Ekoparty: ¿es posible hackear la tarjeta SUBE y viajar gratis?

La última jornada de Ekoparty, la feria de hacking y tecnología más importante de América Latina, concluyó con un tema que involucra a toda la comunidad: la seguridad de la tarjeta SUBE, el monedero electrónico que utilizan 14 millones de usuarios del transporte público de 37 localidades de todo el país.El cordobés Dan Borgogno, quien se desarrolla…

Ekoparty: ¿es posible hackear la tarjeta SUBE y viajar gratis?

La última jornada de Ekoparty, la feria de hacking y tecnología más importante de América Latina, concluyó con un tema que involucra a toda la comunidad: la seguridad de la tarjeta SUBE, el monedero electrónico que utilizan 14 millones de usuarios del transporte público de 37 localidades de todo el país.

El cordobés Dan Borgogno, quien se desarrolla como Backend Software Engineer en Mercado Libre y en sus ratos libres despunta el vicio con el hacking, presentó el viernes en el auditorio principal de la Ciudad Cultural Konex su exposición sobre cómo logró vulnerar la seguridad informática de la tarjeta SUBE. 

Newsletters Clarín

Lo más leído del día | Enterate de que se habló hoy para no quedarte afuera del mundo

De lunes a viernes por la tarde.

Recibir newsletter

Como suele suceder con los asistentes a este tipo de ferias como la Ekoparty, la motivación de Dan es el ejercicio de poder “hackear algo, entender la tecnología, incluso destriparla” y pensar cómo implementaría las soluciones. “Me produce mucha satisfacción encontrar un problema y resolverlo”, destacó.

Una de las presentaciones de la Ekoparty, ayer. (Martín Bonetto)

Su experiencia con el hackeo de este tipo de monederos electrónicos tuvo sus inicios cuando decidió investigar el funcionamiento de la tarjeta SATBUS de Río Cuarto y las de Red Bus que se utilizan en Córdoba Capital y Mendoza. Tras realizar una serie de ataques que no revestían de complejidad, allí confirmó que ambas eran ampliamente vulnerables a diferencia de la SUBE: “Con ellas se puede viajar directamente gratis”, remarca. 

Mirá también

La SUBE es una tarjeta mifare plus, de las más seguras en lo que se refiere a tarjetas de proximidad, la cual almacena el saldo encriptado por un algoritmo desconocido. Tiene un sistema operativo que se encarga de administrar la información y un identificador de usuario (UID) que identifica la tarjeta como una unidad individual. Tanto el cobro como la acreditación del saldo se materializa mediante el protocolo NFC que emite señales entre la tarjeta y el lector.

“No son ataques que valgan la pena realizar por el costo, primero, y luego por el riesgo que conlleva, ya que se está realizando un delito informático“, dice Dan.

Escuchando atentos. Asistentes a la Ekoparty, ayer. (Martín Bonetto)

Para poder desarrollar el hackeo, implementó mucho tiempo, estudio, prueba y error. Debió aprender a utilizar controladores, placas NFC y comprar equipos -calcula que invirtió 15 mil pesos-, pero no lo hizo para viajar gratis sino para tratar de comprender cómo funcionan las cosas. “Fue un proceso exhaustivo, engorroso, pero me parece que valió la pena”, dice.

“Mi objetivo no era conseguir la forma de viajar gratis, sino simplemente demostrar su vulnerabilidad”, señaló.

Dan demostró que es posible ingresar al sistema de saldo de SUBE, pero la tarjeta tiene la capacidad de rastrear lugares y horarios de las personas que realicen inconsistencias en el sistema, con lo cual un hackeo con fines delictivos sería rápidamente detectable. “Celebro lo de SUBE porque no solo han logrado complejizar el acceso a la información de la tarjeta en todos los niveles, sino también un sistema de detección a gran escala”, destaca.

Mirá también

A diferencia de lo que puede llegar a creerse, en la tarjeta SUBE no es posible cargarse saldo de forma indefinida; sí es posible “congelarlo” para poder efectuar viajes sin límites. Un ataque informático que, según Dan Borgogno, aún no es posible de detener.

“Creo que ellos son conscientes de las vulnerabilidades de la tarjeta. Me puse en contacto con ellos vía email, pero no he tenido respuesta. Te repito: si alguien quisiera realizar el ataque podría hacerlo, pero es muy costoso y tiene mucho riesgo“, remarcó el hacker. 

Otro de los mitos que Dan Borgogno desterró en Ekoparty en torno al crédito de estas tarjetas es la idea de poder robarle saldo de forma indiscriminada. “A simple vista no sería posible recoger dinero de otras tarjetas mediante algún ataque informático, por la infraestructura”, afirma.

Asistentes a la Ekoparty, ayer en el Konex. (Martín Bonetto)

“Mi idea no es alentar a que realicen prácticas delictivas, ya que es un fraude porque están robándole plata al Estado”, aclara. E insiste: “Para lograrlo tienen que invertir mucho dinero en equipos y mucho tiempo. No vale la pena porque hay mucho riesgo”.

Mirá también

Consultados por Clarín, desde SUBE reconocieron que la seguridad “es su máxima prioridad”. El equipo técnico reveló que aplica estándares criptográficos y de seguridad sólidos que sirven para evitar las transacciones con fines maliciosos.

“El mecanismo de seguridad consta de distintos focos. Mantener los estándares de calidad y buenas prácticas de seguridad, más la detección de patrones sospechosos, que son analizados y mitigados, diseñando de esta forma nuevas medidas de control que se implementan de forma automática y permanente, reduciendo los riesgos”, sostienen desde SUBE.