Tarjetas hackeadas: Dime dónde vas y te diré mucho sobre ti
Por Vladimir Garay
Vladimir Garay es periodista y dirige el equipo de incidencia pública en
Derechos Digitales
Un fallo de seguridad en el sitio web de la Tarjeta Nacional Estudiantil permitía a cualquiera con suficiente tiempo, ganas y paciencia acceder a toda la información almacenada en el sistema durante los últimos tres meses. Solo bastaba conocer un nombre y tener acceso a internet. El análisis de estos datos puede revelar mucho sobre una persona: los lugares que frecuenta, sus rutinas diarias y más.
Estamos en la sede de la Federación de Estudiantes de la Universidad de Chile conversando con su presidenta, Camila Rojas. Y aunque acabamos de conocernos, sabemos mucho sobre ella, particularmente sobre el modo en que se desplaza por la ciudad.
- Esta es la línea de autobús que usas para llegar a tu casa. Anoche te quedaste acá hasta tarde y en tu BIP! tienes $1880.
Con la ayuda de Google y unas pocas líneas de código, tenemos acceso a la información que el sistema de transporte ha recabado sobre Camila durante los últimos tres meses: las líneas de autobús que utiliza, las estaciones de metro que frecuenta, los horarios de sus viaje y las sumas de dinero que abona a la tarjeta BIP, utilizada en Santiago para pagar el transporte público.
Nos tomó alrededor de cinco minutos obtener la información y con un poco más de tiempo para analizarla tendríamos más que contarle a Camila sobre su propia vida. Cuando le pregunto qué se siente escuchar a dos completos extraños recitar su información personal, me responde “alta vulnerabilidad”.
- Es pasar a llevar el quehacer cotidiano que uno tiene. Para cualquier persona es grave que venga otro y tenga tus datos, así, tan fácil.
BIP!
Introducida en 2005, el uso de la tarjeta BIP! como medio de pago es una de las principales transformaciones que experimentó el sistema de transporte público con la entrada en vigencia de Transantiago, el polémico plan que prometía revolucionar el modo en que los habitantes de la capital chilena se desplazaban por la ciudad y que tantos dolores de cabeza, frustraciones y malos ratos ha propinado tanto a los usuarios como al Gobierno, particularmente a la presidenta Michelle Bachelet, a cargo de implementarlo durante su primer mandato.
Y aunque las críticas al sistema son varias, pareciera ser que la tarjeta BIP! ha sido adoptada de buena forma por los santiaguinos. Junto con posibilitar un sistema de transporte integrado -donde el valor de un pasaje permite realizar un viaje en metro y tomar hasta dos autobuses en un lapso de dos horas- el cambio en la forma de pago además ha ayudado a que a los choferes de autobús sean menos propensos a los asaltos, puesto que ya no llevan consigo la recaudación en efectivo.
También ha sido beneficioso para los estudiantes, quienes ya no tienen que recibir los cuestionamientos y humillaciones de los chóferes para acceder a la tarifa especial rebajada, tan comunes en el sistema anterior. Basta acercar la tarjeta al validador y el sistema automáticamente realiza el descuento. Se trata de una BIP! especial, de uso estrictamente personal, conocida como TNE: Tarjeta Nacional Estudiantil.
Junto con la implementación de las tarjetas surgió también la posibilidad de recabar enormes volúmenes de información sobre el modo en que el sistema de transporte es utilizado. El análisis de estos datos permitiría descubrir tendencias y solucionar problemas de frecuencia, recorrido y localización, entre otros.
Parte de esta información es accesible en línea: con una tarjeta BIP! regular, basta ingresar el número de la tarjeta para ver cada uno de sus movimientos. Dado que no hay ninguna manera de ligar una tarjeta a un usuario, los datos se mantienen anónimos (salvo, claro, que alguien pueda acceder físicamente a la tarjeta, recordar el número y tenga absoluta certeza de que esa tarjeta está siendo efectivamente usada por cierta persona. Lo que tampoco es tan complicado de hacer, por ejemplo, para un marido celoso).
No así en la TNE que, por ser nominativa, liga automáticamente los datos a una identidad, fácilmente rastreable: cada tarjeta está asociado a un número identificador único, conocido comúnmente en Chile como RUT. Y si uno conoce ambos números, puede acceder al historial de la tarjeta.
Así fue como accedimos a los datos de Camila Rojas. Y si nosotros pudimos, cualquiera podía. Solo hace falta suficiente determinación, tiempo y algo de paciencia.
Tarjeta perdida
Como muchas historias contemporáneas, esta comenzó con alguien reclamando en internet.
- Una conocida se estaba quejando por una red social; fue a buscar su TNE a la universidad y no la tenían. Temía que algún tercero la haya retirado y la haya estado usando.
Dispuesto a ayudar, Pedro Aste le explicó que bastaba su RUT para verificar el estado de la tarjeta. Con esa información entró al portal web de la TNE. La tarjeta no había sido entregada, así que nadie la estaba usando.
Pero había algo más: al ingresar el RUT, el sistema revelaba seis de los ocho dígitos que componen el número de la tarjeta TNE. Si podía adivinar esos dos dígitos faltantes, tendría todo lo necesario para acceder al historial de la tarjeta. Con tan solo cien combinaciones posibles, no era nada difícil hacerlo de forma manual; pero como estudiante de ingeniería informática, hizo lo obvio: escribió un pequeño programa que automatizaba la búsqueda. En alrededor de 15 segundos agotó las posibilidades y dio con el número.
Ahí fue cuando decidió contactarse con Derechos Digitales.
Protección de datos en Chile
Los expertos concuerdan: la protección de datos personales en Chile es deplorable. Creada en 1999 más con la intención de proteger a las empresas que tratan datos que a las personas, titulares de dicha información, la ley 19.628 no se ajusta a estándares internacionales, carece de institucionalidad sólida, en la práctica es incapaz de perseguir y castigar los abusos, y, en general, deja a las personas en la más completa indefensión.
De más está decir que la ley no es capaz de enfrentar los desafíos que impone la masificación de internet y las tecnologías digitales, lo que sumado a serias deficiencias desde las prácticas y a la hora de idear políticas públicas, convierten a Chile en un lugar donde, más o menos, todo vale a la hora de compilar, vender o robar bases de datos.
El más reciente escándalo en esta materia es el del Ministerio de Salud. Información sobre pacientes con VIH, mujeres que pidieron píldoras de contracepción y enfermos mentales, con nombre, RUT y domicilio, estuvo disponible a través de la plataforma computacional del Ministerio. Y aunque fueron alertados, pasaron más de diez meses antes que hicieran algo al respecto.
No es el único caso. En 2014 la base de datos completa del Registro Civil fue copiada y robada, incluyendo información de las cédulas de identidad y pasaportes de todos los chilenos. Nunca se halló al culpable. En 2012 era posible revisar la dirección de casi cualquier mayor de edad en Chile, solo se necesitaba ingresar su nombre en el sitio web del Registro Electoral.
Estos son solo algunos ejemplos que ilustran la escasa preocupación de las autoridades por la protección de la información personal a la hora de diseñar una política pública. Es ese descuido el que ha permitido el surgimiento de servicios web que permiten buscar en línea el RUT de cualquier ciudadano, tan solo introduciendo su nombre.
Es así como dimos con el RUT de Camila Rojas. Con ese dato, averiguar el resto era cosa de tiempo.
El gran problema
¿Por qué es tan grave que la información que el sistema de transporte ha recabado sobre los estudiantes en Santiago esté disponible en línea para cualquiera? Porque no sabemos las intenciones de quien busca esa información.
Como suele suceder en estos casos, el gran problema no radica solamente en el acceso a los datos, sino en lo que se puede inferir a partir de ellos: dado que las rutinas de transporte suelen ser constantes, con tres meses de datos a disposición no es tan complicado tratar de entender donde vive alguien, donde estudia y más o menos a qué hora puedo encontrarle en cada uno de estos lugares. Esa información podría ser muy útil para una empresa tratando de perfilar sus productos a un público cautivo, como los estudiantes universitarios de carreras altamente lucrativas, pero también para un psicópata, un acosador o un violador.
¿Y qué pasaría si es la policía la que está tratando de acceder a la información de los estudiantes?
Durante los últimos diez años, los estudiantes se han convertido en una de las principales fuerzas políticas en Chile, con puntos críticos en 2006 y 2011. En un país con una cultura democrática mucho más frágil que lo que le gusta admitir, quienes participan de las demostraciones públicas están expuestos a la represión policial. Recientemente, un informe del Colegio Médico relataba 101 casos de tortura a manos de las policías, muchas de ellas contra estudiantes, mayores y menores de edad.
En varias ocasiones los estudiantes detenidos por la policía han mencionado que se les obliga a revelar sus claves de redes sociales y se toma nota de sus contactos, y en algún momento los mismos Carabineros mencionaron estar construyendo un “empadronamiento digital”, sin dar más luces de qué implicaba ello ni con qué fin específico.
- Es una sospecha fundada entre los dirigentes estudiantiles de que nuestros teléfonos deben estar intervenidos; deben tener mucha información sobre nosotros, sobre todo si es tan fácil acceder. Pero creo que en general no hay tanta conciencia sobre estos temas en los estudiantes, no se sabe mucho, explica Rojas.
Con esos antecedentes, no es raro pensar que podría haber un interés de la policía en usar esta información para monitorear los movimientos de quienes han hecho ejercicio de su legítimo derecho a manifestarse en las calles.
La solución
La falta de protección de los datos almacenados en el sitio web de la TNE es una falla, no una característica. No se hizo pensando en dar a alguien una vía rápida de acceso a información personal, sino que es producto de una cadena de decisiones fallidas en torno a la protección de datos personales, porque no es una preocupación central a la hora de diseñar políticas públicas ni los sitios web de las mismas. Eso no quita que se trate de un problema grave y que se le pueda dar el peor uso posible.
Con eso en mente, fuimos hasta el Ministerio de Transporte a exponer la situación y el problema hoy está resuelto.
Esperemos que a partir de esta situación se haya dado un primer paso en dirección a un cambio institucional, donde la protección de datos personales sea parte esencial de las futuras políticas tanto del Ministerio de Transporte como del Ministerio de Educación.
DOCUMENTOS CONSULTADOS
La recolección de datos en el sistema de transporte público de Santiago: El caso de la Tarjeta Nacional Estudantil (PDF)
