LA HABANA, Cuba. — Transfermovil es una aplicación lanzada en septiembre de 2017 por la Empresa de telecomunicaciones de Cuba (ETECSA) para “facilitar los pagos de servicios, compras en línea, consultas y trámites bancarios, y la gestión de los servicios de telecomunicaciones”.
Aunque la app lleva años en desarrollo y es operada por millones de personas, deja mucho que desear por la tecnología que todavía usa para llevar a cabo sus funciones.
Normalmente, la actividad de comercio electrónico que maneja esta plataforma requiere de protección seria contra la violación de privacidad y seguridad de los datos. Sin embargo, después de cinco años, los desarrolladores de la aplicación insisten en usar mensajes de texto (SMS) para la comunicación entre los servidores y los usuarios mientras comparten información sensible sobre transacciones bancarias, contraseñas, compras, pagos de servicios y otros.
A pesar de que el sistema de mensajería SMS se considera un canal de comunicación obsoleto —y una de las razones principales es precisamente la falta de seguridad—, ETECSA resolvió que toda la comunicación entre la aplicación Transfermovil (usuarios) y sus servidores se desarrolle sobre esta antigua tecnología.
¿Por qué no se debe enviar información sensible por SMS?
De forma automática los dispositivos celulares se conectan a la antena (estación base) más cercana para establecer la conexión. Hasta aquí el envío de SMS cuenta con un tipo de encriptación que, si bien no es la mejor, brinda cierta seguridad. El problema surge en el trayecto que le falta por recorrer para llegar a su destino.
Sin contar con ningún tipo de cifrado para seguir su recorrido, mientras el mensaje es transmitido, existe el riesgo de que terceros puedan alterarlo, retenerlo, copiarlo o duplicarlo y no existe forma de escapar cuando el propio operador telefónico se presenta como atacante.
Asimismo, los SMS no cuentan con encriptación dentro de la red que se encarga de almacenarlos o reenviarlos.
La única empresa de comunicaciones en la Isla cuenta con filtros que se encargan de censurar mensajes que contengan palabras y frases como “Patria y Vida”, “manifestación”, “huelga”, “protesta”, “11J” y muchas más. Esta violación de seguridad revela que en las instalaciones de ETECSA no solo existe libre acceso a los mensajes de texto, sino que usan esta vulnerabilidad a propósito de forma arbitraria.
Un especialista de ETECSA que declaró bajo condición de anonimato dijo a CubaNet que Transfermovil se desarrolló sobre SMS debido a la falta de Internet en la Isla.
“Mensajes de textos todos los teléfonos lo pueden enviar. Cuando se lanzó Transfermovil en 2018 no existía ni la 3G (tecnología para acceder a Internet por datos móviles)”, explicó la fuente.
¿Cómo protegerse?
Desafortunadamente, en el caso de Transfermóvil, los cubanos no cuentan con una alternativa para dejar de usar los SMS, pues el propio funcionamiento de la aplicación exige que toda la comunicación use dicho canal, lo que deja una puerta abierta para que terceros lean los mensajes sin mucho esfuerzo. Así, más de un intruso podría conocer a qué tarjeta se le ha transferido dinero y la cantidad, si se ha pagado una multa o si se está atrasado con el pago de la ONAT (Oficina Nacional de Administración Tributaria), por citar ejemplos.
Cabe mencionar que la aplicación cubana para el comercio electrónico no se encuentra en la tienda oficial de aplicaciones de Google, por lo que supone un riesgo instalar el archivo APK que ofrece ETECSA.
En una revisión de dicho archivo en Virustotal.com (plataforma que proporciona el análisis de archivos) pudimos ver que Transfermovil requiere permiso total para leer y modificar los SMS guardados en el dispositivo donde se instale. Además, la aplicación pide acceso al almacenamiento interno del teléfono.
La aplicación cubana tampoco cuenta con “Términos y Condiciones” donde se refleje como se manejan los datos y la privacidad de los usuarios.
Recibe la información de CubaNet en tu celular a través de WhatsApp. Envíanos un mensaje con la palabra “CUBA” al teléfono +525545038831, también puedes suscribirte a nuestro boletín electrónico dando click aquí.