Ayuntamiento de Madrid

Ataque informático a Bicimad

El hacker tiene nombres y saldos de miles de usuarios. La EMT denunció el pasado lunes que ocho estaciones habían sufrido el asalto. Para garantizar la seguridad, el Ayuntamiento ha apagado el sistema

Los usuarios no podrán realizar recargas de saldo ni crear nuevas altas, pero sí podrán usar el servicio de BiciMAD
Los usuarios no podrán realizar recargas de saldo ni crear nuevas altas, pero sí podrán usar el servicio de BiciMADDavid Jardavid jar

Los datos de miles de usuarios del servicio municipal de alquiler de bicicletas BiciMAD no están seguros. Es más, hay un hacker informático que sabe el nombre, apellido y saldo de todos ellos. Este servicio cuenta con 63.000 usuarios. Como ha podido saber LA RAZÓN, el pasado lunes, trece bases del servicio público de la bicicleta sufrieron un ataque informático. El Ayuntamiento ha tenido constancia de que los datos de los usuarios de este servicio quedaron expuestos al autor de este acto delictivo, aunque fuentes municipales insisten en que «en ningún caso se ha producido acceso a las transacciones bancarias realizadas».

“Apagón” del sistema

La Empresa Municipal de Transportes (EMT) responsable de este servicio, además de poner el hecho en conocimiento de la Policía Nacional para que se dé con el autor de esta acción, «ha tomado medidas para eliminar posibles vulnerabilidades en el sistema de forma inmediata», insisten desde el Consistorio. Además, se han puesto en marcha los protocolos para garantizar la seguridad de los datos de los usuarios. Por ello, explican que se ha tenido que «apagar» el sistema. Es lo que se denomina la activación de un proceso de seguridad por el que se restringen las comunicaciones del sistema. Así, los usuarios están teniendo incidencias con el servicio desde el miércoles por la mañana. Hasta que finalice este procedimiento, que durará aproximadamente una semana, los usuarios podrán seguir utilizando BiciMAD pero no se realizarán recargas de saldo, ni se podrá actualizar el mismo ni tampoco se podrán crear altas nuevas. Seis de las trece estaciones afectadas están en la calle Ibiza, Sainz de Baranda, Pedro Bosch, plaza de Felipe II, marqués de Zafra y en la Quinta de la Fuente del Berro.

No es la primera vez que ocurre un hecho similar. En junio de 2014, los terminales de las bicicletas fueron hackeados una semana después de su puesta en marcha para colocar un vídeo de contenido sexual. En septiembre de 2017 también se manipuló el sistema informático de la aplicación.

Desde el Consistorio consideran que uno de los motivos por los que se pueden dar estos ataques es que, durante el proceso de municipalización de BiciMAD «no se auditaron los contratos ni los sistemas, como se ha puesto de manifiesto con este hecho». Sostiene que el equipo de Carmena, liderado por la responsable de Medio Ambiente y Movilidad, Inés Sabanés, se limitó a subrogarse en todos los contratos que Bonopark –la empresa que gestionaba el servicio hasta ese momento– tenía firmados, «sin tomar las medidas necesarias, como auditar sus sistemas». Como en este caso se trata de un contrato con Bonopark, «con una revisión simple de estos equipos instalados en las bases, este fallo se hubiera podido detectar y no se hubiera puesto en serio riesgo los datos de los usuarios ni la seguridad del propio sistema».

Fuentes municipales insisten en que «EMT actualizará puntualmente la información relativa a la resolución de la incidencia a través de sus diferentes canales de comunicación». Insisten en que «la preocupación en todo momento desde el Ayuntamiento, una vez descubierto el hackeo, ha sido garantizar la seguridad de los datos personales de los usuarios y que se pueda seguir usando BiciMAD».

Para 2020, el delegado de Movilidad, Borja Carabante, se ha comprometido en instalar 50 nuevas estaciones.