Los datos de miles de vecinos de Pilar quedaron expuestos por una falla en el sistema electrónico de pago de estacionamiento medido. La filtración incluye fecha, hora y ubicación del vehículo estacionado.
La negligencia salió a la luz a raíz de una investigación exhaustiva del diario La Voz del Interior, de Córdoba, ya que la empresa en cuestión –Movypark- opera en dicha provincia, donde también quedaron expuestos datos de usuarios. De la misma manera, en esa falla se incluyen datos provenientes de Escobar.
En este sentido, una fuente consultada por El Diario explicó que “el contrato de Plus Mobile Communications S.A. (empresa del mismo dueño de Movypark pero que ofrece servicio de cobro de SMS e IVR) no opera más en Pilar desde el 30 de enero de 2019”.
Sin embargo, la integración que la empresa realizó con el Centro Superior para el Procesamiento de la Información (Cespi), dependiente de la Universidad de La Plata, “continuó operativa de tal manera que fueron expuestos los datos de los usuarios de Cespi con más de 12 mil sesiones de estacionamiento de Pilar y sus respectivas patentes”.
Dichas sesiones corresponden a poco más de 9 mil usuarios, pero los vecinos podrían ser muchos más: el largo listado de patentes corresponde solo a una muestra tomada en la última semana de marzo, mientras se estima que la exposición de datos duró entre 7 y 8 meses, según el diario cordobés.
A su vez, se aclaró que para aparecer en el listado no es necesario ser usuario de la app: “Cualquier persona que haya pagado estacionamiento a finales de marzo podría figurar”.
Vulnerables
El Diario tuvo acceso a dos documentos: uno en el que figuran esos 9 mil dominios; y otro en el que se detallan los días, horarios y coordenadas de ubicación (no se publica para resguardar la privacidad de los usuarios involucrados).
Además, afirman que -en casos extremos-, figuraban números, claves de seguridad y fechas de vencimiento de tarjetas de crédito. Incluso se podía utilizar el saldo de otro usuario, a través de Internet. Si bien esto ocurrió en Córdoba, aún no se confirmó si en Pilar llegó hasta ese punto.
Según La Voz del Interior, la empresa -que en Córdoba tiene concesionado el servicio por diez años más- “primero negó las vulnerabilidades detectadas”, pero con el correr de los días “debió dar marcha atrás y admitió que hubo un error de programación que permitió visualizar los datos personales de un número no informado de usuarios”.
Sin embargo, una fuente consultada por El Diario y que prefirió no revelar su identidad indicó que la firma “reconoció lo ocurrido en Córdoba y Escobar, pero se niega a hacer lo mismo con Pilar, aduciendo que ya no prestaba el servicio desde el 30 de enero”. No obstante, agregó que “al ver el listado, si los usuarios encuentran el dominio de su vehículo será una manera de desmentir a la empresa, porque nunca deshicieron la integración de datos. No estaban operando, pero igualmente filtraban la información de toda la gente de Pilar…”.
El escándalo ya ha provocado una denuncia en Córdoba, donde un abogado presentó una denuncia penal contra la empresa Movypark ante el Ministerio Público Fiscal, a través de la Fiscal del Fuero de Cibercrimen. De la misma manera, ya hay pedidos de Habeas Data. ¿Qué hacer si la patente propia aparece en el listado? Según la fuente, “el usuario tendría derecho a una retribución”.
El dato
El listado de patentes corresponde solo a la última semana de marzo, por lo que los casos podrían ser muchos más.
12mil
sesiones de estacionamiento quedaron expuestas.
