Ataques

¿Qué conoce sobre ti el torno del metro?

Los sistemas de tarjeta de transporte público se han convertido en la alternativa que más se utiliza en las grandes ciudades. ¿Qué supone esto para la ciberseguridad del usuario? ¿Están sus datos a buen recaudo?

personas en el metro
Photo by Markus Spiske temporausch.com from Pexels

Cualquier sistema informático al que se quiera acceder necesita llevar a cabo dos procesos. Uno de identificación y otro de autenticación. Cada vez una tarjeta de transporte público pasa por un receptor este lleva a cabo dicha tarea. Para ello, el sistema debe conocer los datos del usuario de cada abono.

Es usual que el transporte público de las ciudades trate de homogeneizar sus formas de acceso. Esto se traduce al fin de los tickets individuales, ahora sustituidos completamente las tarjetas.

Los llamados abonos de transporte ahora tienen la versatilidad de ser recargados de cualquier forma. Lo que obliga a cualquier usuario a tener que contar con una para moverse libremente. Ciudades como Madrid, Londres o Tokio ya operan de esta forma desde hace tiempo.

Con los sistemas de ticket tradicional no era necesario que se registrasen los datos del usuario en cada trayecto. Sin embargo, la nueva fórmula obliga a que todas las tarjetas tengan una identidad detrás. El registro contiene datos que van desde el nombre o foto de la persona hasta su domicilio o información de su tarjeta de crédito.

Todos los tornos de acceso al metro tienen contacto directo con una centralita para autorizar o denegar el acceso. Un sistema central que, obviamente, puede ser ciberatacado. Esto implica que exista un registro de cada vez que un usuario hace utiliza su tarjeta.

Haciendo resumen, tener una tarjeta de transporte público tiene consecuencias en la ciberseguridad similares a registrarse en un sitio web con el correo electrónico. Por ello, es necesario tener la misma precaución que en esos casos.

El primer paso es que tanto los proveedores como el usuario sean conscientes de la posible problemática. Las empresas de transporte deben tener esto en cuenta para desarrollar sus redes de autorización y hacerlas ciberseguras.

Soluciones a un problema… ¿menor?

Como primera solución, los especialistas coinciden en que sería interesante tratar la adquisición de una tarjeta de transporte como un contrato. Así, el usuario tendría que aceptar los términos de este haciéndole tomar consciencia. Mientras, las empresas se verían empujadas a asegurar ciertas condiciones mínimas de ciberseguridad.

La segunda tiene que ver con el tipo de autorización de acceso llevada a cabo en cada caso. Las dos más frecuentes son el control de entrada discrecional y el obligatorio-MAC y DAC por sus siglas en inglés-. El primero es simplemente comprobar que la identidad del usuario está registrada en el sistema. La segunda examina el grado de autorización para dar el permiso.

Ambos son procesos sencillos de descifrar y rastrear. Por ejemplo, las acciones bancarias usan sistemas de mayor complejidad. La rapidez a la que obliga el transporte público, hace ineficientes prácticas como la autentificación vía SMS o similares. Esto obliga a que los responsables tengan que enfrentarse a los problemas individualizados de forma rápida.

Pese a todo, no existen motivos para hacer saltar las alarmas. No hay constancia de ataques masivos de robo de datos o alteración de las condiciones de autenticación. Por otra parte, sí existen pequeños problemas como los recientes altercados surgidos de la implementación del pago con tarjeta en la EMT de Madrid.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.