Archive

Posts Tagged ‘sube’

SUBE: la seguridad informática en duda

agosto 12, 2012 Deja un comentario

SUBE: la seguridad informática en duda

Expertos en protección de datos cuestionan las falencias del sistema; denuncian robo de identidad y demoras en el trámite online

Miércoles 14 de marzo de 2012

Por Cynthia Palacios  | LA NACION

 

“Es una solución ágil y sencilla diseñada para el transporte público de pasajeros”, rezaba el eslogan. Pero hacerse de una tarjeta SUBE resultó poco ágil y menos sencillo para miles de usuarios del transporte público. Y para muchos, más que una solución, obtener la tarjeta más nombrada de los últimos tiempos resultó un dolor de cabeza.

Con la disminución de los puestos de entrega del plástico del Sistema Unico de Boleto Electrónico (SUBE), de 600 a 10, el eje de la polémica pasó de las visibles -e interminables- colas a un terreno casi invisible: el virtual. Los pasajeros denuncian robo de identidad, pérdida del crédito, problemas para seguir el trámite por Internet y escasas medidas de protección de sus datos personales.

La Secretaría de Transporte asegura que se entregaron más de 11 millones de tarjetas, y la falta de plásticos en los puestos callejeros hizo que colapsara la página web oficial luego de que se tramitaron 12.000 en dos horas.

La falta de un usuario registrado con su correspondiente contraseña es la primera alarma que detectan los especialistas en seguridad informática consultados por LA NACION.

“La falencia más grande es que no tiene ningún paso de seguridad”, opinó Cristian Borghello, licenciado en sistemas y director del sitio segu-info.com.ar.

“Los datos de los recorridos que figuran en la SUBE son personales y están amparados por la ley 25.326, de protección de datos personales. Esa norma dice que toda base de datos tiene que contar con medidas de seguridad adecuadas para evitar su acceso remoto o no autorizado”, explicó el abogado especialista en derecho informático y director de informaticalegal.com , Miguel Sumer Elías.

La vulnerabilidad informática del sistema inquietó a los integrantes del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad, que libraron un oficio a la Secretaría de Transporte, cuya respuesta están esperando. “Queremos que el sistema ofrezca garantías personalizadas y se pueda constatar que el usuario está averiguando sobre sí mismo. Sabemos que hay bases de datos públicas con más elementos que la SUBE y esta tarjeta no será un sistema de información de primera línea, pero es vulnerable”, consideró Eduardo Peduto, a cargo del centro.

“La disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales establece tres medidas de seguridad. La SUBE no cumple ni siquiera con las medidas de seguridad mínimas”, destacó Elías.

Peduto contó que la defensoría porteña recibió varios casos de ciudadanos que pidieron su tarjeta a través de la página web. “Después de algunos días recibieron como respuesta que había sido rechazado porque ese peticionario ya tenía una tarjeta SUBE otorgada”, relató.

“El robo de identidad de las tarjetas es notable, porque no hay controles”, lamentó Elías. En el sitio que dirige recibieron más denuncias de usuarios que fueron a tramitar su tarjeta y se encontraron con la sorpresa de que ya había sido pedida por otra persona. “En esos casos la carga de la prueba corresponde al afectado. La denuncia debe hacerse por un teléfono que jamás te atienden”, agregó.

“Cualquiera que llame al número del SUBE y diga que cree que le robaron la tarjeta, al informar un número de documento le dan el número de la tarjeta -señaló Borghello-. Si pensamos en los más chicos y en la cantidad de robos que hay, nos preocupa que con tanta facilidad se pueda planificar un delito contra un menor.”

Los responsables del sitio Segu-Info se pusieron en contacto con la página oficial para que mejoren este sistema de control de las tarjetas y les explicaron que los datos son almacenados porque “si la tarjeta es perdida o robada, ellos la bloquean y el usuario recupera el dinero que tenía cargado al momento de la pérdida”. “Lo que no explican es por qué esa información se encuentra publicada casi sin control”, afirmó Borghello.

“Creo que el sistema se implementó muy rápido, sin pensar en el daño que podía ocasionar”, reveló el especialista en Derecho de las Nuevas Tecnologías y Protección de Datos Personales Daniel Monastersky, director del sitio identidadrobada.com. “El alta se debería dar con un nombre de usuario y contraseña. Lo comparo con el home banking : tienen datos que son mucho más sensibles, pero cumplen con medidas de seguridad y uno confía en el banco”, destacó.

“La preocupación es exagerada. No creo que se pongan a hacer inteligencia ni que el Estado esté armando un Gran Hermano de la tarjeta SUBE”, dijo el fiscal general Ricardo Sáenz, especialista en delincuencia informática. Y objetó. “Está bien que junten nuestros datos, pero no que sean accesibles para cualquiera”.

Complicaciones

 

  • Robo de identidad: los usuarios se quejan de que, al tramitar la tarjeta, el proceso es rechazado porque ese beneficiario ya tenía una tarjeta otorgada. Comienza allí una batalla legal donde deben demostrar que no la han solicitado.

 

  • Carga misteriosa: algunos pasajeros se quejan porque desaparece el dinero de su tarjeta y el trámite para recuperarlo puede demorar más de un mes .

 

  • Dinero en el ciberespacio: otros usuarios explican que, al renovar la tarjeta, el crédito que tenían cargado no aparece en la nueva tarjeta. ¿Cómo recuperarlo? En las mismas oficinas que expiden la tarjeta, donde las colas son larguísimas.

 

  • Virtual, pero en persona: algunas personas que tramitaron la tarjeta a través de la página web reciben luego una respuesta de que no pudo identificarse su domicilio y deben retirarla personalmente en una oficina de la Anses. Otra vez colas interminables. Una vecina de Munro que tuvo este problema contó que a su marido, ante un trámite igual, le llegó al domicilio sin problemas.

 

  • Al alcance de todos: los especialistas en seguridad informática señalan que sabiendo el número de documento de una persona se puede conocer, vía telefónica, el número de la tarjeta SUBE y así conocer sus recorridos.

Fuente: LANACION

Con SUBE sí vas a pagar más caro: el fin de la privacidad

agosto 6, 2012 Deja un comentario

Actualización (01/02/2012): Un análisis del abogado Marcelo Temperini en esta entrada del sitio El Derecho Informático: […] No veo realmente la necesidad ni fundamento de informar los datos de viajes realizadas, que sí son datos personales, que sí deben ser protegidos adecuadamente. Nuestra propia Ley de Protección de Datos Personales en su art. primero, establece que su finalidad es garantizar el derecho al honor y a la intimidad de las personas y desde mi punto de vista, la publicación de manera cuasi liberada de itinerarios de viajes, afecta sin dudas la intimidad de los usuarios de una manera irrazonable e injustificada. […] (El sistema) Cumple con la Ley Nº 25.326 de Protección de Datos Personales? En principio, el site muestra el isologotipo debajo. Esto quiere decir que cumple con las normas de seguridad exigidas en el art. 9 de la Ley? No necesariamente, sólo implica que se inscribio la base. Son datos personales los revelados por el sistema? Cumple con las normas de seguridad exigidas? Comencemos por el principio….

Actualización (01/02/2012): El diputado (CC-ARI) Oscar Negrelli también señaló en su blog que S.U.B.E viola la Ley de Protección de Datos Personales.


Recientemente, un spot publicitario de la Secretaría de Transporte daba a conocer la noticia de que los usuarios que no contaran con la tarjeta SUBE (Sistema Único de Boleto Electrónico) pasarían a abonar la tarifa de transporte para el área metropolitana y del Gran Buenos Aires sin los subsidios actuales que recibe del Estado Nacional.

Esto implica para los usuarios del servicio de transporte público dos cuestiones obvias: la primera, que deberán sacar la tarjeta antes del 10 de febrero si no quieren sufrir el aumento de tarifas; y, la segunda, que efectivamente se aumentará la tarifa del transporte público metropolitano y del Gran Buenos Aires. Sin embargo, hay una tercer cuestión que sólo ha empezado a mencionarse recientemente, y es el problema que reviste la tarjeta SUBE para la privacidad de los datos de los ciudadanos y el resguardo posterior de dichos datos. El sistema SUBE genera un registro de todos los viajes que realiza la persona en los que paga con la tarjeta y luego los guarda en una base de datos controlada por la Secretaría de Transporte.

Derecho a la intimidad

Hasta ahora, la adhesión al sistema SUBE era optativa; el gobierno dispuso hace más de un año atrás diferentes centros de promoción de la tarjeta (en boleterías de subte, en correos y otros puntos) y también hacía el trámite de adhesión a la tarjeta en lugares ampliamente concurridos como la Feria del Libro o Tecnopólis.

A pesar de que para obtener la tarjeta siempre fue necesario dar los datos personales (incluyendo el DNI) y a pesar de que utilizar la tarjeta deja un registro de los viajes que realiza el usuario, hasta ahora no se había planteado la obligatoriedad del sistema para acceder al subsidio. Según los dichos de Juan Pablo Schiavi, el Secretario de Transporte de Nación, la medida de subsidiar a personas y no a empresas (como se venía haciendo hasta ahora), es para “saber a ciencia cierta quién es el que verdaderamente requiere tener el subsidio total o parcial de lo que cuesta el boleto de colectivo, tren o subte”. Agregó Schiavi además que esta medida permitirá identificar “a muchos ciudadanos que tienen que tomar tres medios de transporte para llegar al trabajo para que puedan integrar esos viajes pagando una tarifa o un tramo único.”

Si bien en un principio podría ser una idea razonable establecer un subsidio diferencial para los sectores más carenciados o la imposición de una tarifa de tramo único para quienes requieren más de un medio de transporte, definitivamente su implementación a través del sistema SUBE no lo es. La recolección por parte del Estado de los datos de transporte de todos los ciudadanos y su posterior guarda en una base de datos, es una medida abusiva e innecesaria que invade la privacidad y viola el derecho a la intimidad del que gozan los ciudadanos.

No sólo es una medida abusiva, sino que además el sistema de acceso a los datos personales referidos a los viajes es accesible para todos y no sólo para la persona titular de la tarjeta. Basta con ingresar el número de la tarjeta en la página oficial de SUBE, y sin contraseña de ningún tipo se podrá acceder directamente a los registros de viajes que el usuario haya realizado con SUBE. Esto entra en clara violación de las medidas que dispone en su artículo 9 la Ley de Protección de Datos Personales, Nro. 25.326:

1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

¿Controlar a las personas o a las empresas?

En el diseño de un esquema de subsidios, no hay nada que exija ni la nominatividad ni la recolección de los viajes realizados ni la guarda de esos datos para poder acceder a los subsidios al transporte público. Tal ha sido históricamente el caso de los boletos escolares, los boletos para discapacitados y jubilados y pensionados. Por otra parte, los “Principios regulatorios generales relacionados con la tarjetas del Sistema Único de Boleto Electrónico” (Resolución 650/2011 de la Cominisión Nacional del Transporte, CNRT) establecen en sus artículos 1.1 y 1.3 que el sistema podrá ser tanto nominado como no nominado (es decir, sin entregar datos personales para el SUBE) y que dicha decisión deberá quedar a cargo del usuario del SUBE. No hay nada en la normativa que establezca la obligatoriedad de la entrega de los datos personales ni mucho menos el registro de los viajes que se paguen con la tarjeta.

Schiavi declaró además que “en lugar de subsidiar empresas o compañías transportadoras, queremos subsidiar a personas”. Esta opción de “subsidiar personas” frente a “subsidiar empresas” habla, por un lado, de los exiguos y magros controles que el Estado ha realizado hasta ahora a las empresas de transporte público, tales como los trenes, los subtes y los colectivos. Por otro lado, genera una política de Estado errada, donde en vez de resguardarse los derechos ciudadanos y protegerlos frente a los abusos de las empresas, se opta por controlarlos en vez de controlar a las empresas, quienes son en última instancia las responsables por mentir en sus declaraciones sobre la cantidad de pasajeros que efectivamente transportan. Con este esquema, el usuario deberá pagar con su privacidad la codicia y desmesura de las empresas por un lado, y la ausencia de un control efectivo y correcto del Estado por el otro. Como dice el dicho popular, pagarán justos por pecadores.

Por si esto fuera poco, no se comprende por qué una política de subsidios que se supone pasará a ser dirigida (es decir, subsidios sólo para los que lo necesitan) apunta a recolectar datos de todos los usuarios, y no sólo de aquellos que necesitan el subsidio (nuevamente, como ha sido el caso histórico del boleto escolar o del boleto para discapacitados), lo que constituye un acto de recolección excesivo para el fin perseguido.

Hecha la ley, hecha la trampa

A horas de haberse conocido la noticia, en numerosas redes sociales y en listas de correo comenzaron a surgir ideas sobre cómo volverse anónimo pero aún así utilizando la tarjeta: pooles de tarjetas, intercambio de tarjetas con amigos, entre otros métodos, se pensaron como posibles para la evasión del sistema de recabación de datos tan sensibles como la rutina que realiza una persona.

El problema central es que, más allá de las medidas evasoras que puedan implementar los ciudadanos para ejercer su justo derecho a la privacidad y al anonimato, el Estado no debería recabar este tipo de información por la sensibilidad de dichos datos, por el exceso en el ámbito de recolección y por la posibilidad real de implementar numerosos esquemas que no impliquen el control sobre los ciudadanos.

Teniendo en cuenta las experiencias dictatoriales que azotaron a Argentina hace nada más que 36 años, la pasada fragilidad institucional de los gobiernos democráticos latinoamericanos y las experiencias políticas predecesoras, el gobierno debería ser más responsable respecto de las políticas de recolección de datos que realiza actualmente. Sumado al SIBIOS, estas bases de datos constituyen enormes acervos de información que cualquier empresa y/o dictadura militar estaría más que dispuesta a utilizar con fines absolutamente diferentes para los que fueron recolectados.

El control como política de Estado excede con mucho el accionar y las ventajas o desventajas de un gobierno particular, y es por ello que debe manejarse con extremo cuidado la recolección abusiva de datos innecesarios. Estos sistemas de control deben encender alarmas de alerta para todos los ciudadanos, puesto que vulneran sus derechos civiles más elementales, como el derecho a la privacidad y a la intimidad.

Fuente: ViaLibre.org

Categorías:Privacidad Etiquetas: ,

Consultor en seguridad informática advierte sobre falencias en la seguridad del sistema de boleto electrónico.

agosto 5, 2012 Deja un comentario

¿Cómo se puede evaluar el manejo que hace el Sistema Único de Boleto Electrónico (SUBE) sobre los datos de los pasajeros y la seguridad de la administración de esa información? El único que puede responder esta pregunta es el mismo SUBE, ya que estas políticas son internas de la Secretaría de Transportes de la Nación y que, yo sepa al menos, no se han hecho públicas, más allá de los anuncios oficiales. Sin embargo, en un dictamen de la Dirección Nacional de Protección de Datos Personales (DNPDP) (http://www.jus.gob.ar/media/43580/D2009_013.pdf ) se dice que el SUBE “crea un banco de datos con datos personales de los beneficiarios del sistema” y que el mismo cumple con Ley Nº 25.326. Inicialmente una consulta al sitio web de SUBE muestra el isologotipo de esa dirección, lo que simplemente dice que se inscribió en la base de la DNPDP pero no asegura que el sitio

cumple con la ley ni que se haya realizado una auditoria sobre el mismo para asegurar que se cumple con lo solicitado por dicha ley. Por otro lado, una consulta sobre SUBE en la base de la DNPDP (https://www.sitioseguro.jus.gov.ar/dnpdp/acceso/index.epl) dice que está registrada a nombre de Nación Servicios S.A. y que contiene bases (datos personales, recarga, viajes) pero ninguna contiene descripción de “finalidades principales” lo cual sucede en varios casos que

consulté de otras entidades publicas y estatales. A mi modesto entender luego de leer el dictamen mencionado, no se están cumpliendo la ley.

Además, existe el hecho de que conociendo el número de tarjeta de un usuario, sin ingresar contraseña de ningún tipo, estará al alcance de cualquier persona consultar vía Internet los últimos movimientos de éste, y eso sin mencionar la paranoia colectiva que se ha generado sobre el hecho de que el estado haga persecución de los usuarios, de sus viajes y de su estado financiero.

A mi entender, lo ideal sería que las tarjetas sean anónimas y no haya forma de asociar un viaje con el usuario pero esto plantearía otro problema de la identificación del mismo para entregarle o no el subsidio. Creo que aquí chocan dos problemas: la necesidad del Estado

de identificar al usuario y la necesidad de mantener la información recolectada en forma segura y en lo posible anónima.

Un ejemplo de inseguridad sería por ejemplo que actualmente se puede obtener la SUBE desde el sitio de Transporte.gov.ar pero dicho sitio web tiene vulnerabilidades (ya reportadas a ArCERT por mí) que permitirían obtener la base de datos de los usuarios registrados y luego con esa información también se podría obtener sus viajes. Este es sólo un ejemplo de que no se realiza ningún tipo de análisis sobre los sitios web y de las bases de datos personales de esos sitios gubernamentales y por lo tanto no se cumple la Ley 25.326.

(*) El Lic. Cristian Borghello es director de Segu-Info http://www.segu-info.com.ar/

Fuente: Puntogov.com

Categorías:Noticias Etiquetas: , ,