internet. Esta API carece de autenticación, es decir, no valida quién realiza las peticiones, por lo que cualquiera puede acceder a los datos de todos los usuarios.

"Hay que informar a los usuarios"

En plena locura por el cumplimiento de la ley de Protección de Datos, la situación parece muy grave, ya que el agujero informático generado en la aplicación permite que cualquier persona a través de internet pueda acceder y manipular libremente la información de los usuarios registrados incluyendo su dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa y número de teléfono además de sus patrones de movimiento.

Fernando Móner, presidente de Asociación Valenciana de Consumidores y Usuarios (Avacu), recordaba este jueves que recientemente se ha realizado una modificación de la ley de Protección de Datos porque existe una especial preocupación sobre este aspecto. "No es un tema baladí", asegura. Según Móner, "hay que tomárselo en serio y no se puede admitir que empresas públicas no hagan las cosas perfectamente". 

Además, recalca que, ante estas situaciones, la administración debe tomar medidas y si la app tiene algún tipo de brecha que no siga funcionando. "Hay que pedir perdón e informar a todos los usuarios de los pasos que se están dando, el daño que se ha podido causar  y la propia Agencia Española de Protección de Datos debe tener conocimiento y abra algún expediente si se prueban estas situaciones".

Vicente Inglada, secretario general de la Unión de Consumidores, señalaba que es muy habitual descargarse apps gratuitas de las que luego llegan muchas quejas de los usuarios por problemas con los datos, que en muchos casos acaban en venta. "FGV debe tomar las medidas oportunas para solucionar el problema", señalaba, además de entender que los usuarios pueden ejercer su derecho a reclamar si se prueba que los datos han estado expuestos.

Multa a Uber por insuficiente protección de datos

Precisamente este jueves se conocía que la Comisión Nacional de Informática y Libertades (CNIL) ha impuesto a la empresa estadounidense de transporte Uber una multa de 400.000 euros por no haber hecho lo suficiente para proteger los datos de 1,4 millones de usuarios franceses.

En un comunicado recogido por Efe, la CNIL explicó que detectó en Uber una "falta en la obligación de blindar los datos personales" de sus clientes como consecuencia de un ataque en 2016, cuando unos hackers entraron en la plataforma Github donde se guardaba información confidencial.

Entonces, los datos de un total de 57 millones de usuarios de todo el mundo llegaron a manos de los atacantes, incluidos sus nombres, direcciones de correo electrónico y números de teléfono. Según la CNIL, este ataque se podría haber evitado si Uber hubiese puesto en marcha "una medida de identificación fuerte" como una doble comprobación vía un código secreto enviado al móvil.