Hackers tomaron control de apps de transporte público para obtener viajes gratis

El sistema de transporte público de la ciudad de Manchester, Inglaterra, ha sido víctima de hacking. Acorde a especialistas en servicios de ciberseguridad, un grupo de atacantes no identificados hackeó la app móvil del sistema de transporte para generar boletos de metro y autobús gratuitos.

Explotando una vulnerabilidad en los códigos QR usados por las dos aplicaciones usadas para este servicio, los hackers lograron generar los tickets digitales para usar el servicio de transporte público sin tener que pagar. Ambas apps móviles fueron creadas por la desarrolladora Corethree, que presta servicios para los sistemas de transporte de otras ciudades, como Londres, así como para algunas compañías privadas.

Hasta ahora, los expertos en servicios de ciberseguridad solamente saben que el grupo de hackers responsables se ha auto nombrado como “Asociación de Piratas del Transporte Público de Reino Unido”. El grupo de actores de amenazas publicó sus hallazgos en múltiples grupos del foro Reddit, donde además se burlaron de las “ridículas” medidas de seguridad de la compañía. “La app evita que los usuarios tomen capturas de pantalla de los tickets de viaje para enviarlas a otras personas, y esa es toda la seguridad que incluye”, afirmaron los hackers.

Las apps comprometidas crean códigos QR que funcionan como boletos electrónicos, pero las claves usadas para generar estos tickets se almacenan dentro de la misma app. “Queremos agradecer especialmente a Corethree por facilitar el acceso a las claves RSA privadas para firmar los códigos QR”, mencionaron los hackers de forma irónica en su post de Reddit, que ya ha sido eliminado.

En su post, los hackers también mencionaron que la principal motivación del ataque era la protesta contra el cobro por el uso del transporte público en la ciudad, pues consideran debería tratarse de un servicio gratuito.

A pesar de que la intrusión ya ha sido corregida y la compañía está trabajando en brindar mayores protecciones contra ciberataques, expertos en servicios de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que este método de ataque podría ser fácilmente adaptable para otros sistemas de transporte en Reino Unido que empleen apps móviles similares.