Los datos personales de más de 54 mil usuarios del sistema de pago electrónico de Caminos de las Sierras estuvieron expuestos.
Nombre, apellido, número de DNI, tarjeta de crédito y de débito, patente del auto, horario de tránsito y sentido de paso por el peaje, correo electrónico, teléfono y dirección fueron las especificaciones a las que Adrián Ruiz, un usuario del sitio web oficial y técnico informático, pudo ingresar sin violar ninguna barrera de seguridad.
La empresa, que depende de la Provincia, asegura que ya solucionó el problema.
Según describe Ruiz, ingresó a caminosdelassierras.com.ar desde su cuenta, modificó la información de la URL que está en el navegador –lo que podría hacer cualquier usuario– y accedió a una carpeta general de archivos con información sensible de 54.214 clientes, entre la que había también 3.118 facturas de infracciones, 751 recibos de pago y 109 archivos de clientes morosos.
También obtuvo el detalle de 9.495.944 pasos por peajes, desde febrero de este año hasta el 30 de septiembre pasado. Ninguno de esos archivos estaba encriptado.
El jueves pasado, luego de que el sitio Infonegocios publicó esta vulnerabilidad, la empresa se contactó con Ruiz para analizar el problema, que finalmente fue subsanado.
"Hoy todos los datos de los usuarios están absolutamente resguardados", explicaron a La Voz desde la firma provincial que se encarga de cobrar peajes y de mantener las rutas en la Red de Accesos a Córdoba (RAC).
La filtración de datos que reveló Ruiz tiene características similares a las que detectó una investigación de La Voz un año atrás, cuando reveló que la empresa Movypark expuso los datos de sus usuarios de manera pública.
- Masiva exposición de datos de usuarios de Movypark
- La filtración de datos de Movypark nunca se investigó
Desde Caminos de las Sierras admitieron que hubo un momento, meses atrás, en el que su sistema de seguridad pudo haber sido vulnerable.
Jorge Alves, presidente de la empresa, señaló que en agosto hicieron un cambio en el sitio web para mejorar la seguridad, pero que antes de ese período desconocen si se podría haber accedido a algún tipo información del sitio. Eso fue lo que finalmente demostró Ruiz.
20 gigas
Antes de ese cambio en los servidores, quedaron expuestas bases de datos de un volumen de 20 gigas, con información personal de quienes utilizan el sistema de pago a través de medios digitales.
Con ese archivo, que había sido de fácil acceso, y a pesar del cambio en seguridad informática, Ruiz demostró que se podía seguir obteniendo información sensible de los usuarios del sistema de peaje dinámico.
Tal como indican las buenas prácticas de la seguridad informática, ante la detección de este tipo de vulnerabilidades, Ruiz intentó contactarse con la empresa para reportar el inconveniente y alertar sobre esta falla del sistema. El 28 de septiembre envió un correo electrónico a la casilla clientes@camsierras.com.ar, que figura en la página de ingreso de la compañía.
"Me interesaría aportar información acerca de la vulnerabilidad en un sistema de los peajes de la provincia de Córdoba que deja expuestos datos personales, medios de pago, patentes y detalles de los vehículos por estaciones de peajes. El tema guarda cierta analogía con la filtración de datos del año pasado en la app Movypark, pero mucho más sencilla, ya que no se necesitan conocimientos técnicos. Saludos", dice el e-mail que envió Ruiz y del que la empresa dice no tener registro ni constancia.
Respuestas
“En agosto, cambiamos los servidores y reforzamos los parámetros de seguridad de acceso. Desconocíamos si alguien podía haber accedido a los datos. Es posible que se hayan copiado los nombres de los archivos y partir de allí un usuario, al conocerlos, haya accedido a los datos de otros usuarios”, dijo Alves.
Agregó que esa acción ya no es posible y que se modificaron los nombres de todos los archivos anteriores, a los que sólo tienen acceso tres personas bajo estrictas pautas de confidencialidad.
“Efectivamente, se mostró que se accedió a medios de pago donde sí están los datos personales y las tarjetas de crédito, pero no está el código de seguridad”, dijo el presidente de Caminos de la Sierras, quien, ante la consulta, prefirió no referirse a la filtración que detectó Ruiz como un ataque.
En principio, desde la Provincia entienden que se trata de un tema exclusivo de su empresa Caminos de las Sierras.
Seguridad
Tras conocerse esta situación, expertos en seguridad informática pusieron su atención en el sitio de Caminos de las Sierras para chequear su nivel de seguridad. Sin ingresar al sitio, señalan que el sistema tiene errores que se conocen desde hace una década.
Para el experto en seguridad informática Martín Aberastegue, “estos errores son más comunes de lo que uno cree y se dan generalmente por falta de buenas prácticas de desarrollo, auditorías y mantenimiento de los sistemas”.
"Actualmente, hay documentación de sobra, incluso en español, sobre este tipo de vulnerabilidades conocidas y cómo evitarlas. Todas las empresas deben, a esta altura del partido, incorporar políticas y prácticas de desarrollo seguro de software", explica Aberastegue.
Claves
Ley de Datos Personales. En su artículo 9, la ley nacional de Datos Personales dice: "El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado".
Información sensible. Las bases de datos se utilizan usualmente para concretar estafas digitales. Con esa información personal, como el número de DNI o número de tarjeta de crédito, otras personas se hacen pasar por empleados de entidades bancarias o de servicios prepagos y requieren claves de acceso personales a usuarios que después terminan sufriendo un engaño.
Antecedente Movypark. "Una vulnerabilidad como esta le costó la concesión con la Municipalidad de Córdoba a la app de estacionamiento de Movypark. Exponer datos personales de los ciudadanos produce un daño irreparable. El Estado debe, como mínimo, exigir rigurosidad en la protección de datos y seguridad. También vale para sus propias implementaciones de tecnología. Cada vez hay más casos de este tipo", señaló el abogado especialista en protección de datos Andrés Piazza.
