La "Ekoparty" se autoproclamó como la cumbre de "hackers" más importante de América Latina en sus 15 años. Los organizadores dicen que es "como un Lollapalooza de la seguridad informática", un evento atrae a los interesados en hacking. En su edición de este año destacaron un encuentro que promete develar los misterios tecnológicos de las tarjetas de transporte que usamos en colectivos, trenes y subtes, como la SUBE.
Los organizadores del evento contaron que el sistema tiene ciertas vulnerabilidades, esto quedó claro tras el arresto de un joven mendocino de 20 años por haber creado una app que recargaba saldo ilegalmente en el sistema Redbus que se utiliza en Mendoza. "Las vulnerabilidades son muy técnicas. Pero en palabras simples, se basan en la manipulación de la información interna de las tarjetas. Por un lado, es posible crear 'capturas' del saldo en un momento dado y luego, a través de la manipulación de la comunicación entre el lector y la tarjeta, restaurar el saldo y volver a un estado anterior al efectuar un viaje. Esto se puede hacer múltiples veces", explicó Federico Kirschbaum, fundador y organizador de Ekoparty en diálogo con TN.
"Por un lado, el acceso a la información interna de la tarjeta, el cual se efectúa haciendo abuso de vulnerabilidades de la tarjeta en conjunto con el hackeo de aplicaciones Android publicadas por SUBE", indicó Kiurschbaum. Por otro lado, se analiza la forma en la que se almacenan saldos en cada una. "Una vez analizado el comportamiento de los datos almacenados, se encuentran formas de abusar de los mismos para poder hacer transacciones que no debería permitir un sistema billetera virtual, por ejemplo repetir viajes con el mismo saldo o inutilizar una tarjeta simplemente acercándose al plástico con un teléfono NFC", explicó.
En este sentido, el fundador de la "Ekoparty" describió que la tarjeta "es vulnerable, pero al cabo de unos días el sistema de transporte va a detectar que existe una inconsistencia entre el saldo ingresado al sistema y el saldo utilizado, por lo cual se bloquean las tarjetas que se detecten como fraudulentas. Si bien hay problemas de implementación que permiten operaciones fraudulentas, los ataques quedan detectados y no pueden explotarse para obtener un beneficio económico siquiera a gran escala".
Para dar cuenta de la poca viabilidad de esos ataques, Kirschbaum agrega que "se necesitan aparatos muy caros para poder siquiera hacer un viaje gratis y el proceso que se necesita ejecutar para poder abusar del sistema es único y especifico para cada tarjeta".
El investigador en seguridad Dan Borgogno, que estará a cargo de la charla sobre la SUBE y tarjetas afines, dijo que las fallas fueron reportadas apenas se encontraron. "¿Por qué no se solucionaron? A mi entender, por el tiempo, inversión y trabajo que requiere corregir todas las tarjetas sin perder el saldo de los usuarios del sistema", opinó.
Durante el evento que atrae a toda la comunidad informática dedicada a desarrollar técnicas de mejora prometen presentaciones sobre las investigaciones más importantes del año sobre explotación de vulnerabilidades y "malwares", talleres, capacitaciones, exposiciones sobre sistema de banca, y otra reunión que vale la pena agendar que girará en torno a las tecnologías anti-trampa que se implementan en competencias de e-sports.