Una falla de programación en la aplicación MovyPark expuso los datos personales de miles de usuarios en la ciudad de Córdoba que utilizan la app para pagar el estacionamiento en la vía pública, reveló una investigación de La Voz del Interior.
Gran parte de la información que navega desde la aplicación hasta la base de datos de MovyPark no estaba encriptada y podia ser leída con facilidad desde cualquier navegador con conexión a Internet durante un tiempo indeterminado. Los datos filtrados contenían información de todo tipo, incluyendo nombres y apellidos de los usuarios, números de DNI, de tarjetas de débito y crédito, cuentas de correo electrónico, patentes de los vehículos estacionados, y hasta las zonas donde estaban estacionados.
La vulnerabilidad fue detectada con la colaboración del doctor en Física y desarrollador Gastón Ávila, quien había advertido de las múltiples falencias que presentaba el servicio prestado por MovyPark desde 2017, cuando comenzó a funcionar en la capital provincial. “Pueden verse las patentes de los autos estacionados en la ciudad y dónde están, sin ningún tipo de chequeo”, notificó Ávila al diario cordobés en un mensaje de WhatsApp enviado el 11 de octubre.
Dos minutos más tarde, el desarrollador subió la apuesta. Con tan solo el número de teléfono del usuario -aseguró-, era posible acceder a sus datos bancarios y utilizar su crédito en la aplicación para pagar el estacionamiento de un tercero sin autorización: “Desde una compu puedo iniciar el estacionamiento de mi patente en tu cuenta utilizando tu crédito”, replicó Ávila.
“Estarías usando el crédito de otra persona, de la que tendrías sólo el teléfono; también se puede finalizar el estacionamiento de alguien sin problema”, agregó.
La comprobación de esta falla fue constatada por el periodista de La Voz Juan Manuel González junto a Ávila, quien ingresó el número de teléfono del periodista en el código fuente de MovyPark y obtuvo los datos de su tarjeta de débito instantáneamente. “Está ahí tu tarjeta”, confirmó Ávila por WhatsApp tras realizar una captura de pantalla.
Siguiendo los mismos pasos tomados por Ávila, otro programador consultado por La Voz identificó el número de DNI, correo electrónico personal, domicilio y el número de tarjeta de crédito Visa de “un alto funcionario municipal”, aunque no divulgó su identidad. El funcionario fue alertado de la situación.
También fue constatada la falla que permitía utilizar el saldo de la cuenta de un usuario para pagar el estacionamiento de otro vehículo, lo que permitía pagar el estacionamiento propio usando dinero ajeno, y viceversa. Desde una computadora, Ávila pudo iniciar el estacionamiento, ver multas y efectuar cambios en la cuenta de otro usuario sin su consentimiento. De esta manera, cualquier persona pudo estacionar su auto y pagar por el servicio utilizando los datos de otra persona.
El alcance de la filtración de datos aún es incierto, pero la aplicación tiene más de 100.000 descargas en Google Play Store. Contrario a la versión de MovyPark, que asegura que las vulnerabilidades encontradas en el sistema se limitan a Córdoba, un informante anónimo dio a conocer a Infobae un archivo con más de 5.000 patentes descargadas de la base de datos de MovyPark con las coordenadas de donde estacionaron. Conforme a esos datos, el sistema también habría afectado a sus usuarios de otros municipios, incluyendo Pilar y Escobar.
MovyPark está entre las empresas de servicios de estacionamiento tarifado más grande de la Argentina. Ha operado en más de 10 municipios del país, incluyendo Cordoba, Escobar, La Plata, Mar del Plata, La Matanza, Pilar, San Martin, Chivilcoy y en los próximos meses podría empezar a operar en Lomas de Zamora, entre otros.
La empresa, que tiene la concesión para cobrar el estacionamiento en Córdoba hasta el 2027 -un contrato de 50 millones de pesos anuales-, inicialmente descalificó las vulnerabilidades detectadas. En un mensaje enviado el viernes pasado a las autoridades municipales alertada por La Voz, dijo que las acusaciones se trataban de “información maliciosa desde el momento en que se muestra el código fuente del propio usuario como si fuera de un tercero”.
En el mismo escrito, Guillermo Espíndola, gerente de MovyPark, señaló: “¿Puede una persona acceder a esa información de otros o de varios usuarios? No, sólo puede ver los datos propios cuando ingresa en la PC con su usuario y contraseña, y en la pantalla de pago”.
Sin embargo, el sábado la gerenta de MovyPay, la billetera virtual que usa MovyPark para cobrar el estacionamiento, reconoció la falla en el marco de una actualización: “Por error, se subió una etapa que se usa para pruebas de la nueva versión”, dijo Verónica Mansilla a La Voz. Y agregó: "Fue un error que se subió en la etapa de QA [quality assurance, aseguramiento de la calidad] durante las pruebas, y no en la etapa de producción [de la nueva versión de la app]”. Ambas empresas pertenecen al mismo dueño.
A raíz de los hechos, el abogado Emilio Bovo presentó una denuncia penal contra la empresa Movypark ante el Ministerio Público Fiscal, a través de la Fiscal del Fuero de Cibercrimen, reportó La Voz el lunes por la tarde. El abogado adelantó que también va a presentar un habeas data:
“El martes voy a presentar un habeas data. Es un amparo para que mis datos no estén en esa aplicación. Resta esperar si la Justicia va a dictar cautelares o librar allanamientos. Como ciudadano, pediría que la aplicación deje de funcionar y que mis datos se eliminen por completo”, expresó Bovo.
Para el especialista en Derecho Informático Matías Altamira, la filtración de datos se rige por la ley nacional de protección de datos personales. “El artículo noveno de esa ley habla de la seguridad de datos y le exige a cualquier entidad que tenga todas las medidas de seguridad y confidencialidad con dos objetivos: uno, que no pueden ser adulterados, mal usados; y el otro, que tenga la capacidad de reconocer cuando algo de eso pasa", explicó Altamira a la radio Cadena 3. "Ahí está la esencia de esta ley y el incumplimiento”.
Luego del escándalo por la filtración de datos personales múltiples sectores del gobierno cordobés expresaron su descontento y pusieron en duda la continuidad del contrato con Movypark: “Si Movypark no cumplió, será pasible de todas las sanciones, inclusive la caducidad”, adelantó el secretario de Servicios Públicos, Pablo Farías, en una conferencia de prensa.
A su vez, el concejal electo Juan Pablo Quinteros y la legisladora Liliana Montero solicitaron a la Municipalidad de Córdoba que suspenda el servicio de estacionamiento medido controlado por la app Movypark. "En mi carácter de Concejal electo y como usuario de la app cuyo funcionamiento se cuestiona, remitiremos un pedido formal al intendente Ramón Mestre a fin de que de manera inmediata suspenda por el término de 60 días el uso de la aplicación por cualquier vía”, comentó Quinteros a través de una nota remitida a los medios locales. “Es una vergüenza que los usuarios tengamos que ver cómo garantizamos nuestra seguridad. La Municipalidad debería suspender el servicio y dirigirse a Tribunales”, añadió Montero.
SEGUÍ LEYENDO: