El listado completo de patentes de usuarios de esas tres ciudades tiene detalles que incluyen el día, la hora y la cuadra en que se iniciaron las correspondientes sesiones de estacionamiento. En todos los casos, se trata de información originada entre el jueves 28 de marzo y el miércoles 3 de abril de este año. El procedimiento que siguió un desarrollista que solicitó el anonimato fue idéntico al que realizó en Córdoba el doctor en Física y desarrollista Gastón Ávila, cuando detectó la primera vulnerabilidad del sistema Movypark: que se podía conocer en qué cuadra estaban estacionados los vehículos.
El viernes próximo pasado, se le entregó al fiscal que investiga la presunta vulneración de la privacidad de los usuarios de Movypark, Franco Pilnik, un pendrive con todas las patentes filtradas y la presunta ubicación de cada uno de esos vehículos en la fecha y hora del inicio de la sesión registrada.
La información filtrada corresponde a 26.419 dominios de vehículos. De estos, 10.027 estaban en la ciudad de Córdoba, 12.086 en Pilar y 4.306 en Escobar.
La empresa, en respuesta a una consulta concreta respecto de los números de patentes filtrados, dijo ayer que "la información recabada del código del mapa se obtuvo mediante la ayuda de algún software para sistematizar la lectura de los parámetros que se capturaron, con alguna intencionalidad premeditada, dado que sólo se puede ver en forma dinámica y en el momento, no existiendo la posibilidad de ejecutar el mapa para fechas anteriores al momento presente".
Efectivamente, la información con el detalle de los vehículos estacionados fue tomada por un software desde el código abierto de la app (en la versión web) durante el 28 de marzo y el 3 de abril, aunque la base de datos generada recién trasciende ahora.
Respecto de los números de las patentes de los vehículos que utilizan el estacionamiento medido, Movypark señaló que "no constituyen una información sensible, y la referencia geográfica de la misma es relativa a una cuadra y no a una ubicación precisa de la misma".
El abogado cordobés Gaspar Pisanu, analista de políticas públicas para América latina de la ONG Access Now, sostiene que es riesgosa la publicación de la ubicación de un vehículo. "El dominio de un vehículo es un dato público, pero lo riesgoso es que se conozca la ubicación. Está mal que se exponga porque es información innecesaria para el uso de la aplicación. Y la locura más grande es que cualquiera pueda acceder a esa información", dice el experto.
Conocer día, horario y ubicación de un auto estacionado permite inferir, por ejemplo, rutinas de una persona y/o lugares que frecuenta. "Alguien con malas intenciones podría determinar cuando una persona no está en su casa", ejemplifica Pisanu.
Un ejemplo de ingeniería social a través de una de las patentes filtradas: el propietario de un Chevrolet Aveo dominio ILA estacionó en Córdoba el 28 de marzo y el 3 de abril después del mediodía, el primer día a las 14.32 y el siguiente, a las 10.22.
"Hay un principio importante respecto de las normas más modernas de datos personales: cuando un servicio solicita información, esta sólo debe ser relevante para el uso de la aplicación. Movypark está juntando un montón de información que no es necesaria para su prestación. No hay ninguna necesidad de brindar el número de teléfono para estacionar en el espacio público", sostiene Gaspar Pisanu.
Hasta ahora, Movypark no brindó a los usuarios cuál fue el destino de los datos personales que recolectó, cuya vulnerabilidad en su resguardo fue demostrada. "La importancia de notificar a los usuarios cuál fue la exposición de sus datos es para que cada uno tenga la posibilidad de tomar las medidas de resguardo que considere necesarias", agrega Pisanu.
Sumario
En julio del año pasado, la Agencia de Acceso a la Información Pública emitió la Resolución 47, en la que se establece un protocolo para las empresas que, como Movypark y el muro de pago Movypay (empresas que comparten la raíz societaria), actúen protegiendo datos y cuando estos son expuestos. En uno de los puntos, la resolución indica qué hacer ante una vulnerabilidad detectada: "Elaborar un informe del incidente de seguridad que tenga de contenido mínimo: la naturaleza de la violación, categoría de datos personales afectados, identificación de usuarios afectados, medidas adoptadas por el responsable para mitigar el incidente y medidas aplicadas para evitar futuros incidente". Esa información debe enviarse a la sede de la Dirección de Protección de Datos Personales.
El organismo nacional confirmó que inició un sumario a Movypark y Movypay, pero por estar el trámite abierto no brindó precisiones.
El fiscal especializado de ciberdelitos, Franco Pilnik, confirmó que durante la semana que termina el propietario de Movypark y Movypay, Carlos Zipilivan, se presentó con su abogado para ponerse a disposición de la investigación judicial. Por ahora, no se le tomó declaración.
Además, luego de que se publicaran las vulnerabilidades de la aplicación Movypark, la Municipalidad le solicitó a la sociedad Movypay –Plus Mobile Communications, que opera la UTE Movypark, que renueve sus credenciales de acreditación ante el Registro Nacional de Datos Personales y que entregue a la Secretaría de Servicios Públicos de la comuna una constancia actualizada del cumplimiento de protocolos de seguridad, tanto para la operación informática como para los medios de pago on line.
Adrián Cena, subsecretario de Tránsito de la Municipalidad, informó que se contrató una "auditoría a los sistemas informáticos" que será determinante en posibles sanciones contractuales a la empresa.
La Municipalidad hará una auditoría
Adrián Cena, subsecretario de Tránsito de la Municipalidad de Córdoba, informó que la comuna contrató a una "auditoría a los sistemas informáticos, las bases de datos y a todos los componentes de la plataforma" Movypark, tarea que estará a cargo de la Fundación Sadosky, de amplia reputación. El resultado de esa auditoría sería fundamental "para tomar determinaciones contractuales", explicó Cena. En la Justicia provincial, el fiscal Franco Pilnik espera los primeros peritajes, que deberían llegar en los próximos días. El viernes, Pilnik accedió al listado completo de patentes de vehículos que pagaron el estacionamiento en Córdoba, Pilar y Escobar.
Datos sensibles. Al usar la aplicación, algunos datos de los usuarios se hicieron accesibles con facilidad a terceros, indicó La Voz.