Infraestructuras
Sociedad 07/10/2021

Cierran la web de la T-Mobilitat después de que dejara al descubierto los datos de miles de usuarios

La ATM cierra la página web 24 horas después de admitir el error y asegurar que ha corregido el agujero de seguridad

5 min
Un usuario probando de entrar en  metro con la T-Movilidad en una imagen de archivo.

BarcelonaNueva traba en el lanzamiento de la T-Mobilitat. La euforia por el lanzamiento, el lunes, de la nueva web que permite registrarse y adquirir el nuevo billete de transporte en pruebas ha durado menos de 48 horas. La Autoritat del Transport Metropolità (ATM) ha tenido que corregir deprisa y corriendo un grave agujero de seguridad que ha dejado al descubierto –desde el inicio– los datos personales de miles de usuarios que se han registrado en la web para pedir la nueva tarjeta de transporte. El error incluso ha llevado a la ATM a cerrar la página por "tareas de mantenimiento" 24 horas después de asegurar que ya había corregido el agujero.

Quien ha denunciado los errores de seguridad es un informático bosnio residente en Barcelona, Edin Kapić, que el martes hizo público, a través de un hilo en Twitter, lo que había descubierto. "Entré simplemente a registrarme, sin ninguna intención de hacerles una auditoría", explica Kapić al ARA. A pesar de esto, su corto periplo por la web y sus conocimientos de informática lo llevaron a descubrir este grave error de seguridad. "Cuando mi mujer se quiso registrar daba un error que la redirigía constantemente a la página de inicio, y como ingeniero informático primero hice los pasos típicos, borrar las cookies y reiniciar la web, pero como no funcionaba me puse a mirar qué pasaba". Kapić descubrió errores graves "muy básicos": "En la barra de dirección había una señal que indica que se puede entrar en el sistema en producción, es decir, que se puede entrar al interior del diseño de la web", añade. "Pensé: «No puede ser que se hayan dejado este usuario de prueba abierto», porque es una de las primeras cosas que se tienen que cerrar cuando una web se da por acabada y se pone a disposición del público. Pero, efectivamente, estaba abierto", explica.

Así, este informático pudo acceder a la web como si fuera administrador. "No tuve que hacer gran cosa, porque traté de entrar con el típico usuario que creamos todos los informáticos cuando hacemos pruebas: «Usuario: test. Contraseña: test»". Una vez dentro de la página, Kapić vio que podía acceder casi a todo: "Podría haber cambiado toda la web, haberla redirigido a otro lugar y también haber accedido a todos los usuarios, que en ese momento eran más de 2.000 personas reales, porque lo comprobé", explica sorprendido. Para Kapić, este es un error de seguridad grave: "Cuando vi el listado con nombres, apellidos, nombres de usuarios y todo dejé de mirar y me puse a hacer el tuit para avisar a la ATM".

La ATM admitió el error y enseguida intentó cerrar el agujero de seguridad. El perfil de Twitter de la T-Mobilitat reconoció anoche que el error había dejado al descubierto información de los usuarios "durante un tiempo limitado", afirmando que eran "datos no sensibles". Sin embargo, esta noche el mismo perfil ha anunciado que el acceso a la web ha quedado "suspendido temporalmente" para hacer, con la Agencia de Ciberseguridad, "un análisis exhaustivo para descartar cualquier otra vulnerabilidad no detectada". La ATM, que recuerda que el error se ha producido durante la fase de pruebas, asegura que abrirá un expediente informativo a la empresa responsable, pero no quiso dar el nombre.

El contrato de la T-Mobilitat se firmó en 2014 con una UTE, una unión temporal de empresas, denominada SOC Mobilitat y que está formada básicamente por Indra, La Caixa, Moventia y Fujitsu. Así, el expediente informativo de la ATM se ha dirigido, pues, a SOC Mobilitat, pero todo hace pensar a los expertos consultados que el desarrollo de la web y la aplicación lo habría podido hacer, finalmente, otra empresa subcontratada más pequeña. "El código fuente con el que se ha hecho esta web es una chapuza", asegura en cambio Kapić a este diario, y añade: "Parece hecho por una empresa subcontratada, de una subcontratada, de otra subcontratada, o por una persona que acaba de empezar y que, además, no ha pasado por la supervisión de nadie. Esto pasa a menudo en el sector, que las empresas grandes encargan el desarrollo a otras más pequeñas para abaratar costes", asegura este informático experto en programación. Por su parte, SOC Mobilitat tampoco ha querido dar detalles al ARA ni sobre el problema de seguridad en la web ni tampoco sobre la empresa que la ha desarrollado.

El experto en seguridad informática y jefe de operaciones de Andubay, José Nicolás Castellano, considera que el error es "muy grave", sobre todo viniendo de una administración pública. "Estos organismos tienen la obligación de dar pautas y pliegos de condiciones para desarrollar el software a las empresas que contratan", explica Castellano. "Las medidas de seguridad deben estar incluidas entre estas pautas -añade-, por tanto, la administración debería haber supervisado como entidad pública". Para este experto en seguridad, el agujero que quedó al descubierto ayer en la web de la T-Mobilitat es fruto de una cadena de errores. "Cuando se desarrolla una web o una aplicación, se hacen pruebas de calidad, de funcionalidad para detectar errores y, finalmente, pruebas de seguridad para garantizar que nadie puede hacer un mal uso de la página intencionadamente. Parece que aquí todas estas pruebas han fallado", reflexiona. "Se trata de pruebas muy básicas antes de lanzar la web a los usuarios -continúa- y al parecer o no estaban previstas o claramente se hicieron muy mal", sentencia Castellano.

La enésima traba

La puesta en marcha de la T-Mobilitat ha sido una verdadera carrera de obstáculos desde que empezó el proyecto. El nuevo título para el transporte metropolitano se tenía que poner en marcha inicialmente en otoño de 2015, pero desde entonces ha acumulado numerosos impedimentos y retrasos que no han permitido que este tipo de billete –que ya se utiliza en muchas ciudades europeas– esté disponible. El sistema pretende utilizar una sola tarjeta recargable (que puede ser física o virtual a través del pago con el móvil) y que el usuario pague solo por los viajes y la distancia recorrida. Durante varios años, las empresas y la Generalitat se culpaban mutuamente del retraso, después el proyecto se quedó parado en 2017 y en 2018 estos retrasos ya habían acumulado un sobrecoste de 24 millones de euros, un desvío que suponía un 41% más del coste previsto de entrada. El año pasado el confinamiento y la crisis sanitaria derivada del coronavirus dejaron en suspenso las pruebas, que al final empezaron este verano. Ahora que las pruebas se abrían a toda la ciudadanía el error técnico en la web vuelve a poner encima de la mesa el debate sobre la protección de los datos personales y de desplazamiento que irán asociadas a esta tarjeta, que hace años que se anuncia como "la gran revolución" en el sector del transporte en Catalunya.

stats