Es noticia
El desastre tecnológico de BiciMad: ¿están a salvo nuestros datos personales?
  1. Tecnología
HAY VERSIONES CONTRAPUESTAS

El desastre tecnológico de BiciMad: ¿están a salvo nuestros datos personales?

Colapso del sistema, el código fuente 'online', un pene en las pantalllas... el proyecto ha arrancado con problemas y los datos pudieran no estar a salvo

Foto:

Las bicicletas públicas ya funcionan en Madrid, aunque no a plena capacidad. De momento no se pueden realizar alquileres temporalesin situ ni están todas las estaciones accesibles, dado que cada día se cierran en torno a seispor motivos de mantenimiento. La situación puede parecer precaria transcurrido casi un mes desde su lanzamiento, pero si tenemos en cuenta el rosario de errores técnicos que han sufrido, es para darse con un canto en los dientes.

Los problemas comenzaron desde el primer día. Debido a la alta demanda, dicen, los sistemas informáticos se colapsaron, impidiendo el acceso de los usuarios a las bicicletas. Los pocos que consiguieron darse de alta descubrieron que, una vez en la estación, la máquina no reconocía su abono. Desde Bonopark, la empresa que lo instala y gestiona, se sostenía que podía conocerse el estado de cada una de las estaciones en la página web de BiciMad, aunque los enlaces no han estado –ni están– operativos.

El código, al desnudo

Pero lo peor estaba por llegar. A medida que los usuarios tenían acceso al sistema, iban aflorando sus costuras, que eran muchas y muy obvias. Cinco días después del lanzamiento llegó la primera bomba: un tuitero tuvo acceso al código fuente del proyecto con sus respectivas contraseñas. Se trata de un fallo de seguridad de extrema gravedad, quizá el mayorde cuantos existen, porque en el código fuente se encuentrareflejado el funcionamiento al completo de un software. "El código fuente estaba en un servidor de desarrollo abierto, un fallo que les delata como auténticos amateurs", explica a TeknautasMiguel Ángel Ramírez, el informáticoque detectó el error.

"Ahí estaban el desarrollo en Java del aplicativo y el funcionamiento de los tótems escrito en C, junto a todas las claves privadas, con las que se podría acceder a los datos de los usuarios, por ejemplo. Luego la empresa me reconoció que eran las contraseñas reales. Un error garrafal, vamos", diceRamírez, quelo puso en conocimiento de la empresa en cuanto tuvo noticia y recibió su gratitud. Incluso el CEO de Bonopark, Miguel Vital, se puso en contacto con él para agradecerle el gesto e incluso ofrecerle un puesto de trabajo. "Me extrañó mucho y no acepté. ¿Cómo me iba a contratar una gente que no me conoce de nada?, explica Ramírez a Teknautas.

La relación comenzó a torcerse cuando Bonopark descubrió que Ramírez había expuesto algunos de sus hallazgos en Twitter. El tuit que detonó la situación hace referencia auna disparidad entre las cifras del Ayuntamiento y las que manejaban en el servidor interno.

Después la relaciónse agriaríanotablemente, hasta llegar a la amenaza. "La Policía está investigando y me va a ser muy, muy, muy difícil protegerte. Te ofrecí trabajo y lo rechazaste", sostiene Ramírez que le reprocharon desde la concesionaria. "Me volvió a llamar el CEO, esta vez muy nervioso, diciéndome quede dónde había sacado esas conclusiones. Las obtuve de un mapa interactivo que decía cuántos usuarios activos había en ese momento", indica el informático.

Si alguien, como Ramírez, tuvo acceso al código sin delatarlo es algo que no sabemos. De ser así, podría haberlo vendido a terceros o aprovecharlo parael propio beneficio. Y no le valdría solo para el sistemade Madrid, ya que el código es el mismo,con pequeñas modificaciones, le reconocieron a Ramírez, que Bonopark utiliza para San Sebastián, donde ya lleva un tiempo gestionando el servicio de bicicletas públicas.

El caso del pene

No sería el último incidente. En torno aesas mismas fechas los transeúntes se encontraron con una sorpresa al pasar por delante de las estaciones de BiciMad: un pene en las pantallas que deberían mostrar la información de las bicicletas. Un simple aviso sobre la falta de seguridad que, de haberse realizado desde fuera y no personalmente desde el terminal afectado, podría revelar una vulnerabilidad preocupante. Desde Bonopark sostienen que se consiguió colar la imagen debido a que, en un punto en la pasarela de pago para abonarse al servicio, el sistema permite el acceso a internet. Por este motivo se ha eliminado la posibilidad de inscribirse desde las estaciones, limitándola a la página web.

Ramírez coincide con esta teoría: "En el proceso del pago, en las estaciones de bicicletas, el programa debía crashearse y se cerraba la aplicación,dejando el escritorio de Ubuntu de cara al usuario, que se conectó a internet y puso el famoso pene. A esto lo llamaron "ciberataque".... y los de Bonopark ni siquiera han modificado Ubuntu para restringir accesos, lo instalaron así, como hace cualquiera al bajárselo. Puro amateurismo", concluye.

Un servidor abierto con las claves privadas

Hay más. El 29 de junio el ingeniero informático Lluis Eskerda, administrador de la web CityBikes, que provee de información de servicio público sobre bicicletas, publicó un informe demoledor sobre la seguridad de BiciMad. Cada vez que se abre un servicio de este tipo, Eskerda busca chorros de datos para alimentar su aplicación. Sin embargo, en esta ocasión dio con algo que no se esperaba:"Lo que me encontré es con un servidor abierto, con todos los archivos y claves privadas. Es un caso exagerado que no se ha programado con el mínimo rigor que exige un proyecto público. Me bastaría con que al menos los datos de las personas estuvieran a buen recaudo", explica Eskerda, que no desea aportar nuevos datos que comprometan aún más la seguridad de BiciMad.

El ingeniero lamenta que los datos de estos servicios no sean públicos para todos los ciudadanos, y que solo Bonopark tenga acceso a ellos. De hecho, la empresa eliminó de su página web un mapa interactivo que se nutría de esta información y lo sustituyó por una imagen estática para que terceros no tuviesen acceso a ella. Según Bonopark, la decisión se sustenta en un pico de tráfico en el servidor. Eskerda habla de "secuestro de datos" en favor de la aplicación oficial, y ha optado por obviar Madrid en CityBikes para "proteger mi proyecto".

¿Qué pasa con los datos personales?

Lo que ha sucedido con los datos no está claro. En Bonopark sostienen que, hasta donde ellos saben, no se ha accedido a sus bases de datos. Es una opinión que contrasta con las versiones consultadas por Teknautas, de usuarios que han accedido a las tripas de BiciMad, y que aseguran que la posibilidad está ahí. Prefieren que sus nombres no trasciendan, dado que Bonopark ha demandado ante la Policía lo que considera "ciberataques", al tiempo que se lleva a cabo una auditoría de seguridad. De este modo, cualquiera que haya accedido a sus sistemas es susceptible de ser investigado, aunque su intención fuese la mejor.

"Yo vi una llamada [en el código del software] que con solo introducir el DNI te llevaba a los datos personales de los clientes", dice uno. "La app se comunica con los móviles mediante un código HTTP, y no HTTPS, con lo cual los datos viajan en plano, sin encriptar. ¿Si alguien ha accedidoa los datos personales? No lo sé, pero si no lo han hecho, lo harán. Todo esto podría haberse arreglado con un control de crisis", explica otro. "Sí, yo he visto las tablas de los usuarios, no es en absoluto complicado.No son datos jugosos para nadie, pero sí incumplen las leyes de protección de datos", zanja un tercero.

No obstante, y para tranquilidad del ciudadano,estos datos van por otra vía que los pagos con tarjeta de crédito, a cuya información no parecer haber tenido acceso nadie. Aunque eso no significa que no existan problemas con el pago. Sin ir más lejos el tuitero Rodrigo M ingresó diez euros y recibió en su cuenta 629 en contrapartida. "Y es dinero de verdad, porque me lo van descontando según cojo bicis", le explica a este medio en Twitter.

Las bicicletas públicas ya funcionan en Madrid, aunque no a plena capacidad. De momento no se pueden realizar alquileres temporalesin situ ni están todas las estaciones accesibles, dado que cada día se cierran en torno a seispor motivos de mantenimiento. La situación puede parecer precaria transcurrido casi un mes desde su lanzamiento, pero si tenemos en cuenta el rosario de errores técnicos que han sufrido, es para darse con un canto en los dientes.

Tecnología
El redactor recomienda