Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/07/2012
Descubren importantes vulnerabilidades en las máquinas de Metro y Renfe
Un informático español ha descubierto un sistema para vulnerar la seguridad de las máquinas de billetes de Metro de Madrid y de Renfe. La vulnerabilidad permite acceder a los sistemas y, entre otras cosas, extraer datos registrados, entre ellos los números de tarjetas de los clientes del servicio que han optado por ese modo de pago.
Los sistemas informáticos de Metro de Madrid y de Renfe para la compra de billetes no son tan seguros como parecían. Estos sistemas han ido sustituyendo a los clásicos vendedores de ventanilla, pero las empresas que regulan ambos servicios deben mejorar su seguridad si quieren que sigan siendo útiles.
En concreto, un informático español llamado Alberto García Illera ha sido el responsable de denunciar la falta de seguridad de estos sistemas. El joven de Valladolid ha explicado en la conferencia DefCon de Las Vegas que los puestos informáticos de venta de billetes de Metro y Renfe presentan importantes carencias.
Según el Mundo, García Illera ha realizado muestras de cómo vulnerar los sistemas de las máquinas táctiles de venta de billetes en ambos servicios. Aprovechando vulnerabilidad y fallos en el sistema, el joven informático ha conseguido adquirir billetes especiales, acceder al sistema de cámaras de videovigilancia de Metro e incluso al registro de tarjetas de crédito de los clientes.
En el caso de los sistemas de Renfe las posibilidades son similares. García Illera ha explicado que penetrar en el sistema de los equipos de Renfe, administrados con Windows XP facilita la libertad necesaria para acceder a información crítica de los usuarios y manipular el sistema sin oposición.
Se trata de fallos de seguridad importantes, que ponen en peligro la seguridad de Metro y Renfe y la privacidad de los usuarios. El informático español se ha puesto a disposición de ambas compañías para ayudar en la subsanación de las vulnerabilidades, de forma que en el futuro ambos sistemas sean realmente seguros y no corran peligro.