Hace algunos días (re)apareció algo que ya se había convertido en un mito urbano más: la recarga infinita de Tarjetas Bip!. Tal como en su momento lo fue el poder llamar sin costo desde los teléfonos amarillos y luego el poder hablar gratis desde celulares, poder tener el saldo requerido sin pagar un peso comenzaba a volver a la zona gris. Cabe recordar, por cierto, que ya en 2009 fue noticia la vulnerabilidad que se había planteado y, para hacer una afirmación como esa, es porque se usó.
Cuando un par de usuarios del sistema salta una norma esencial, podría incluso obviarse o peor aún, no detectarse. Distinto es cuando miles de usuarios comienzan a acceder a aplicaciones para lograrlo, de hecho cercano a 30 mil usuarios. La facilidad que agregó en esta ocasión el NFC en dispositivos móviles y las redes para compartir la aplicación la hicieron masiva.
La aplicación
Vi funcionando la aplicación y conceptualmente tiene sentido, ya que el saldo de $10.000 (~20USD) por tarjeta si bien es un monto alto, restringe la posibilidad del saldo infinito en un solo monto. De este modo, evita el riesgo del ladrón que sale a comprar Camaros -no encontré el link del idiota- y como outlier pasa a ser sospechoso. La aplicación además cuenta o contaba, con un cambiador de número de serie, lo que permite o permitía regenerar tarjetas. Era la parte casi perfecta y quizá siga siéndolo. No usé la aplicación pero cercanos me cuentan que funcionó lo del saldo, lo que si no supe si el regenerador de código de tarjeta funcionó, ya que si lo hizo sería (casi) imposible el bloqueo entendiendo que por cada pasada se podría hacer creer al sistema que era una nueva tarjeta la usada. Peor aún si un creativo usa el propio teléfono para autogenerar códigos y usar el aparato como medio de pago.
Finalmente -y ante la masividad del rumor quizá- se optó por ejecutar una rutina que compara el saldo y fecha de carga anterior: si no se hizo una recarga según el sistema modificando el saldo, implica que la tarjeta fue adulterada y se bloquea. Como decía más arriba, no es que la tarjeta desaparezca o se derrita, sino sólo se bloquea el código.
Las personas, no las máquinas
Uno de quienes habría tomado el código y compiló para generar la aplicación, sería Pablo Pizarro, quien dice en emol.com “Yo compilé la aplicación, pero lo que hice fue tomar el código fuente por todos conocido y hacer esta aplicación a la que le puse Reloaded”. Afirma que “No lo hice con maldad, sólo de demostración. Ni siquiera la ando vendiendo. Estoy tranquilo porque creo que no hice nada malo” y cierra con el broche de oro: “Los que cometen el delito son los que abusaron de la aplicación”.
Como decía, anteriormente ya se había expuesto el problemilla. Javier Pérez lo había expuesto públicamente y, cuando este tipo de temas llega a ser expuesto a ese nivel, usualmente es por que tuvo larga vida anterior en el submundo. Si mal no recuerdo, esto también se había expuesto en una conferencia 8.8 hace algunos años.
¿Qué pasará?
Por lo general ante delitos tan masivos como estos, en un país serio como el nuestro, no pasará mucho. A lo más, el bloqueo de las tarjetas lo que para gran parte de los usuarios no será más que eso… pero no para todos. Dentro de las tarjetas hay al menos unas 7 mil TNE, por lo que ante el bloqueo se bloqueará el beneficio de rebaja de transporte, lo que podría gatillar desde “El pasillo de la vergüenza” a las puertas de Junaeb -manjar para matinales- hasta movilizaciones entendiendo la masividad del hecho.
Perdonazos y reprimendas también están en la zona de factibilidad. Una que otra estadía tomando el sol a cuadritos por unos meses podría apoyar la estrategia de “no lo hagan nuevamente”, sobre todo para quienes dejaron el arma en la mesa.
Respecto a la Bip!, probablemente se mantenga. El costo de cambiar todas las tarjetas de millones de usuarios, los torniquetes, máquinas de recarga y tótems -¿eso funciona?- hace que al minuto baje esa opción. Ahora, esto no solo impactará en Chile, ya que como sabemos, no somos el único país que implementó medios de pago similares con “Smart” Cards. El código está ahí.
(585)