"Esto está hecho para joder"

Vuelve la guerra sucia del taxi: informáticos a sueldo para destripar a Uber y Cabify

Un grupo de 280 taxistas ha pagado 15.000 euros para realizar ingeniería inversa a las 'apps' de Uber y Cabify y descubrir si cometen irregularidades con tus datos. ¿Qué han encontrado?

Foto: Un taxi durante la huelga del sector. (EFE)
Un taxi durante la huelga del sector. (EFE)
Adelantado en

Ingeniería inversa para destapar los secretos de Uber y Cabify. Es el último movimiento del colectivo del taxi con el que esperan desencadenar una nueva guerra judicial contra las VTC. La plataforma Taxi Project 2.0, liderada por el exjefe del taxi Alberto 'Tito' Álvarez, ha contratado durante cuatro meses a dos informáticos para analizar a fondo el código de las 'apps' y descubrir si su tratamiento de los datos vulnera la legislación. El resultado son dos informes de casi 30 páginas cada uno por el que unos 300 taxistas han pagado 15.000 euros. Los documentos, a los que ha tenido acceso Teknautas, revelan los supuestos trucos de Uber y Cabify para subirte el precio de un viaje o acceder al micro de tu móvil. Es solo el primer paso, señalan, de una nueva ofensiva destinada a intentar tumbar de forma definitiva a ambas compañías.

¿Cómo usa Uber y Cabify tus datos de geolocalización? ¿A qué partes del móvil acceden sin tu permiso? ¿Cómo protegen los datos de tu tarjeta de crédito? ¿Qué trucos usan para subirte el precio de un viaje en un momento de alta demanda? Son algunos de los puntos clave que analizan los documentos en busca de irregularidades.

Teknautas ha contrastado y verificado los informes con tres de los principales especialistas en ciberseguridad en España y hay unanimidad en dos frentes: uno, el trabajo técnico es de alto nivel, minucioso y ha sido realizado por informáticos "que sabían muy bien lo que hacen"; dos, si bien se destapa el funcionamiento técnico oculto de las 'apps', no hay ni una sola prueba que apunte a un comportamiento irregular por parte de Uber y Cabify, solo indicios que requerirían de un análisis técnico de mayor calado e incluso de una investigación pericial por parte de las autoridades. ¿A qué viene entonces esta investigación encubierta?

"Sabemos que Uber y Cabify permiten prácticas similares en España a las de Uber en Londres, con conductores realquilando cuentas y haciendo viajes en nombre de otros compañeros, algo que le ha costado a Uber la licencia allí. Nosotros conocemos casos en España, pero necesitamos probarlo. Por eso hemos encargado estos informes, es un primer paso de otros que llegarán pronto y analizarán la 'app' de los conductores y sus condiciones laborales para detectar ilegalidades", explica a Teknautas Tito Álvarez. "Si ellos emplean guerra sucia, nosotros la vamos a hacer también. Esto está diseñado para joder".

Con "esto" Álvarez se refiere a Taxi Project 2.0, una plataforma creada por él mismo y que define como "asociación de presión en defensa del Taxi". "Si logramos músculo económico, pondremos detectives privados para investigar a todo el mundo. Sabemos, por ejemplo, que directivos de Uber se reúnen con la CNMC, pero no tenemos recursos para probarlo", explica. Eso es justo lo que intenta también con esta nueva maniobra: sumar más socios a Taxi Project. En la actualidad cuenta con 280 miembros que aportan 30 euros al mes cada uno. Con ese dinero han financiado los 15.000 euros que ha costado el análisis de las 'apps'... y el sueldo de Tito: se lleva entre 2.000 y 2.5000 euros netos al mes. ¿Ha merecido la pena la inversión? ¿Han econtrado de verdad algo?

"A nivel técnico la investigación es solvente, pero faltan las pruebas. Es interesante porque revela cómo funcionan la 'apps' por detrás, pero llega a conclusiones sin probar y metidas a calzador", explica a Teknautas Rubén Santamarta, uno de los expertos en ciberseguridad españoles más respetados a nivel internacional, analista de IOActive y responsable de la investigación que este verano destapó fallos técnicos en el Boeing 787. "Quienes han hecho el informe saben mucho, usan herramientas complejas y han realizado una ingeniería inversa de libro. Destapan muchas cosas que el usuaro de a pie no conoce, pero técnicamente no demuestra nada irregular ni grave", señala Román Ramírez, especialista en ciberseguridad.

¿Qué pasa con Uber?

El informe de 30 páginas dedicado a Uber analiza los permisos a los que tiene acceso la 'app' dentro del móvil. Y es prácticamente todo. Es habitual en cualquier tipo de 'app', pero hay un grupo de permisos, como el acceso al micrófono o al almacenamiento del móvil, para los que Uber, según el documento, no avisa al ausuario antes de utilizarlos.

El acceso al micrófono es particularmente interesante. Un cliente puede llamar al conductor una vez ha reservado el coche. La 'app' usa un sistema de 'tunelado' de llamadas para que el conductor no vea el número real del cliente al llamar, y viceversa. "La principal sospecha en este punto es la posibilidad de que la llamada sea grabada por parte de Uber sin previo consentimiento del usuario", asegura el informe. ¿Cierto? El informe, simplemente, no lo prueba.

El ex portavoz y líder de Elite Taxi, Alberto 'Tito' Álvarez (derecha). (EFE)
El ex portavoz y líder de Elite Taxi, Alberto 'Tito' Álvarez (derecha). (EFE)

Contactado por este diario, Uber niega acceder al micrófono sin permiso. "Tanto iOS como Android requieren el permiso del usuario para acceder a esta función", señala un portavoz. También niega que exista nada irregular en el resto de indicios a los que apunta el documento encargado por los taxistas. Uno de ellos es que el sistema recolecta más datos de los que debería en caso de que la 'app' se cierre o deje de funcionar de forma inesperada. En los datos que envía a los servidores de la compañía, por ejemplo, se identifica al usuario. "Esto es relativamente normal. Cada fallo es diferente dependiendo del modelo del móvil, el sistema operativo, el nivel de batería etc. Normalmente se tiende a anonimizar esos datos, pero también depende de cada caso. No me parece grave, depende del nivel de paranoia que tenga cada uno respecto a la privacidad", explica Santamarta. "Este proceso no requiere información personal del usuario", señala Uber, aunque no aclara si realmente la pide o no.

Puedes leer debajo dos páginas seleccionadas del informe completo sobre Uber al que ha tenido acceso Teknautas:

El de la batería es el otro punto polémico, ya que la 'app' sí sabe en todo momento cuanta vida le queda al teléfono. En 2016, Keith Chen, el creador del algoritmo que usa Uber para subir el precio en momentos de alta demanda (el 'surge pricing') reconoció en una entrevista haber comprobado que "la gente es más propensa a pagar más si su móvil está casi sin batería", pero que "en absoluto usamos esa información para pedir precios más altos". Sus declaraciones generaron tal polvareda que pocos meses después Chen abondonó Uber. La polémica se ha convertido casi ya en una leyenda urbana. Hasta hoy. ¿Es cierto?

El informe encargado por los taxistas recoge varias pruebas realizadas con dos móviles "rooteados con el fin de poder falsificar su localización y nivel de batería". Se realizaron múltiples tests en los que un teléfono tenía un nivel de batería del 40% y el otro inferior al 15%. "En la mayoría de los casos el precio de un mismo trayecto era el mismo, salvo en viajes que se dirigían a puntos de interés (estadios). Estas variaciones eran mínimas pero siempre que se producían el precio era superior en el dispositivo de menor batería". El informe incluye pantallazos de las pruebas en las que, con diferencias de entre 10 y 20 céntimos de euro, los precios casi siempre son mayores en el móvil con poca batería. ¿Demuestra esto que Uber miente y en realidad usa el dato de tu batería para inflar tarifas?

Un conductor de Cabify limpia su vehículo. (EFE)
Un conductor de Cabify limpia su vehículo. (EFE)

"Es solo un indicio. Para probarlo de verdad necesitas un modelo estadístico, con un grado de error determinado y que aisle todas las variables que influyen en el cálculo del precio. Por ejemplo, si primero reservas con un móvil normal y, segundos después, con el de batería baja, el algoritmo puede interpretar mayor demanda, pero no por la batería, si no por las peticiones consecutivas. También dependerá de dónde te ubiques y de muchas variables más", explica Santamarta. Una prueba definitiva requeriría de hecho analizar los servidores de Uber, algo que solo ocurriría tras una orden judicial. Por eso la compañía está muy tranquila. "Esta acusación sobre la batería es falsa. No usamos precios personalizados y el nivel de batería tampoco es un factor a la hora de fijar precios. Solo la monitorizamos cuando la 'app' tiene que funcionar en modo de ahorro de batería", señala a este diario un portavoz de la empresa.

¿Y con Cabify?

Los ingenieros a sueldo de los taxistas dedicaron semanas a analizar también la 'app' de Cabify. Y han encontrado supuestos fallos que, aseguran, podrían comprometer la aplicación. El principal es la forma en la que el sistema envía ciertos datos a los servidores de la empresa, como el email de los usuarios cuando se dan de alta o sus datos de la tarjeta de crédito. "Los datos enviados incluyen todos aquellos necesarios para realizar un pago: el número de tarjeta, fecha de caducidad, propietario y CVV. Por lo tanto, esta información se envía sin 'hash', lo cual es una mala práctica dado que se deberían enviar encriptadas o hasheadas".

Puedes leer debajo dos páginas seleccionadas del informe completo sobre Cabify al que ha tenido acceso Teknautas:

Los especialistas de seguridad consultados, sin embargo, señalan que comprometer esta información sería extremadamente complejo. "Es muy difícil que un atacante pueda interceptar los datos por la forma en la que funciona el 'certificate pinning'", explica Román Ramírez. Se denomina así al proceso por el cual se añade un certificado a la aplicación para que, al acceder al servidor, este deba leer una llave o clave privada de la 'app'. Es una especie de capa adicional de seguridad que dificulta un posible ataque. "Que no lo tenga implementado no quiere decir que sea vulnerable, puede ser una decisión de diseño. Cabify se conectará a servidores que estén validados por el propio sistema operativo, por Android o iOS. Eso elimina el 99% de los posibles ataques. Para robar los datos de las tarjetas alguien tendría que comprometer los certificados de las Autoridades de Certificación soportadas en el sistema operativo, sea iOS o Android, y eso es muy, muy complicado", coincide Santamarta.

El informe analiza también el sistema de subida de precios por alta demanda de la aplicación. Con múltiples test realizados en Barcelona, concluye que "el servicio está casi inactivo debido a las restricciones [regulatorias] que se impusieron. Esto se observó durante el test, ya que en los trayectos más largos el servidor no devolvía los precios y muchas veces no había ningún coche disponible. Cabify muestra una estimación de tiempo de espera, pero es ficticia debido a la indisponibilidad de conductores [...] Da a entender que esto significa 'alta demanda', aunque esto puede ser debido a una menor oferta".

Consultados por este diario, Cabify se limita a asegurar que "se ajusta completamente a la normativa aplicable en España y en los países donde opera, cumpliendo con los estándares de seguridad también con los terceros con los que colabora".

¿Y ahora qué?

Está por ver si esta nueva maniobra del taxi pondrá en aprietos a Uber o Cabify en Madrid, su otro gran mercado después de haber tenido que renunciar a Barcelona. Cabify sigue allí pero con menos de 800 coches (en comparación con los más de 2.500 de Madrid). Que el informe no muestre pruebas sólidas de irregularidades no importa, asegura Tito. "Creemos que hay indicios y eso nos basta, vamos a presentar estos documentos al completo ante las autoridades para que lo investiguen. Estamos trabajando en más informes que prueban cosas muy graves en el frente laboral".

El encargo de estos documentos llega precisamente en el peor momento para el ex-jefe del taxi. El juez Fernando Presencia, suspendido de empleo y sueldo por prevaricación, ha presentado una demanda contra él por supuestos delitos de estafa y blanqueo que, de momento, ya ha sido admitida a trámite en Madrid. La Brigada Tecnológica de la Policía Nacional también investiga si los tuis de Álvarez durante los disturbios independentistas de Barcelona fueron objeto de delito. "A mi de momento nadie me ha condenado, y ni siquiera citado, en ninguna causa. Al juez Presencia sí", dispara Tito.

Fuentes del sector consultadas ven en esta nueva maniobra un "intento por impulsar de forma engañosa" su proyecto Taxi Project 2.0, vendiendo una plataforma de presión a cambio de pagos mensuales. "Es increíble cómo alguna gente del taxi, en vez de trabajar en una aplicación propia, despilfarran el dinero de los taxistas en informes para desacreditar a otros. Lo han expulsado de su asociación [Élite Taxi], tiene pendientes casos de amenazas y estafa a los taxistas, y ahora esto. Es un movimiento a la despesperada por salvar un proyecto que hace aguas", señala una fuente del sector VTC que pide el anonimato. "Estoy deseando que alguien me cite, no tengo nada que esconder. Soy el clavo que más ha sobresalido en todo este conflicto y por eso me caen a mi los golpes", dice Tito. "Pero solo hay dos formas de pararme, o matarme o meterme en la cárcel. Y aviso: acabaré antes muerto que encerrado".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
17 comentarios
Por FechaMejor Valorados
Mostrar más comentarios