Caso MovyPark: "Las falencias son del nivel de un principiante"
Gastón Ávila, el programador que encontró las fallas que exponían datos en la app, recuerda que ya había hecho advertencias.
"Apenas la sacaron a la aplicación era bastante evidente que le faltaba trabajo. Uno la ve y dice "es la primera vez que hacen este tipo de trabajo". De revisarla un ratito encontré que el código de seguridad que mandaban para verificar tu número estaba construido dentro de la aplicación. Eso es como hacer la cerradura y dejar la llave colgada fuera".
La frase corresponde al doctor en física y desarrollador de software Gastón Ávila, la persona que reveló la existencia de severas fallas en aplicación de la empresa MovyPark, concesionaria del cobro del estacionamiento medido en la ciudad de Córdoba.
Dichas fallas dejaban expuestos datos personales, como tales sensibles, de aquellos usuarios que habían bajado la aplicación.
Según demostró, desde una computadora y con sólo el número de teléfono de un usuario, podía acceder al número de teléfono, número de DNI, número de tarjeta, dirección y ubicación del automóvil de otros usuarios.
No sólo eso: con los datos de la tarjeta vinculada a la cuenta podía pagar el estacionamiento de un tercero.
La brecha en la seguridad del software fue presentada en un informe realizado por Juan Manuel González, periodista de La Voz del Interior. Allí se demostraron, con ejemplos, las tres vulnerabilidades más preocupantes: exposición de datos personales y bancarios, uso de la cuenta de un usuario sin su autorización y filtración de patentes y localización de vehículos estacionados.
Dicho informe derivó en una denuncia contra la empresa, que recayó en manos de la Fiscalía con Competencia en Cibercrimen, y en una investigación administrativa por parte del gobierno municipal, cuyas autoridades no descartan rescindir el contrato con la firma bonaerense.
Este miércoles, en el programa Tendencias, que se emite por Canal 10, Ávila recordó que distintas vulnerabilidades habían sido advertidas, tanto a la empresa como a funcionarios municipales, desde el mismo momento en que MovyPark comenzó a explotar el servicio, en diciembre de 2019.
"Yo programo, como tantos otros. Tengo experiencia. Después de charlar muchas veces con otros desarrolladores, me tomé una mañana para volver a revisar. Primero fue algo jocoso. Les dije: "Miren, acá está su tarjeta de crédito". Después advertimos la gravedad que tenía. Vimos las patentes de los autos estacionados, sus ubicaciones. Luego encontramos que podíamos dar inicio al estacionamiento de otra persona", evocó.
La comprobación se realizó luego sobre MovyPago, la billetera virtual de Movy Park, con similar resultado. "Fue instantáneo. Un navegador, dos clicks, inspeccionar y vimos los números de la tarjeta", explicó Ávila.
"Una falencia de un nivel de principiante, en una empresa que tiene dos años, a la que ya se le había hecho una advertencia. Es muy grave", remarcó el desarrollador.
Desidia
En el mismo programa el abogado Gaspar Pisanú, recordó que los datos personales están tutelados por la Ley 25326, de Protección de Datos Personales.
"Una de las mayores preocupaciones es la desidia en la aplicación de esa ley. Podemos discutir sobre su vigencia, pues fue sancionada en el año 2000, pero sigue siendo una ley considerada muy buena a nivel internacional. Allí se establece específicamente que una de las obligaciones de todo aquel que vaya a procesar datos personales es tomar las medidas de seguridad necesarias", indicó.
"En este caso vemos un nivel de negligencia ante recaudos mínimos en el desarrollo de un producto informático. El problema es que estas cosas pasan en el sector público, en el sector privado, pero la ley sigue sin aplicarse. Hay una clara violación a la obligación de establecer medidas de seguridad. No se aplican sanciones, no se aplican multas a las empresas. no se inician procesos administrativos para ver quiénes son responsables en el sector público. Mucho tiene que ver con que somos una región que aún no entendió cuán peligroso es que se expongan los datos personales. Hay algo de intangibilidad, que no vemos diariamente, pero no es tan distinto a que entren a robar a tu casa", prosiguió.
"Hay un montón de usos potencialmente peligrosos. El problema es que no llegamos a dimensionar cuál es el daño hasta que no se produce. En estas cosas de seguridad no debemos esperar llevarnos puesta la pared o que entren a nuestra casa, sino tomar recaudos básicos", añadió.
Mirá la nota completa.