Un fallo de seguridad obliga a suspender la puesta en marcha de la T-Mobilitat

Un fallo de seguridad en la web que daba acceso al registro de la T-Mobilitat, la tarjeta con la que la Autoridad del Transporte Metropolitano (ATM) quiere modificar la forma de pagar y acceder al transporte p¨²blico, ha obligado a suspender la prueba que hab¨ªa puesto en marcha tan solo un d¨ªa antes el consorcio p¨²blico. Despu¨¦s de que un usuario detectara que el sistema permit¨ªa dejar al descubierto los nombres y apellidos de 2.000 usuarios, el consorcio p¨²blico ha decidido frenar de golpe el registro a la espera de que la Agencia de Ciberseguridad descarte cualquier otra vulnerabilidad.

El de la T-Mobilitat es un trayecto espinoso. Despu¨¦s de seis a?os de retrasos, todos los usuarios del transporte p¨²blico del ¨¢rea metropolitana de Barcelona pod¨ªan pedir a partir de esta semana la nueva tarjeta recargable para pagar los trayectos, que tambi¨¦n funciona a trav¨¦s de una app. Sin embargo, la ATM ha reconocido un fallo de seguridad que ha expuesto ¡°durante un tiempo limitado el acceso a datos no sensibles¡±. El ingeniero de ¡®software¡¯ Edin Kapi?, residente en Barcelona, se dio cuenta del error y public¨® en su Twitter c¨®mo tuvo acceso a los datos de usuarios. Seg¨²n explica, el agujero de seguridad tambi¨¦n le permit¨ªa eliminar cuentas.

¡°El error ha sido corregido enseguida y la ATM abrir¨¢ un expediente informativo a la empresa responsable de este desarrollo web¡±, ha publicado inicialmente la cuenta oficial de T-Mobilitat en Twitter, que se estren¨® el lunes como canal informativo de la nueva plataforma, antes de suspender las pruebas. Desde el Ayuntamiento de Barcelona, la concejal de Movilidad, Laia Bonet ha afirmado que en el consistorio est¨¢n ¡°preocupados¡±. ¡°Es un proyecto imprescindible, que llevamos demasiado tiempo esperando, no nos podemos permitir pasos atr¨¢s ni ning¨²n par¨®n. Entendemos que la ATM debe velar porque sea as¨ª y as¨ª se lo hemos comunicado¡±, ha lamentado.

La compa?¨ªa responsable del proyecto, Socmobilitat (integrada por CaixaBank, Fujitsu, Indra y Moventia) ya fue penalizada en enero de 2020 con 14 millones por los sucesivos retrasos en la materializaci¨®n de la tarjeta de pl¨¢stico digitalizada que sustituir¨¢ en Catalu?a los t¨ªtulos de transporte p¨²blico de papel. Socmobilitat ha declinado este mi¨¦rcoles hacer declaraciones sobre el fallo, que la Autoridad Catalana de Protecci¨®n de Datos est¨¢ analizando ¡°a ra¨ªz de las denuncias recibidas¡± a la espera de una investigaci¨®n en profundidad.

Kapi? no hacke¨® el sistema. Se dio de alta para pedir la tarjeta y luego, con su mujer, siguieron el mismo proceso para pedir una para ella. Tras ver que no pod¨ªa identificarse despu¨¦s de crear la segunda cuenta hizo unos cambios en la URL y se dio cuenta de que pod¨ªa acceder a la parte de administraci¨®n de la web, ¡°que deber¨ªa estar accesible solo desde la red de TMB¡±. Prob¨® el usuario ¡®test¡¯, con la misma contrase?a, combinaci¨®n habitual que utilizan los programadores, explica. Pudo entrar como administrador. ¡°Esta web no habr¨ªa pasado el control de calidad de una empresa medianamente seria¡±, opina el ingeniero del software, que trabaja en proyectos web similares. ¡°No encontr¨¦ mi nombre y apellidos, pero la lista era de gente real, busqu¨¦ algunos perfiles en LinkedIn y eran personas que no trabajaban en TMB ni en ninguna consultora pr¨®xima al proyecto¡±, asegura.

Desde junio y hasta el lunes las pruebas piloto de la T-Mobilitat estaban abiertas a unos 4.000 usuarios del transporte, despu¨¦s de un llamamiento a voluntarios que se hizo coincidiendo con el Mobile World Congress. Kapi? sospecha que la informaci¨®n personal comprometida era de esta primera fase. ¡°No daremos m¨¢s datos¡±, afirman fuentes de ATM sobre esta cuesti¨®n, que reconocen que el fallo ¡°no se tendr¨ªa que haber producido, aunque estamos en fase de pruebas para detectar disfunciones¡±. Y a?aden que van a ¡°depurar responsabilidades¡±. Kapi? coincide con la versi¨®n de ATM, que el error fue arreglado al cabo de poco tiempo.

Varios ciudadanos se quejaron de problemas para validar y recargar el t¨ªtulo en las primeras fases de pruebas, as¨ª como del desconocimiento de la tecnolog¨ªa por parte de los conductores. Josu¨¦ Castilla, uno de los primeros en probar la T-Mobilitat, expuso el pasado julio de que tuvo que comprar un billete sencillo en una ocasi¨®n porque el conductor de un bus no sab¨ªa ¡°c¨®mo hacer funcionar la validadora¡± de la tarjeta electr¨®nica al admitir que no ten¨ªa ¡°formaci¨®n suficiente¡±. Castilla se ha encontrado con otras situaciones similares en que, por este desconocimiento, lo han dejado pasar y bromea: ¡°M¨¢s que T-Mobilitat es una T-Cuelas¡¯¡±.

Los t¨ªtulos, a mitad de precio

Para obtener la T-Mobilitat hay que darse de alta en la p¨¢gina https://www.tmb.cat/t-mobilitat, con los datos personales y adjuntando una foto del DNI, NIE o pasaporte. Una vez validada la solicitud, explica ATM en un comunicado, la tarjeta se env¨ªa a la direcci¨®n del usuario en un periodo de 10 d¨ªas. Tambi¨¦n hay la opci¨®n de comprarla presencialmente. Tiene un precio de 2,25 euros, la mitad de lo que costar¨¢ una vez finalice la fase de pruebas. Tambi¨¦n se puede comprar la tarjeta en formato virtual (se podr¨¢ acceder al transporte la tecnolog¨ªa NFC del m¨®vil) al precio de 50 c¨¦ntimos, tambi¨¦n con un descuento del 50%. Sin embargo, en esta primera fase de pruebas abierta al p¨²blico general solo podr¨¢n acceder a las funcionalidades de la app ¡°un grupo reducido de personas¡±, matiza el comunicado.

De momento, los t¨ªtulos que se pueden adquirir en la T-Mobilitat son la T-usual y la T-jove que, normalmente, tienen una caducidad de 30 y 90 d¨ªas, respectivamente. En esta prueba piloto se tienen que renovar cada cinco d¨ªas y se les ha dado un precio proporcional, tambi¨¦n reducido a la mitad: 3,30 y 2,20 euros.