A los siete años de retraso que acumula el proyecto de la T-Mobilitat y al fracaso de la prueba piloto del Mobile World Congress -que en vez de hacerse con los 35.000 congresistas se limitó a 4.000 voluntarios- se suma un grave error de seguridad en la web que ha obligado a la Autoridad del Transporte Metropolitano (ATM) a cerrarla temporalmente sólo tres días después de estrenarla, el 4 de octubre pasado.
Un experto en software descubrió el error al registrarse en la web para participar en la prueba piloto, y explicó a través de Twitter como accedió, sin utilizar técnicas avanzadas de hackeo y desde la página de inicio de sesión, a una pantalla donde pudo probar los distintos usuarios posibles e identificarse como administrador con «el usuario más cutre». Según el tuit, esto le permitía cambiar todo el contenido de la web, añadir y borrar personas registradas e, incluso, acceder a una lista que contenía los datos personales -DNI, domicilio, teléfono y correo electrónico- de más de 2.000 usuarios.
La ATM resolvió el problema de seguridad en unas dos horas, y recordó, a través de Twitter, que la web se encontraba «en etapa de pruebas». De hecho, trató de quitarle importancia a los hechos: «El error ha permitido durante tiempo limitado el acceso a datos no sensibles«. Sin embargo, estos datos a las que se refiere no son lo mismo que los datos personales que preocupan a los usuarios, sino que, según el Reglamento General de Protección de Datos de la UE, los datos sensibles son datos personales que revelan, «el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos tratadas únicamente para identificar un ser humano, datos relativos a la salud y datos relativos a la vida sexual u orientación sexual de una persona». Un tipo de información que no se reveló porque, precisamente, la ATM no recoge datos sensibles de los usuarios que se inscriben en la prueba piloto de la T-Mobilitat, sino información como la dirección del domicilio, el nombre completo de la persona y el teléfono y correo de contacto.
El consorcio tildó el error de «descuido» y afirmó que abriría «un expediente informativo a la empresa responsable de este desarrollo web». Es decir, en Indra, una de las compañías que forma parte de Soc Mobilitat, la empresa adjudicataria del proyecto, formada también por Caixabank, Fujitsu y Marfina (Grupo Moventia). La corrección del error, sin embargo, no ha podido evitar que finalmente se cierre la web «temporalmente» para, según la ATM, realizar junto con la Agencia de Ciberseguridad «un análisis exhaustivo para descartar cualquier otra vulnerabilidad no detectada».
LA WEB TAMPOCO CUMPLÍA LA POLÍTICA DE ‘COOKIES’
Al agujero de seguridad se suman, además, las quejas de varios usuarios sobre el incumplimiento de la política de cookies de la UE. Según han explicado en las redes sociales, la página no permitía rechazar las cookies no técnicas antes de instalarlas -como exige la normativa- y, tal y como han comprobado mediante una web que las detecta y analiza el consentimiento, la página no cumple con la ley de la UE.
Llama la atención que, desde el 2014 que se puso en marcha el proyecto, y con los más de 100 millones invertidos, la web sólo haya estado tres días operativa debido a los numerosos errores que se han detectado. La ATM se ha sacudido responsabilidades señalando, en palabras del director del Metro de Barcelona, Ramon Bacardí, que es «un producto que te acaban entregando» y que les «pasó por alto algo». ¿Esto significa que el consorcio recibe «un producto» y no lo revisa?
MÁS DE 100 MILLONES ENTERRADOS, DE MOMENTO
Los problemas de la T-Mobilitat no son nada nuevo. El proyecto ya lleva siete años de retraso: según el primer contrato, que firmaron la ATM y Soc Movilidad el 24 de octubre de 2014, las pruebas piloto deberían haber terminado en 2015, y la nueva tarjeta debería estar desplegada en toda Cataluña desde el 2017. Sin embargo, la realidad es que aún no han terminado las pruebas piloto, las máquinas validadoras siguen sin funcionar correctamente en los autobuses, y la web -acabada de estrenar- tampoco está preparada para su uso al no garantizar la protección de los datos personales.
Y no es por falta de recursos económicos: el primer contrato contemplaba una inversión de 70.352.716,70 euros; en el segundo (marzo de 2017) la ATM pagó a Soc Mobilitat 24 millones de euros (más IVA) para modificarlo y por los retrasos imputables a la administración; y en el último (febrero de 2020) la administración destinó casi 12 millones más a cuestiones técnicas, al tiempo que suspendió las penalizaciones por los retrasos en la empresa adjudicataria por valor de 14 millones de euros.
