:format(jpeg)/www.elespectador.comhttp://thumbor-prod-us-east-1.photo.aws.arc.pub/p90DgzzdYHEfXOolTrg74UEnSVM=/arc-anglerfish-arc2-prod-elespectador/public/CR3QH2CZQFCAHCPZAFDO6N6SGM.jpg)
Siete personas detenidas y un fraude que, por ahora, suma $27.000 millones. Estos son los datos que arroja la investigación que adelantó la Fiscalía, por la clonación y adulteración de tarjetas de Transmilenio (TM). Según el ente acusador, entre los capturados hay funcionarios públicos, supuestamente fueron los encargados de alterar los sistemas de recaudación del sistema de transporte masivo. Luego de clonar o recargar de manera fraudulenta las tarjetas, las vendían a mitad de precio.
De acuerdo con los investigadores, la denuncia la recibieron el año pasado y luego de tener las evidencias, capturaron a los posibles responsable. "La investigación se inició por una información anónima, que nos alertó sobre la posible defraudación al sistema (…) Para hacerlo, si una tarjeta clonada la cargaban con $30.000, la vendían a $15.000”, dijo el fiscal encargado, Jorge Fernando Perdomo.
Aunque el anuncio es el resultado de una investigación que se inició el año pasado, las alertas de la vulnerabilidad de las tarjetas no es nueva. Incluso, por redes sociales, circula un video en el que un estudiantes muestra un programa para recargar las tarjetas sin pagar.
Pero detrás de esta investigación hay una serie de denuncias entre los dos operadores encargados de recoger el dinero de los pasajes. Por un lado está Angelcom, que hasta el año pasado se encargó del recaudo de las Fases I y II de TM (tarjetas rojas y azules), y de Recaudo Bogotá, que se encarga de los pasajes de la Fase III (tarjeta verde Tu Llave).
El choque se derivó del accidentado proceso de integración de los medios de pago. Como ambos eran incompatibles, la orden era que cualquier tarjeta , independiente de la compañía, se pudiera usar en todo el sistema. Como ambas empresas tenían tecnologías diferentes y cada una alegaba propiedad sobre su software, el proceso no fue pacífico.
El enfrentamiento se revivió este martes con el pronunciamiento que hizo la empresa Recaudo Bogotá. Tras el anuncio de las capturas, recalcó que las únicas tarjetas con riesgo comprobado de fraude eran las tarjetas Cliente Frecuente y Monedero (rojas y azules), que dejó el operador Angelcom, ya que la tarjeta verde Tu Llave tenía tecnología bancaria, que la hacía segura e imposible de clonar. Recordó en su comunicado que desde el año 2013 viene alertando a las autoridades sobre la vulnerabilidad de las tarjetas rojas y azules.
Por su parte, Angelcom recordó que si sus tarjetas hoy son vulnerables, es por culpa de las maniobras que adelantó Racaudo Bogotá (con autorización de Transmilenio) durante el proceso de integración de los medios de pago, en el que alteraron la arquitectura de seguridad de su sistema. Agregó que desde 2013 denunció ante la Fiscalía la intromisión de Recaudo en sus sistemas, proceso que sigue sin un pronunciamiento de fondo.
Pero tal parece que ninguna de las tarjetas es segura. La Policía reveló que las tres fueron objeto de alteraciones. Hace un par de semanas, el concejal Diego Molano había alertado sobre la clonación y modificación de más de 2.2 millones de tarjetas rojas del sistema integrado y la adulteración de las tarjetas Tu Llave. "Ahora no solo se están colando las personas, sino que también se están clonando las tarjetas. Además, las tarjetas Tu Llave están siendo modificadas en su serial para hacer válidas recargar inexistentes", denunció Molano.
Vieja pelea
En 2013, un informe de la empresa FTI Consultores indicó que luego de hacer pruebas de vulnerabilidad a las tarjetas de Transmilenio, las usadas en las Fases 1 y 2 podrían ser clonadas (con información de una tarjeta original de TM) y vulneradas (con posibilidad de modificar su saldo).
“Las pruebas evidencian un riesgo operativo de fraude externo. El programa instalado en cualquier computador para realizar modificaciones de saldo y clonación cuesta en el mercado 80 mil pesos”, decía el informe de FTI, que de paso recomendaba a TM adoptar medidas correctivas para evitar un posible detrimento patrimonial al Sistema.
En principio, los problemas de seguridad apuntaban a la empresa Angelcom, que luego de conocer el informe, se defendió diciendo en su momento que no tenían reporte de que sus tarjetas hubieran sido clonada en Colombia. Sin embargo, aclaró que como parte del proceso de integración de las tarjetas como medio de pago en Transmilenio y el SITP, su empresa le había entregado a TM los módulos de autenticación y las llaves de seguridad del sistema de recaudo de las Fases I y II.
“Transmilenio S.A. autorizó al operador Recaudo Bogotá (encargado de la Fase III y SITP) alterar la seguridad del sistema de Fase I y Fase II, mediante el procedimiento de ingeniería inversa, lo cual genera vulnerabilidad en el sistema de seguridad de Fase I y Fase II. Esta grave situación ha sido puesta en conocimiento de las autoridades por Angelcom. A la fecha, la responsabilidad de la seguridad del sistema es exclusivamente Transmilenio S.A., no solo por tener bajo su custodia esta información sino por haber dado la autorización antes mencionada”.
Explicó que antes de este episodio, su sistema de recaudo establecía unos anillos de seguridad que permitían identificar y controlar los intentos de fraude y de identificar la Tarjeta e incluirla en listas negras. “Esta arquitectura de seguridad, que demostró su efectividad y seguridad por 12 años, se vio gravemente afectada por las decisiones tomadas por Transmilenio S.A.”.
Ahora, con los resultados de la investigación de la Fiscalía, se ratificó la vulnerabilidad de seguridad en el sistema de recaudo de Transmilenio, que surgió luego de un accidentado proceso de integración de los medios de pago para todo el sistema masivo de transporte.