Metrovalencia actualiza la 'app' para resolver los problemas con la vulnerabilidad de datos

VALÈNCIA. Ferrocarrils de la Generalitat Valenciana (FGV) ha actualizado esta misma semana las aplicaciones móviles de Metrovalencia y TRAM para resolver problemas de seguridad, situación de la que se alertó el pasado diciembre tras la denuncia de un ingeniero informático. Así lo confirman desde el departamento de la Generalitat al realizarse esta semana una actualización en las dos aplicaciones del servicio público de transporte, donde se apunta a una "mejora de la sincronización de datos". 

Desde FGV confirman a Valencia Plaza que se han mejorado "cuestiones relacionadas con la vulnerabilidad de los datos de los usuarios de la app", lo que supondría reconocer que existía un problema, algo que nunca llegaron a hacer tras la denuncia en el juzgado de este ingeniero, quien presentó una auditoría de la cuestión e informó a la Agencia Española de Protección de Datos (AEPD).

Este agujero permitía, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios. Ante la denuncia, FGV respondió señalando que no era posible acceder "sin hacer uso de herramientas de ingeniería inversa, lo que en lenguaje común se conoce como hackeo”. 

Los hackers son informáticos expertos en seguridad informática que logran superar barreras y detectan fallos en empresas e instituciones. Lo que era evidente es que con un mínimo de conocimiento de este tipo de programas era posible acceder a los datos de los usuarios, hecho entraría en conflicto la Ley de Protección de Datos por no proteger suficiente la información personal.

No era la primera vez que el denunciante hacía eco del problema, y es que ya advirtió a FGV a través de redes sociales de un fallo de seguridad en la app en cuanto se lanzó, según confirmaron fuentes de la propia compañía, quienes aseguraron que se modificó el software para subsanarlo. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder de nuevo a los datos personales. No obstante, desde FGV insistieron que no se habían dado en ningún caso volcados de datos masivos.

El problema estaba en la API, interfaz de programación de aplicaciones, sistema disponible de forma pública en internet. Ésta carecía de autenticación, es decir, no validaba quién realizaba las peticiones, por lo que era posible acceder y modificar los datos de todos los registrados sin ser el propietario de la cuenta. 

Tras denunciarse la situación, desde el ente público desactivaron el apartado personal  tanto en la web como en la app, que finalmente ha sido reactivado al completo. Ahora, el sistema utiliza tokens para proteger esta información, un método que permite que la información se quede almacenada en el lado del usuario y la API solo tenga que descifrar ese paquete sin llegar a almacenar esos datos.