Lo primero es contar que las bicicletas eléctricas funcionan muy bien: cuando funcionan. Conseguir la tarjeta que te permite usarlas fue todo una odisea. Tardé dos días en poder hacerme con ella. Tuve la mala suerte de recibir una contraseña con ya no una, sino dos 'íes mayúsculas' o 'eles'. Nunca lo sabré... Y en el tótem tenía que hacer todas las combinaciones posibles de 'íes mayúsculas' o 'eles' a ver si me daba la tarjeta. O sea, la doble combinación de que no sabía si el tótem funcionaba o no y que tenía que probar cuatro contraseñas posibles cada vez, hizo que consiguiera la tarjeta al segundo día y tras, no sé... ¿30 intentos?
Al final fue en Sol y tuve la suerte de encontrarme con un dispuesto trabajador de BiciMAD que me explicó cómo funcionaba la bicicleta y algunas de las problemáticas que había tenido para conseguir la tarjeta. El modem 3G, me dijo, que no funcionaba bien. Yo pensaba en las manifestaciones y grandes concentraciones de gente cuando la telefonía deja de funcionar y no se pueden enviar datos, y que tal vez no era la tecnología más adecuada para ello, pero la verdad es que no lo sé. De todas formas ya tenía bicicleta y una vez la tienes, el servicio funciona bien.
Sin embargo tengo otras inquietudes, como por ejemplo el hecho de que todas las bicicletas del servicio sean eléctricas; esto facilita el traslado entre grandes distancias en la ciudad (lo que sería la futura red de estaciones, de momento todas son fácilmente alcanzables entre sí sin ayuda del motor). He leído como explicación que “era la oferta más barata”, pero eso no me parece una excusa válida, ya que el servicio de bicicletas está pensado como una ayuda para la movilidad urbana pero se podría haber indicado en las bases del concurso municipal, que ofertaba la concesión del servicio, la obligatoriedad de que, no sé, ¿parte? del parque de bicicletas fuera tradicional, sin motor, contemplando en el servicio el uso “deportivo” de la bicicleta y su efecto en la salud, etc.
Tampoco me gusta el hecho de que se pueda recoger una bicicleta sólo con la tarjeta sin el uso de un número PIN o contraseña. Si la pierdo o alguien me la roba, puede hacerse con una bicicleta “a mi nombre” y supongo que yo respondo por ella. En otros sistemas no es así y hay esa capa añadida de seguridad.
Otra cuestión, menor sí, pero molesta e incomprensible, es la mala localización de las estaciones de bicicletas en los mapas. Ésta, en concreto, me pasé como 15 minutos buscándola y al final estaba en la estación de Atocha, pero ni su posición ni el nombre hacían sospechar que estaría del otro lado de los 10 carriles de coches con isleta en medio. No se veía. No entiendo por qué no está bien mapeada.
Este error de localización se repite en varias estaciones. La de la Plaza de Lavapiés, por ejemplo.
Algo más: la conexión entre la web o la aplicación sigue sin funcionar. Llevo ya como 8 ó 10 viajes en bicicleta y la web me dice que no he recogido la tarjeta. No puedo saber el saldo que tengo.
Supongo que estos últimos problemas se irán solucionando con el tiempo. Tampoco se pueden enviar incidencias por el tótem. Me da un error y, me cuentan por twitter (no el servicio oficial), que es debido a que el número de bicicleta empieza por cero y eso da un error. Volveré a probar. También es habitual encontrarse con estaciones que no funcionan.
Pero lo más preocupante de todo es la parte que no se ve: nuestros datos. Nombres, direcciones, números de tarjetas de crédito... Y eso es una chapuza de tamaño descomunal.
La seguridad.
Esto creo que es lo más preocupante de todo. La noticia la sacaba la Cadena Ser dos días tras la puesta en marcha (con dos meses de retraso, por cierto) del servicio: Un fallo de seguridad de BiciMad deja al descubierto datos personales.
Posteriormente vimos de todo en los tótems: fotos de penes, escritorios de Ubuntus, powerpoints que se hacía el personal... Después: el Ayuntamiento pide al concesionario que reaccione, que denuncie y tal y que ejercerá su derecho a descontar determinadas cantidades, etc. Hace ya dos semanas y como es habitual en este tipo de cuestiones. No hemos vuelto a saber de esto y no creo que sepamos más.
Pero la cuestión del fallo de seguridad parece que es mucho más grave de lo que en realidad se ha admitido. Tengo un amigo que trabaja como administrador de sistemas y es especialista en seguridad informática que se ha ocupado del tema. He mantenido una pequeña conversación con él que reproduzco:
¿Cómo te diste cuenta de que la app de BiciMAD es insegura?
“Tengo una manía que es analizar las aplicaciones móviles que me instalo. Tengo otras que analizan el tráfico que éstas generan y todo el que sale del smartphone y ahí fue donde descubrí que la aplicación de BiciMAD no usaba un protocolo de tráfico cifrado. Al darte de alta mandabas todos tus datos: dirección, DNI, etc. en texto claro a través de la red”.
“No ha sido ningún tipo de hackeo. Es lo más sencillo del mundo. Observar tu teléfono y ver donde va el tráfico. Ha sido chequear mi seguridad. Lo hice en los primeros días de uso de BiciMAD”
“Ves dónde se hacen las peticiones, haces una llamada desde un navegador de un ordenador y en aquel momento te devolvía una lista completa de todos los scripts, certificados, etc, que había almacenados en esa máquina. Y ese mismo servidor que atendía las peticiones de las apps atendía las de los tótems con lo que tampoco era seguro darse de alta desde un tótem. Tu privacidad también estaba comprometida.”
¿A qué tipo de datos pudiste acceder?
“A todos los datos ya publicados por la SER (nombre, dirección, etc..) y otros como las rutas, etc... Además cuando llamabas a un script podías inyectar SQL y así sacar más datos. No saneaban la información que reciben del usuario, lo cual es un error básico de seguridad. Te pueden sacar datos de la base de datos, borrar tablas... Depende de los permisos que tenga la aplicación con respecto a la base de datos.”
“Esto es lo mínimo. Un certificado SSL de seguridad para que las comunicaciones vayan cifradas, sanear los datos que el usuario envía al servidor, para que si tú esperas un nombre, venga un nombre, y no con unas comillas encerrando instrucciones para la base de datos y que tengas que identificarte con un usuario y una clave, por ejemplo, es lo mínimo que se debe pedir a cualquier aplicación que esté online.”.
“Hay otras cosas, el script de cuantos kilómetros llevas o calorías te enseña hashes cifrados de DNIs en vez de un nombre de usuario o similar. Eso con fuerza bruta se puede romper. Es más, sabiendo lo que vas a buscar: un DNI, un número determinado de cifras y una letra, es más fácil dar con la clave de cifrado que han empleado (tarea mucho más sencilla para los que encontraron el código fuente de las aplicaciones con las claves colgado en Internet por la propia empresa). Es un fallo de seguridad y privacidad muy gordo mostrar esa información. Puede que los datos al acceder no sean importantes pero el fallo lo es.”
¿Cuando te das cuenta de la situación que decides haces?
“Lo notifiqué al Grupo de Delitos Telemáticos de la Guardia Civil. Es una cosa que hago regularmente. No es una denuncia formal. Yo solamente se lo digo. En España hay un problema con una ley de 2010 que se refiere a delitos informáticos y que mal interpretada me puede meter en un lío al efectuar determinadas pruebas para comprobar fallos de seguridad en servidores ajenos. Eso es un problema y la GC lo entiende. Nosotros se lo comunicamos a ellos y ellos ya actúan. Hay vías de contactar con ellos de una forma discreta y ellos hacen de pantalla. Si yo se lo comunico a BiciMAD a lo mejor me meto en un lío.”
¿Has comprobado si se solucionaron los problemas?
“Hasta hace una semana seguía igual. Lo que hicieron fue publicar en su Facebook que sus bases de datos estaban aseguradas pero lo único que hicieron fue cambiar el servidor: cambiaron el puerto. En vez de hacer las peticiones al puerto 80 se hacían al 16080 pero seguían los mismos scripts, seguían devolviendo la misma mierda (sic) y seguían sin usar un protocolo de comunicación seguro. Hay muchas más chapuzas. No tienen un dominio para los tótems y cuando cambian un servidor tienen que ir tótem por tótem cambiando la IP uno a uno. Es un montaje muy de aficionado.”
“Sobre las fotos de los tótems ésas que han aparecido de penes, powerpoints y demás: cuando tú instalas un Linux en un kiosko de ese tipo, no lo tienes que instalar completo. Puedes hacerte una distribución sólo con los elementos que te hacen falta, con lo básico. Nunca un Ubuntu completo como es el caso. Yo vi un día en un tótem que si en el momento de hacer la recarga de la tarjeta, al efectuar el pago la comunicación falla, la aplicación rompe y te sale el Ubuntu. Y claro, con la pantalla táctil ya puedes hacer de todo. Y además están conectados a internet sin ninguna restricción. Puedes poner la foto del pene, descargarte películas... Muy amateur”.
Se ha hablado mucho del Ubuntu, de software libre, ¿ha tenido esto algo que ver en este desastre?
“Respuesta corta: no. Respuesta larga: (y es una cosa quiero dejar clara:) estos problemas de seguridad no tienen nada que ver con que se haya usado software libre en la instalación. Es una cuestión exclusiva de no saber lo que estás haciendo. Haciéndolo así con Windows habría salido igual de mal. Un sistema es tan seguro como lo sea la persona que lo monta, y en este caso, pues...
Una de las ventaja que te da el software libre es que puedes adaptarlo a tus necesidades que es precisamente lo que no han hecho esta gente instalando un Ubuntu entero con el LibreOffice para que la gente se pueda hacer sus powerpoints“.
Pues así estamos, amigos. Esta conversación tiene ya una semana y no he vuelto a preguntar a mi amigo por lo que no sé si a día de hoy estas vulnerabilidades están ya resueltas. Entre tanto, he estado usando las bicis. Me ha llamado la atención el hecho de que nadie sepa decirme cómo conseguir una factura de la recarga de 20€ que hice + los 25€ de la cuota anual: en el twitter de BiciMAD me derivaron al teléfono de atención y en éste a “otro día que esté el jefe que sabe” (sic).
Me ha sorprendido ver que me he gastado ya más de 10€ cuando por fin pude ver el saldo en un tótem, ya que en la web no funciona. Tengo que moderar el uso. Del precio del servicio hablaba en la anterior pieza. También me hago preguntas sobre el futuro del material habiendo recibido ya 2 bicicletas con defectos en el motor eléctrico de las 12 ó 14 que he tomado.
Resumiendo. Una vez que te funciona está bien. No me gusta que todas sean eléctricas y auguro que eso dará problemas en el futuro. Será caro mantenerlas y no me extrañaría que más pronto que tarde se hable de que “el servicio no es sostenible” y tal. También como usuario es caro para un uso habitual. Mucho. Ya veremos, pero cuando comparemos estadísticas de uso con otras ciudades y tipología del usuario me temo que nos daremos cuenta de que BiciMAD no es un servicio para el ciudadano sino una herramienta más de promoción turística que beneficia a los 5 ó 6 de siempre. Estamos además en precampaña electoral y ya se sabe... Y creedme que espero equivocarme con esto. De verdad.
Sobre este blog
Interferencia (Wikipedia): “fenómeno en el que dos o más ondas se superponen para formar una onda resultante de mayor o menor amplitud”.
Interferencias es un blog de Amador Fernández-Savater y Stéphane M. Grueso (@fanetin), donde también participan Felipe G. Gil, Silvia Nanclares, Guillermo Zapata y Mayo Fuster. Palabras e imágenes para contarnos de otra manera, porque somos lo que nos contamos que somos.
