Un fallo de seguridad obliga a suspender la puesta en marcha de la T-Mobilitat

Un fallo de seguridad en la web que daba acceso al registro de la T-Mobilitat, la tarjeta con la que la Autoridad del Transporte Metropolitano (ATM) quiere modificar la forma de pagar y acceder al transporte público, ha obligado a suspender la prueba que había puesto en marcha tan solo un día antes el consorcio público. Después de que un usuario detectara que el sistema permitía dejar al descubierto los nombres y apellidos de 2.000 usuarios, el consorcio público ha decidido frenar de golpe el registro a la espera de que la Agencia de Ciberseguridad descarte cualquier otra vulnerabilidad.

El de la T-Mobilitat es un trayecto espinoso. Después de seis años de retrasos, todos los usuarios del transporte público del área metropolitana de Barcelona podían pedir a partir de esta semana la nueva tarjeta recargable para pagar los trayectos, que también funciona a través de una app. Sin embargo, la ATM ha reconocido un fallo de seguridad que ha expuesto “durante un tiempo limitado el acceso a datos no sensibles”. El ingeniero de ‘software’ Edin Kapić, residente en Barcelona, se dio cuenta del error y publicó en su Twitter cómo tuvo acceso a los datos de usuarios. Según explica, el agujero de seguridad también le permitía eliminar cuentas.

“El error ha sido corregido enseguida y la ATM abrirá un expediente informativo a la empresa responsable de este desarrollo web”, ha publicado inicialmente la cuenta oficial de T-Mobilitat en Twitter, que se estrenó el lunes como canal informativo de la nueva plataforma, antes de suspender las pruebas. Desde el Ayuntamiento de Barcelona, la concejal de Movilidad, Laia Bonet ha afirmado que en el consistorio están “preocupados”. “Es un proyecto imprescindible, que llevamos demasiado tiempo esperando, no nos podemos permitir pasos atrás ni ningún parón. Entendemos que la ATM debe velar porque sea así y así se lo hemos comunicado”, ha lamentado.

La compañía responsable del proyecto, Socmobilitat (integrada por CaixaBank, Fujitsu, Indra y Moventia) ya fue penalizada en enero de 2020 con 14 millones por los sucesivos retrasos en la materialización de la tarjeta de plástico digitalizada que sustituirá en Cataluña los títulos de transporte público de papel. Socmobilitat ha declinado este miércoles hacer declaraciones sobre el fallo, que la Autoridad Catalana de Protección de Datos está analizando “a raíz de las denuncias recibidas” a la espera de una investigación en profundidad.

Kapić no hackeó el sistema. Se dio de alta para pedir la tarjeta y luego, con su mujer, siguieron el mismo proceso para pedir una para ella. Tras ver que no podía identificarse después de crear la segunda cuenta hizo unos cambios en la URL y se dio cuenta de que podía acceder a la parte de administración de la web, “que debería estar accesible solo desde la red de TMB”. Probó el usuario ‘test’, con la misma contraseña, combinación habitual que utilizan los programadores, explica. Pudo entrar como administrador. “Esta web no habría pasado el control de calidad de una empresa medianamente seria”, opina el ingeniero del software, que trabaja en proyectos web similares. “No encontré mi nombre y apellidos, pero la lista era de gente real, busqué algunos perfiles en LinkedIn y eran personas que no trabajaban en TMB ni en ninguna consultora próxima al proyecto”, asegura.

Desde junio y hasta el lunes las pruebas piloto de la T-Mobilitat estaban abiertas a unos 4.000 usuarios del transporte, después de un llamamiento a voluntarios que se hizo coincidiendo con el Mobile World Congress. Kapić sospecha que la información personal comprometida era de esta primera fase. “No daremos más datos”, afirman fuentes de ATM sobre esta cuestión, que reconocen que el fallo “no se tendría que haber producido, aunque estamos en fase de pruebas para detectar disfunciones”. Y añaden que van a “depurar responsabilidades”. Kapić coincide con la versión de ATM, que el error fue arreglado al cabo de poco tiempo.

Varios ciudadanos se quejaron de problemas para validar y recargar el título en las primeras fases de pruebas, así como del desconocimiento de la tecnología por parte de los conductores. Josué Castilla, uno de los primeros en probar la T-Mobilitat, expuso el pasado julio de que tuvo que comprar un billete sencillo en una ocasión porque el conductor de un bus no sabía “cómo hacer funcionar la validadora” de la tarjeta electrónica al admitir que no tenía “formación suficiente”. Castilla se ha encontrado con otras situaciones similares en que, por este desconocimiento, lo han dejado pasar y bromea: “Más que T-Mobilitat es una T-Cuelas’”.

Los títulos, a mitad de precio

Para obtener la T-Mobilitat hay que darse de alta en la página https://www.tmb.cat/t-mobilitat, con los datos personales y adjuntando una foto del DNI, NIE o pasaporte. Una vez validada la solicitud, explica ATM en un comunicado, la tarjeta se envía a la dirección del usuario en un periodo de 10 días. También hay la opción de comprarla presencialmente. Tiene un precio de 2,25 euros, la mitad de lo que costará una vez finalice la fase de pruebas. También se puede comprar la tarjeta en formato virtual (se podrá acceder al transporte la tecnología NFC del móvil) al precio de 50 céntimos, también con un descuento del 50%. Sin embargo, en esta primera fase de pruebas abierta al público general solo podrán acceder a las funcionalidades de la app “un grupo reducido de personas”, matiza el comunicado.

De momento, los títulos que se pueden adquirir en la T-Mobilitat son la T-usual y la T-jove que, normalmente, tienen una caducidad de 30 y 90 días, respectivamente. En esta prueba piloto se tienen que renovar cada cinco días y se les ha dado un precio proporcional, también reducido a la mitad: 3,30 y 2,20 euros.