Tenemos algo para ofrecerte Con nuestra suscripción digital disfrutás de más de 300 artículos exclusivos por mes y navegás sin límites nuestros sitios. Tenemos newsletters premium, una comunidad exclusiva para vos, descuentos con Club La Voz y más. Quiero suscribirme desde $30

¿Es usted usuario de la aplicación Movypark, app a través de la cual se cobra el estacionamiento medido en la ciudad de Córdoba? Varios de sus datos personales, entonces, quedaron almacenados y expuestos públicamente, entre ellos los números de sus tarjetas de débito o de crédito, según pudo comprobar La Voz en los últimos días luego de realizar consultas con distintos expertos. Uno de ellos calificó de “severas” las “múltiples fallas” de seguridad detectadas.

Vale antes realizar una aclaración fundamental: lo que sigue no es la descripción de un hackeo o de un ataque al sistema de Movypark o su billetera virtual de pagos, MovyPay, sino la búsqueda de información personal que la misma aplicación guardó dejándola expuesta y con la posibilidad concreta de que pudiera haberse filtrado o ser utilizada en un futuro, si es que eso no ocurrió ya.

Publicidad

La empresa que tiene concesionado por la próxima década el servicio de estacionamiento medido en la capital provincial primero negó las vulnerabilidades detectadas, pero ayer debió dar marcha atrás y admitió que hubo un error de programación que permitió visualizar los datos personales de un número no informado de usuarios.

Durante la semana ,un periodista de La Voz comprobó que, a través de su número de teléfono, un tercero podía obtener desde la app de Movypark (de hecho lo hizo) su correo electrónico personal, el número de su tarjeta de débito (incluyendo su fecha de caducidad) y la ubicación de su vehículo particular, e iniciar el pago del estacionamiento a un desconocido. Todo sin su aval.

Es más: con el número de teléfono de funcionarios públicos, se realizaron pruebas similares. Por la gravedad de la información, esta no será publicada, y los funcionarios ya fueron advertidos.

Lo que sigue es un relato pormenorizado de cómo se detectó esta falencia que expuso datos personales de un número no precisado de cordobeses, pero que sería masivo por la naturaleza de la aplicación; y cómo y cuándo las autoridades municipales y la empresa fueron advertidas de lo que ocurría con los clientes de Movypark.

Publicidad

11 de octubre, 13.58.

“Lo que pueden verse son las patentes de los autos estacionados en la ciudad y dónde están, sin ningún tipo de chequeo”, escribió por WhatsApp el doctor en Física y desarrollador Gastón Ávila. Desde la llegada de Movypark a Córdoba, este experto viene realizando una serie de advertencias respecto de distintas falencias. En diciembre de 2017 había señalado que era posible robar crédito de cualquier cuenta, pero ahora aquella hipótesis se transformó en evidencia.

Dos minutos más tarde, Ávila escribió: “Desde una compu puedo iniciar el estacionamiento de mi patente en tu cuenta utilizando tu crédito”. Y agregó, en otro mensaje por WhatsApp: “Estarías usando el crédito de otra persona, de la que tendrías sólo el teléfono; también se puede finalizar el estacionamiento de alguien sin problema”.

Publicidad

15 de octubre: comprobación

Lo que hasta el martes último fue una teoría se convertiría a las 15.03 de ese día en una comprobación: utilizando el número de teléfono del autor de este informe, y con su consentimiento, Gastón Ávila ingresó al código fuente de Movypark y obtuvo allí los datos personales, entre ellos el número de DNI y el número de tarjeta de débito registrados en el servicio de estacionamiento medido. “Está ahí tu tarjeta”, confirmó por WhatsApp tras realizar una captura de pantalla. Ahora restaba chequear cuánto demoraba un programador en acceder a esos datos y si era viable hacerlo con otro número telefónico.

16 de octubre: el chequeo

Para confirmar que la exposición de estos datos no era aislada, el miércoles 16 de octubre se realizó una nueva prueba con tres personas que prestaron su consentimiento, y se obtuvo el mismo resultado: la visualización de información personal sensible, que debió estar resguardada. Además, otro programador cuya identidad será reservada, y siguiendo los pasos descriptos, identificó el número de DNI, el e-mail personal, la dirección particular y el número de tarjeta de crédito Visa de un alto funcionario municipal, a quien se le advirtió de esta situación, aunque La Voz no divulgará su nombre ni su cargo.

Uso de la cuenta por terceros

Finalmente, quedaba por comprobar si era posible utilizar de manera remota una cuenta de Movypark cargándole a ese usuario el costo de estacionamiento de un tercero a quien no conocía, y sin que el titular de la cuenta diera su autorización a través de la app.

Así, Ávila logró, a través del código disponible de la aplicación, asignarle a un usuario el pago del estacionamiento de un vehículo registrado con la patente que se inicia con AA8, ubicado en Nueva Córdoba, utilizando sólo el número de celular del primero, a quien se le descontó de su cuenta el monto del servicio, sin que mediara autorización alguna a la app para esta operación.

18 de octubre, 10.30

En la mañana del viernes, La Voz informó verbalmente a las autoridades municipales las tres vulnerabilidades detectadas: exposición de datos personales y bancarios, uso de la cuenta de un usuario sin su autorización y filtración de patentes y localización de vehículos estacionados. Las autoridades de Tránsito de la Municipalidad, secretaría de la cual depende la concesión, notificaron a la empresa Movypark, que primero rechazó en un informe reservado que su aplicación fuese vulnerable, pero que finalmente ayer admitió haber cometido un error que permitió la exposición de datos personales, aunque sin precisar cuántos usuarios quedaron en esa situación ni por cuánto tiempo. Movypark aseguró, también, que solucionó el inconveniente volviendo el programa a una versión anterior, sin la falla de seguridad.

De “información maliciosa” a la admisión

La empresa MovyPay, billetera electrónica que utiliza Movypark, admitió ayer que se generó un error que permitió visualizar los datos personales –entre ellos, el número de tarjeta de débito o de crédito– de los usuarios del estacionamiento medido de la ciudad de Córdoba. Según la compañía, ese error sólo ocurrió en Córdoba y no se replicó en localidades de Buenos Aires donde opera Movypark, aunque esto no pudo ser verificado.

Antes de reconocer la falla de seguridad, Movypark descalificó la información aportada por La Voz a las autoridades. En un mensaje enviado a los funcionarios, señaló que se trataba de “información maliciosa desde el momento en que se muestra el código fuente del propio usuario como si fuera de un tercero”.

La empresa señaló que la imagen del código fuente (publicada en el gráfico que acompaña este informe) “corresponde al html del último paso del proceso de pago con los datos de la tarjeta que ingresó el usuario que estaba realizando el pago en ese momento”, pese a que cuando se accedió a esa información no había ninguna operación en curso entre Movypark y el usuario.

En el mismo escrito, Guillermo Espíndola, gerente de Movypark, puntualizó: “¿Puede una persona acceder a esa información de otros o de varios usuarios? No, sólo puede ver los datos propios cuando ingresa en la PC con su usuario y contraseña, y en la pantalla de pago”. Sin embargo, como se cuenta en la nota principal, el experto que realizó la verificación de seguridad sólo contaba con el número de teléfono del usuario.

Movypark aseguró que el usuario “con el código fuente sólo ve sus datos y no visualiza ni código de seguridad ni información de terceros”. Esto tampoco es cierto.

Finalmente, la empresa detalló: “¿Se puede iniciar el estacionamiento con cualquier cuenta? No. Únicamente ingresando con usuario y contraseña”. Sin embargo, en la demostración se logró contratar de manera simple, a través del código fuente, el estacionamiento de una tercera persona en una cuenta sin que el usuario de esta lo autorizara.

El sábado al mediodía, la empresa MovyPay, encargada de gestionar el pago remoto de Movypark (y también de Red Bus en las operaciones vía tarjeta de débito o de crédito), reconoció la falla en el marco de una actualización: “Por error, se subió una etapa que se usa para pruebas de la nueva versión”, dijo Verónica Mansilla, gerenta de MovyPay, a La Voz.

Para la empresa, esa falla en la seguridad fue la que expuso los datos personales de los usuarios registrados. “Fue un error que se subió en la etapa de QA (quality assurance, aseguramiento de la calidad) durante las pruebas, y no en la etapa de producción (de la nueva versión de la app)”, agregó.

Según Mansilla, “apenas La Voz informó (a las autoridades de la Municipalidad de Córdoba) de las fallas, ese error se solucionó dando de baja la prueba y restituyendo la versión anterior de la app, por lo que actualmente no es posible acceder a los datos” que estuvieron abiertos hasta el fin de semana. Sin embargo, la empresa no pudo precisar ayer qué cantidad de datos de usuarios quedó expuesta por la falla.

Lo que la empresa MovyPay niega es que sea posible iniciar el estacionamiento de un tercero sin consentimiento del titular, tal como hizo el programador Gastón Ávila. “Intentamos replicar el error desde el área de sistema para solucionarlo, pero no fue posible hacerlo: al cambiar el número de teléfono, el sistema requirió la validación del usuario y su contraseña”, dijo Mansilla.

La empresa insiste en que el código fuente de la app no registró el código CVC de las tarjetas (los números de seguridad que aparecen en el dorso), lo que es cierto. Pero Nicolás Wolovick, profesor asociado de Ciencias de la Computación de la Facultad de Matemática, Astronomía y Física (Famaf), de la Universidad Nacional de Córdoba, advierte que, en una base de datos masiva, obtener la combinación de los tres números no es imposible. “El problema es la masividad: la acción individual es una cosa, pero cuando se potencia en miles de usuarios genera para quienes se dedican al ciberdelito una escala con una probabilidad mucho más alta de encontrar el CVC”.

MovyPay dice que el error en el token (clave de seis dígitos aleatoria e irrepetible) permitió la visualización de los números de tarjetas de crédito y de débito, pero que desde el viernes el problema fue mitigado y los números bancarios volvieron a estar a resguardo y todos los datos, nuevamente encriptados.

Dos empresas con una misma raíz

Aunque las empresas Movypark, encargada del estacionamiento medido en la ciudad, y MovyPay, medio de pago electrónico de la primera, son distintas, en la raíz societaria conviven las mismas personas, según surge de los datos que brinda el Boletín Oficial.

El abogado Carlos Ernesto Zipilivan está en el centro de las sociedades, ya que es presidente de MovyPay y presidente de Plus Mobil Communication SA, ambas con domicilio en Santa Fe 1675, piso 5, de la Ciudad Autónoma de Buenos Aires. En sociedad, operan en Córdoba como una unidad transitoria de empresa de nombre Movypark.

El 5 de mayo de 2017, Movypark fue la única oferente del estacionamiento medido de la ciudad de Córdoba. De cada 100 pesos pagados por los usuarios, la empresa se queda con 39. También se queda con la misma proporción de cada multa por estacionamiento pagado que labran los inspectores de la Municipalidad de Córdoba, siempre que el pago se efectivice en las primeras 48 horas desde la infracción. Tiene en concesión cinco mil espacios de estacionamiento.

NEWSLETTER 9AM De lunes a viernes, la selección de nuestros editores de la información más relevante para cada jornada. Ingresá tu correo electrónico Enviar ¡Gracias por suscribirte! Ha ocurrido un error, por favor intente nuevamente más tarde.

Edición Impresa El texto original de este artículo fue publicado el 20/10/2019 en nuestra edición impresa.