La aplicación ‘Cómo llego’ filtra información riesgosa

[BPN-12/04/19] Mientras en la CABA se debate en los tribunales el futuro de la Aplicación Oficial Consorcio Participativo, el pasado 3 de abril el Civil Sphere Project (CSP) denunció que la aplicación "Cómo llego" del Gobierno porteño filtra la ubicación exacta, las búsquedas realizadas y cada caracter escrito de sus usuarios en texto sin cifrar a través de la red. De esta forma cualquier persona interesadas con acceso al tráfico de Internet puede saber dónde se encuentra el usuario, qué es lo que buscó en la aplicación y -por la forma de tipear los caracteres- puede identificarlo en forma certera.

Según explica el CSP, una de las fallas graves es que la aplicación filtra la ubicación exacta del usuario enviando sus coordenadas sacadas del GPS en texto sin codificar. Este dato sensible trasciende incluso cuando el usuario no haya escrito en los campos "Desde" y "Hasta" su ubicación actual.

Es de destacar que no sólo esta información puede ser utilizada por el Estado en forma ilegal o abusiva del derecho sino también por delincuentes comunes para saber quién va, a dónde, de dónde salió o calcular cuánto tiempo faltará de un lugar específico, por ejemplo su casa o su oficina.

Finalmente el Civil Sphere Project recomendó: "Si usted es un individuo en riesgo debido al tipo de trabajo que realiza o a las personas a las que ayuda, es importante comprender que cualquier dato pequeño que se filtre puede ponerlo en riesgo. Llevamos teléfonos móviles dondequiera que vamos, y es importante entender que pueden ponernos en riesgo. Recomendamos desinstalar ‘BA Cómo Llego’ y usar aplicaciones de transporte más comunes como Google Maps que garanticen un nivel mínimo de seguridad".

La investigación fue dirigida por Verónica Valeros y Juan Fajfer, integrantes del Civil Sphere Project, una iniciativa de la sociedad civil y la Universidad Técnica Checa que trabaja en cuestiones de seguridad cibernética en particular en referencia a ONGs, activistas y periodistas.

No hace mucho el Registro Público de Administradores (RPA) porteño filtró los correos electrónicos privados de centenares de administradores cuyas matrículas habrían estado vencidas por no haber presentado las Declaraciones Juradas (DDJJ) en término. Entre los intimados la redacción del medio reconoció el correo del presidente de una entidad de administradores y la vocal suplente de otra.

De las denuncias recibidas por la redacción de Pequeñas Noticias se pudo apreciar que las intimaciones por correo electrónico para regularizar su situación se mandaron -de una forma muy precaria- en "paquetes" de unas 330 direcciones con "copia abierta" en lugar de con "copia oculta". De esta forma cada administrador pudo acceder a los correos de más de 300 colegas que tampoco cumplieron, violando la privacidad de esos datos que el RPA recibió en custodia para realizar su labor ^[1].

El 13 de septiembre de 2017, Horacio Rodríguez Larreta, jefe de Gobierno de la Ciudad de Buenos Aires, presentó públicamente un proyecto del que se destaca un punto: se propuso desarrollar un sistema informático gratuito, de uso obligatorio para los administradores que concentrará toda la actividad profesional, comercial, societaria y comunicacional de los consorcios. El autor del proyecto fue Facundo Carrillo, por aquel entonces subsecretario de Demanda Ciudadana, Calidad y Cercanía [2].

El proyecto fue aprobado por la Legislatura porteña el 28 de junio de 2018, el cuerpo legislativo aprobó en general el proyecto de ley Consorcio Participativo con 44 votos y 14 abstenciones [3].

La Aplicación Oficial Consorcio Participativo abrió desde sus comienzos en 2017 un áspero debate y al día de hoy enfrenta el rechazo y varias acciones judiciales abiertos por administradores, consorcistas y proveedores del sector.

Retomando y profundizando en la aplicación "Como llego", según explica CSP, después de instalar la aplicación, al usuario se le ofrecen dos espacios para la búsqueda en los cuales debe escribir el origen y el destino para que la aplicación encuentre posibles rutas.

Cuando el usuario comienza a escribir, la aplicación genera una solicitud que envía la búsqueda parcial a los servidores. Hay que tener en cuenta que debe escribirse un mínimo de tres caracteres para que se realice la solicitud pero –y esto es clave- a medida que el usuario continúa escribiendo, se realizan más solicitudes, casi carácter por carácter. Todos los datos se transfieren en texto sin encriptar –texto plano- a través de la red. El reconocimiento del patrón de tecleo de una persona se estudia por lo que se conoce como "dinámica de tecleo" o en inglés como "keystroke dynamics".

La dinámica de tecleo es una rama de la biometría que se dedica al estudio del reconocimiento del patrón de tecleo de un usuario. Para determinar esta huella que un individuo imprime al escribir se tienen en cuenta diversas medidas, como el tiempo de pulsación de cada tecla o el tiempo entre pulsaciones. Teniendo en cuenta todos los parámetros medidos pueden crearse diversos patrones de comportamiento, que conforman una huella característica y pueden ayudar al proceso de identificación de un usuario en un sistema determinado.

Hace cinco años, en 2014, la Fundación Sadosky mantuvo una activa comunicación con el Gobierno de la Ciudad de Buenos Aires alertando sobre las vulnerabilidades que presentaba el sistema desarrollado aunque inexplicablemente no dio frutos.

El 11 de febrero de 2015 envió un correo electrónico solicitando contacto para reportar problemas de seguridad en aplicaciones móviles.

El 18 de febrero de 2014 recibieron respuesta del GCBA requiriendo información para reenviársela a quien corresponda. Ese mismo día se envió al GCABA una descripción técnica del problema.

El 3 de febrero de 2015 se envió correo electrónico a Seguridad Informática del Gobierno de la CABA, notificando de la próxima publicación del problema y solicitando que se notifique al director general de Gobierno Electrónico y/o al Director General de Innovación y Gobierno Abierto. Al día siguiente se recibió una respuesta de Seguridad Informática requiriendo un reporte técnico.

El 23 de diciembre de 2016 el Gobierno de la Ciudad de Buenos Aires publicó la versión 4.1.0 de la aplicación en Google Play.

El 11 de enero de 2017 se verificó que la vulnerabilidad se había reintroducido en esa versión.

La aplicación de transporte público "BA cómo llego", desarrollada por el Gobierno de la Ciudad, registra en Google Play más de 1 millón de instalaciones y requiere de los usuarios los siguientes permisos: Ubicación aproximada (basado en la red) y precisa (basado en el GPS), acceso a fotos, datos multimedia y archivos, el almacenamiento de archivos, incluído el puerto USB, información de la conexión WiFi, ver las conexiones de la red y acceder a ellas completamente, ver la configuración de los servicios de Google, entre otros