Sobre la actuación de FGV ante la exposición grave de datos personales

Esta mañana se ha publicado en el medio Valencia Plaza que Ferrocarrils de la Generalitat Valenciana ha presentado una denuncia contra el ingeniero informático que advirtió el pasado mes de diciembre de la existencia de un agujero de seguridad en las aplicaciones de Metrovalencia y TRAM de Alicante.

Desde la Associació Valenciana pel Transport Públic (AVPTP) queremos dar nuestra opinión sobre este asunto. Hemos estado en contacto desde el primer momento con el usuario que descubrió el agujero de seguridad y queremos decir que cuenta con todo nuestro apoyo. Si no fuera por su auditoría, la cual debería haber sido realizada por la propia empresa de transporte, actualmente continuarían expuestos a todo el mundo a través de internet los datos personales de miles de usuarios, pudiendo ser robados y utilizados para fines fraudulentos por cualquier persona, especialmente porque incluían datos personales muy sensibles. Por lo tanto, cuenta también con nuestro agradecimiento.

Nos parece vergonzosa e indignante la actitud de la empresa pública Ferrocarrils de la Generalitat Valenciana al haber denunciado al ciudadano que alertó de este grave problema de seguridad, en lugar de asumir responsabilidades y tomar medidas para que los futuros desarrollos tecnológicos de Metrovalencia y TRAM de Alicante se lanzasen con las máximas garantías. Consideramos que se trata de una acción intimidatoria, un aviso a navegantes dirigido a evitar que la ciudadanía fiscalice el servicio que prestan, con la amenaza de tomar medidas legales, algo totalmente reprobable.

Ante las declaraciones que ha realizado la consellera María José Salvador, preguntada sobre este asunto en rueda de prensa, nos hemos sorprendido de que se encuentre totalmente desinformada y confundida sobre las actuaciones judiciales que ha emprendido el equipo directivo de FGV —al mando del director gerente Juan Andrés Sánchez Jordán—, ya que ha dado una explicación completamente falsa que no se ajusta a la realidad.

Según el razonamiento que ha hecho ella misma en la rueda de prensa, la denuncia debe hacerse contra el creador del agujero de seguridad, que ella cree que fue "un hacker dentro de FGV”, cuando se debió a la ausencia total de seguridad de la aplicación desarrollada por una empresa externa. La consellera cree que el ciudadano que descubrió el agujero de seguridad no ha sido denunciado cuando la realidad es justamente la contraria; y nosotros hemos tenido acceso a un documento firmado digitalmente por el director de la empresa reconociendo este hecho.

Por tanto, la AVPTP pide a la consellera que, como presidenta del consejo de administración y máxima responsable de Ferrocarrils de la Generalitat Valenciana, tome cartas en el asunto inmediatamente y obligue a la empresa pública a actuar de forma digna:

  • Reconociendo públicamente el error cometido, ya reconocido en privado ante la Agencia Española de Protección de Datos.
  • Cesando la persecución contra el usuario que descubrió la exposición de los datos.
  • Pidiendo disculpas a los usuarios afectados.
  • Tomando nota de los errores cometidos y comprometiéndose a hacer auditorías de seguridad y controles de calidad antes del lanzamiento de nuevos desarrollos tecnológicos.

Las cosas deben hacerse de otra forma, con dignidad y buena fe, que es lo que se espera de una empresa pública que está al servicio de la ciudadanía.