Te cargo la Bip...

Columna Tecnológica por José Miguel Santibáñez

En un mundo sin Google, probablemente habría pasado mucho tiempo sin que fuera noticia… Aunque lo más probable es que fuera otro servicio similar el que nos habría hecho llegar no sólo la información, sino que la herramienta que la causaba.

Los hechos bien conocidos en resumen: En algún momento de su historia, Metro SA decide que su tecnología de boletos para pagar el pasaje (los viejos boletos rectangulares) no son el mecanismo más eficiente para procesar los pagos, y luego de varios intentos (incluyendo un boleto reutilizable), en 2002 determinan usar una tarjeta de proximidad, llamada tarjeta MultiVia, la que se puso en práctica en el año 2003. Luego, cuando se diseñó el sistema del Transantiago y se definió que Metro sería en gran medida, la columna vertebral del sistema de transportes, se determinó utilizar un sistema de pagos muy similar al implementado en Metro, denominado “Tarjeta BIP”, la cual es compatible con la antigua Tarjeta Multivia. Se señaló entonces que la tecnología definida, presentaba suficientes criterios de seguridad: Autentificación según normas internacionales (ISO), cifrado de datos, protección por llaves de 48 bits y números de serie únicos, que –al menos en teoría- daban seguridad a los usuarios respecto de que su dinero en la tarjeta, estaba tan seguro como en el banco. Pero más importante que eso (al menos, para los diseñadores) estaba el hecho de que los administradores financieros (AFT) también estarían protegidos, mal que mal, parte importante del modelo de negocios, está asociado a que la gente “carga” dinero en su tarjeta (un mínimo de $1.000, un máximo de $25.000.-) y ese dinero NO es utilizado inmediatamente, por lo que permite que el administrador financiero “gane intereses” en el intertanto. No está demás recordar que la tarjeta BIP no es una tarjeta gratuita, sino que sus usuarios deben comprar dicha tarjeta y hay cargos extras en caso de tener que bloquearla o cambiarla.

Los otros hechos: Desde hace más de un año, se sabe que hay una vulnerabilidad en el protocolo de seguridad asociado a las tarjetas. Al punto que recientemente se desarrolló una aplicación para celular, que “mágicamente” hace una carga de $10.000.- en una tarjeta que esté al lado del celular. Algunos usuarios probaron la aplicación, y descubrieron que funcionaba sin problemas técnicos en buses y metro… ¿pero y en otros ámbitos?

Primero hay un tema ético, mal que mal, todos sabemos que debemos pagar por los servicios que usamos. Si el servicio no es bueno, no es razón o justificación para robarle. Y está claro que el transantiago es mal evaluado por prácticamente todos los santiaguinos aunque según publicó La Tercera es el mejor de Latinoamérica.

Segundo, está la perspectiva legal: la norma general es que uno puede alterar como le plazca las cosas que compra. Si no están protegidas por un contrato de arrendamiento (y este no es el caso) uno puede hacer lo que quiera con su tarjeta: cambiarle la programación, romperla, usarla para construir un castillo de naipes, etc. Sin embargo, la ley de delitos informáticos, castiga expresamente el que uno maliciosamente altere la información de un sistema informático (en este caso, el del AFT).

Y tercero hay una componente técnica: Muchos de nosotros, teniendo antecedentes de la vulnerabilidad del modelo, asumimos que había un mayor control en cuanto a la carga de las tarjetas, es decir, una mínima validación contra los servidores centrales de las tarjetas BIP.

Hoy, la aplicación ha sido eliminada de aquél sitio donde fue publicada, y aunque probablemente van a perseguir al autor de dicha app, lo cierto es que él la publicó gratuitamente (¿sin fines de lucro?) y ha servido para que por fin reaccionen desde el gobierno y el AFT (Administrador Financiero del Transantiago) acerca de esta vulnerabilidad conocida.

Finalmente, claro, quedan las posibles repercusiones. Dede el gobierno anuncian que se bloquearán todas las tarjetas que hayan sido recargadas desde esta App. En mi opinión, no es un curso de acción válido. Una vez que se quiebran los protocolos de seguridad de las tarjetas, hay una segunda consecuencia: se puede clonar una tarjeta. Si puedo cargarle dinero, entonces es altamente probable que pueda cambiar el número de identificación electrónica. Y eso lleva a preguntar si el que cargó maliciosamente la tarjeta, fue el dueño de la tarjeta real, o uno con una tarjeta clonada. Lo concreto, es que el AFT debiera buscar un nuevo mecanismo de seguridad para sus tarjetas de proximidad y hacer el cambio de todas las más de cuatro millones de tarjetas BIP actualmente en uso. Y si, el costo de dicho cambio, lo debiera absorver el AFT, mal que mal, son los que llevan teniendo utilidades desde que empezó el Transantiago.

No sé si la frase “te cargo la BIP!” como muestra popular de aprecio (junto a otras del estilo de “te hago un queque”) seguirá en boga. Es posible que ahora que podría implicar un pequeño delito informático (no me cabe duda de que aún hay quienes tienen la app instalada) suene aún más “romántico”. Claro que eso, es propio de la cultura popular.