Sigue la guerra: El taxi lanza el contra espionaje a Uber y Cabify

Sigue la guerra: El taxi lanza el contra espionaje a Uber y Cabify

Contra espionaje para destapar las irregularidades de Uber y Cabify.

Es el movimiento más reciente del sector del taxi con el que esperan acabar con Uber y Cabify en los juzgados.

La plataforma Taxi Project 2.0, liderada por el líder del taxi Tito Álvarez, ha contratado durante cuatro meses a dos informáticos para analizar a fondo el código de las ‘apps’ y descubrir si su tratamiento de los datos vulnera la legislación.

El resultado son dos informes de casi 30 páginas cada uno por el que se han abonado 15.000 euros. Los documentos revelan los supuestos trucos de Uber y Cabify para subirte el precio de un viaje o acceder al micro de tu móvil.

Es solo el primer paso de una nueva ofensiva destinada tumbar de forma definitiva a ambas compañías.

¿Cómo usa Uber y Cabify tus datos de geolocalización? ¿A qué partes del móvil acceden sin tu permiso? ¿Cómo protegen los datos de tu tarjeta de crédito? ¿Qué trucos usan para subirte el precio de un viaje en un momento de alta demanda? Son algunos de los puntos clave que analizan los documentos en busca de irregularidades.

Teknautas ha contrastado y verificado los informes con tres de los principales especialistas en ciberseguridad en España y hay unanimidad en dos frentes:

  • El trabajo técnico es de alto nivel, minucioso y ha sido realizado por informáticos «que sabían muy bien lo que hacían».
  • Si bien se destapa el funcionamiento técnico oculto de las ‘apps’, no hay ni una sola prueba que apunte a un comportamiento irregular por parte de Uber y Cabify, solo indicios que requerirían de un análisis técnico de mayor calado e incluso de una investigación pericial por parte de las autoridades.

¿A qué viene entonces esta investigación encubierta?

«Sabemos que Uber y Cabify permiten prácticas similares en España a las de Uber en Londres, con conductores realquilando cuentas y haciendo viajes en nombre de otros compañeros, algo que le ha costado a Uber la licencia allí.

Nosotros conocemos casos en España, pero necesitamos probarlo. Por eso hemos encargado estos informes, es un primer paso de otros que llegarán pronto y analizarán la ‘app’ de los conductores y sus condiciones laborales para detectar ilegalidades», explica Tito Álvarez. «Si ellos emplean guerra sucia, nosotros la vamos a hacer también. Esto está diseñado para joder».

Con «esto» Álvarez se refiere a Taxi Project 2.0, una plataforma creada para luchar contra la uberización de la economía y que define como «asociación de presión en defensa del Taxi».

«Si logramos músculo económico, pondremos detectives privados para investigar a todo el mundo. Sabemos, por ejemplo, que directivos de Uber se reúnen con la CNMC, pero no tenemos recursos para probarlo», explica.

El informe viene después de conocerse los datos de Uber en el 2018 en el que se aprecian 3.000 denuncias por acoso sexual en sus vehículos.

¿Ha merecido la pena la investigación?

«A nivel técnico la investigación es solvente, pero faltan las pruebas. Es interesante porque revela cómo funcionan la ‘apps’ por detrás, pero llega a conclusiones sin probar y metidas a calzador», explica a Teknautas Rubén Santamarta, uno de los expertos en ciberseguridad españoles más respetados a nivel internacional, analista de IOActive y responsable de la investigación que este verano destapó fallos técnicos en el Boeing 787. «Quienes han hecho el informe saben mucho, usan herramientas complejas y han realizado una ingeniería inversa de libro. Destapan muchas cosas que el usuario de a pie no conoce, pero técnicamente no demuestra nada irregular ni grave», señala Román Ramírez, especialista en ciberseguridad.

¿Qué pasa con Uber?

El informe de 30 páginas dedicado a Uber analiza los permisos a los que tiene acceso la ‘app’ dentro del móvil. Y es prácticamente todo. Es habitual en cualquier tipo de ‘app’, pero hay un grupo de permisos, como el acceso al micrófono o al almacenamiento del móvil, para los que Uber, según el documento, no avisa al usuario antes de utilizarlos.

El acceso al micrófono es particularmente interesante. Un cliente puede llamar al conductor una vez ha reservado el coche. La ‘app’ usa un sistema de ‘tunelado’ de llamadas para que el conductor no vea el número real del cliente al llamar, y viceversa. «La principal sospecha en este punto es la posibilidad de que la llamada sea grabada por parte de Uber sin previo consentimiento del usuario», asegura el informe.

La batería del smartphone

El de la batería es el otro punto polémico, ya que la ‘app’ sí sabe en todo momento cuanta vida le queda al teléfono.

De hecho, el economista Keith Chen, jefe de investigación económica de Uber entre 2014 y 2016, dijo que el nivel de batería es “uno de los predictores más fuertes de si eres o no sensible a los sobreprecios”.

Si te queda poca batería, es más probable que pagues un precio alto: no puedes esperar a que bajen los precios, ni puedes arriesgarte a que se apague el teléfono.

Uber conoce esa información porque su aplicación tiene un modo de ahorro de energía que vigila al porcentaje de la batería.

El informe encargado por los taxistas recoge varias pruebas realizadas con dos móviles «rooteados con el fin de poder falsificar su localización y nivel de batería». Se realizaron múltiples tests en los que un teléfono tenía un nivel de batería del 40% y el otro inferior al 15%. «En la mayoría de los casos el precio de un mismo trayecto era el mismo, salvo en viajes que se dirigían a puntos de interés (estadios).

Estas variaciones eran mínimas pero siempre que se producían el precio era superior en el dispositivo de menor batería». El informe incluye pantallazos de las pruebas en las que, con diferencias de entre 10 y 20 céntimos de euro, los precios casi siempre son mayores en el móvil con poca batería.

Informe Parcial Uber

¿Y con Cabify?

Los ingenieros dedicaron semanas a analizar también la ‘app’ de Cabify. Y han encontrado supuestos fallos que, aseguran, podrían comprometer la aplicación.

El principal es la forma en la que el sistema envía ciertos datos a los servidores de la empresa, como el email de los usuarios cuando se dan de alta o sus datos de la tarjeta de crédito. «Los datos enviados incluyen todos aquellos necesarios para realizar un pago: el número de tarjeta, fecha de caducidad, propietario y CVV. Por lo tanto, esta información se envía sin ‘hash’, lo cual es una mala práctica dado que se deberían enviar encriptadas o hasheadas».

Los especialistas de seguridad consultados, sin embargo, señalan que comprometer esta información sería extremadamente complejo. «Es muy difícil que un atacante pueda interceptar los datos por la forma en la que funciona el ‘certificate pinning'».

Se denomina así al proceso por el cual se añade un certificado a la aplicación para que, al acceder al servidor, este deba leer una llave o clave privada de la ‘app’. Es una especie de capa adicional de seguridad que dificulta un posible ataque.

El informe analiza también el sistema de subida de precios por alta demanda de la aplicación con múltiples test realizados en Barcelona.

Cabify muestra una estimación de tiempo de espera, pero es ficticia debido a la indisponibilidad de conductores.  Da a entender que esto significa ‘alta demanda’, aunque esto puede ser debido a una menor oferta».

Informe Parcial Cabify

¿Y el segundo paso?

Que el informe no muestre pruebas sólidas de irregularidades no importa, asegura Tito. «Creemos que hay indicios y eso nos basta, vamos a presentar estos documentos al completo ante las autoridades para que lo investiguen. Estamos trabajando en más informes que prueban cosas muy graves en el frente laboral».


Relacionado:

La Economía Colaborativa de los Libertarios

 

Anti Uber en el mundo y la gran mentira de la economía colaborativa

 

 

Cabify alarga los juicios para seguir operando ilegalmente en Barcelona

 

Cabify alarga los juicios para seguir operando ilegalmente en Barcelona

 

Sigue la guerra: El taxi lanza el contra espionaje a Uber y Cabify