Un investigador español, Alberto García Illera, ha demostrado en la conferencia anual de hackers DefCon, celebrada en Las Vegas, posibles fallos de seguridad que existen en el sistema de control de transportes del metro y el ferrocarril españoles. Según informa el blog de seguridad informática Ontinet, de la compañía Eset, el español dio una charla en la que demostraba cómo se puede acceder al sistema desde los terminales que están a disposición del público y realizar acciones como obtener billetes con descuento o los datos de las tarjetas usadas durante la compra. Ahora sí se puede decir que los precios del transporte público en ciudades como Madrid pueden ser un verdadero robo.
La presentación de Alberto García Illera demostraba la posibilidad de acceder al sistema y obtener abonos descuentos como los que se ofrecen a la tercera edad o acceder al circuito de cámaras de videovigilancia de la red de transportes.
Estos fallos pueden causar graves perjuicios tanto a la empresa como a los usuarios. La mayoría de vulnerabilidades, ha señalado el investigador, que se han presentado consisten en fallos de diseño que pueden ser aprovechados por un atacante externo, tanto con un ataque físico como con un remoto. La parte técnica demostraba cómo acceder remotamente a los terminales utilizando las características del DNS.
Según el laboratorio de seguridad, el objetivo del español es ayudar a solucionar estos graves fallos para que los posibles atacantes malintencionados no puedan aprovecharse y causar daños al sistema o, peor aún, robar datos de los usuarios o, incluso, cometer robos.
Los técnicos del Metro de Madrid están comprobando lo que aseguró en la conferencia García Illera.
A principios de julio, otro investigador español, Sebastián Guerrero, hacía público en su blog una vulnerabilidad en la aplicación de fotografía Instagram. Sebastián denunciaba un fallo en el control de acceso a las cuentas de la aplicación que permitía a cualquier usuario añadirse a sí mismo como amigo en cualquier otra cuenta de la red social y acceder a las fotos de cuentas privadas.