En un encuentro de hacking analizaron si es posible hackear la SUBE

En la última jornada de la feria de tecnología más importante de América Latina, que se llevó a cabo en el Centro Cultural Konex de la ciudad de Buenos Aires, un hacker puso a prueba la seguridad del sistema de las tarjetas para el transporte, a pesar de que se trata de un plástico de los más seguros en lo que se refiere a tarjetas de proximidad.

Los asistentes al Centro Cultural Konex escuchando atentamente una de las conferencia de la Ekoparty.


Escuchar la noticia



La última jornada de Ekoparty, la feria de hacking y tecnología más importante de América Latina, concluyó con un tema que involucra a toda la comunidad: la seguridad de la tarjeta SUBE, el monedero electrónico que utilizan 14 millones de usuarios del transporte público de 37 localidades de todo el país.

El cordobés Dan Borgogno, quien se desarrolla como Backend Software Engineer en Mercado Libre y en sus ratos libres despunta el vicio con el hacking, presentó el viernes en el auditorio principal de la Ciudad Cultural Konex su exposición sobre cómo logró vulnerar la seguridad informática de la tarjeta SUBE.

Como suele suceder con los asistentes a este tipo de ferias como la Ekoparty, la motivación de Dan es el ejercicio de poder "hackear algo, entender la tecnología, incluso destriparla" y pensar cómo implementaría las soluciones. "Me produce mucha satisfacción encontrar un problema y resolverlo", destacó.

Su experiencia con el hackeo de este tipo de monederos electrónicos tuvo sus inicios cuando decidió investigar el funcionamiento de la tarjeta SATBUS de Río Cuarto y las de Red Bus que se utilizan en Córdoba Capital y Mendoza. Tras realizar una serie de ataques que no revestían de complejidad, allí confirmó que ambas eran ampliamente vulnerables a diferencia de la SUBE: "Con ellas se puede viajar directamente gratis", remarca.

Los asistentes al Centro Cultural Konex en una de las conferencia de la Ekoparty.

La SUBE es una tarjeta mifare plus, de las más seguras en lo que se refiere a tarjetas de proximidad, la cual almacena el saldo encriptado por un algoritmo desconocido. Tiene un sistema operativo que se encarga de administrar la información y un identificador de usuario (UID) que identifica la tarjeta como una unidad individual. Tanto el cobro como la acreditación del saldo se materializa mediante el protocolo NFC que emite señales entre la tarjeta y el lector.

"No son ataques que valgan la pena realizar por el costo, primero, y luego por el riesgo que conlleva, ya que se está realizando un delito informático", dice Dan.

Para poder desarrollar el hackeo, implementó mucho tiempo, estudio, prueba y error. Debió aprender a utilizar controladores, placas NFC y comprar equipos -calcula que invirtió 15 mil pesos-, pero no lo hizo para viajar gratis sino para tratar de comprender cómo funcionan las cosas. "Fue un proceso exhaustivo, engorroso, pero me parece que valió la pena", dice.

"Mi objetivo no era conseguir la forma de viajar gratis, sino simplemente demostrar su vulnerabilidad", señaló.

Dan demostró que es posible ingresar al sistema de saldo de SUBE, pero la tarjeta tiene la capacidad de rastrear lugares y horarios de las personas que realicen inconsistencias en el sistema, con lo cual un hackeo con fines delictivos sería rápidamente detectable. "Celebro lo de SUBE porque no solo han logrado complejizar el acceso a la información de la tarjeta en todos los niveles, sino también un sistema de detección a gran escala", destaca.

A diferencia de lo que puede llegar a creerse, en la tarjeta SUBE no es posible cargarse saldo de forma indefinida; sí es posible "congelarlo" para poder efectuar viajes sin límites. Un ataque informático que, según Dan Borgogno, aún no es posible de detener.

"Creo que ellos son conscientes de las vulnerabilidades de la tarjeta. Me puse en contacto con ellos vía email, pero no he tenido respuesta. Te repito: si alguien quisiera realizar el ataque podría hacerlo, pero es muy costoso y tiene mucho riesgo", remarcó el hacker.

Otro de los mitos que Dan Borgogno desterró en Ekoparty en torno al crédito de estas tarjetas es la idea de poder robarle saldo de forma indiscriminada. "A simple vista no sería posible recoger dinero de otras tarjetas mediante algún ataque informático, por la infraestructura", afirma.

"Mi idea no es alentar a que realicen prácticas delictivas, ya que es un fraude porque están robándole plata al Estado", aclara. E insiste: "Para lograrlo tienen que invertir mucho dinero en equipos y mucho tiempo. No vale la pena porque hay mucho riesgo".



Gentileza: Hernán Marmol | Clarín


Dulces Secretos - Bandejas de desayuno


Dulces Secretos - Bandejas de desayuno