¿Es seguro usar aplicaciones de taxis en Colombia?

aplicaciones de taxi
La infraestructura detrás de las apps.

Hace un par de años, cuando las aplicaciones de taxi estaban dándose a conocer, hablaban mucho de la seguridad que les ofrecen a sus usuarios. Se jactaban de los filtros, las consultas en bases de datos y otras medidas que toman para evitar que algún criminal se les cuele entre los conductores que les prestan el servicio a los usuarios.

Pero algo se les está escapando. Según una noticia conocida a finales de la semana pasada –reportada por KienyKe–, al menos un taxista estaba usando el sistema de Easy Taxi para extorsionar a más de 40 mujeres. Tras obtener sus números de celular por medio de la aplicación –que se lo comparte al taxista cada vez que un usuario reserva un servicio– y anotar algunos datos básicos como su vestimenta o color de uñas, las amedrentaba por medio de mensajes de texto, amenazándolas de atacarlas con ácido y exigiéndoles depositar una suma de dinero en una cuenta bancaria.

¿Es necesario que Easy Taxi les comparta a sus taxistas el teléfono de sus pasajeros? ¿Por qué esa app sí lo hace y otras aplicaciones de taxi no? Sebastián Salazar, cofundador y gerente general de Easy Taxi Colombia, dijo que la opción de mostrarle el celular del pasajero al conductor “es simplemente una forma de mejorar la comunicación entre usuario y taxista“. La empresa considera hacer que esto sea opcional, pues lanzará una opción de chat con el conductor que hace que compartir el número del usuario ya no sea necesario.

A pesar de esto, Salazar defiende la característica: “Retirar la opción de ver la información del usuario lamentablemente también afecta a muchos buenos taxistas que usaban esta opción para poder llegar a la dirección de origen del pasajero y brindarle un buen servicio pero vemos que hay un riesgo inherente”.

Para entrar a Easy Taxi, los conductores deben mostrar sus documentos y los del vehículo, en un proceso que es 100% presencial. A pesar de que algunos taxistas citados por Kienyke aseguran lo contrario, Salazar asegura que el ingreso a su app “es el más estricto en el mercado de aplicaciones para servicio de taxi“.

Es posible que el extorsionista tuviera todos sus papeles en regla y hubiera podido entrar legalmente en el servicio. Los filtros podrían funcionar perfectamente, pero aun así una persona con intenciones criminales pero sin antecedentes puede pasárselos. También hay que tener en cuenta que la mayoría de taxistas son personas honestas, que las aplicaciones de taxi tienen un sistema de respuesta a incidentes del que carecen otros servicios que les compiten, y que Easy Taxi –según Kienyke– le colaboró a la Policía para capturar a esta persona.

El problema estructural en este caso es el mal uso de datos personales por parte de un taxista. Por eso, vale la pena preguntar qué tan responsables son las empresas y los taxistas con la información de sus usuarios.

La seguridad de las empresas de taxi, por dentro

aplicaciones de taxi
¿Están preparados los taxistas?

Las aplicaciones de taxi pueden obtener mucha información sobre sus usuarios. No solo su nombre, su correo electrónico y su número de celular, sino también las ubicaciones en las que pasa la mayoría del tiempo, el historial de sus desplazamientos e incluso su tarjeta de crédito. Si el usuario trabaja en una empresa con convenio con alguna de ellas, es fácil cruzar la información. Entre más se use una aplicación, más información puede capturar sobre sus usuarios.

¿Esos datos están seguros? La ley colombiana las obliga a cumplir con una política de privacidad y datos personales, la cual les exige almacenarla de forma segura, a usarla únicamente para los fines que se hayan acordado con los titulares de la información –es decir, con los usuarios– y mantener las condiciones de privacidad a los que se hayan comprometido.

La Ley 1581 de 2012 distingue entre los responsables del tratamiento de datos personales y los encargados de ese manejo. Las primeras son las empresas, y los segundos son quienes realizan “el tratamiento de datos personales por cuenta del responsable del tratamiento“. La Ley define ‘tratamiento’ como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión“.

Según Germán Realpe, director de Cloud Seguro y experto en protección de datos personales, “en estas empresas no hay una cultura de seguridad de datos“. Realpe asegura que estas compañías deberían cifrar y anonimizar la información –hacer que no sea posible usarla para determinar la identidad de un usuario–, además de almacenarla de forma segura. ¿Lo hacen?

Smart Taxi, una de las apps que presta este servicio, asegura que las bases de datos en las que almacenan el nombre, el correo electrónico y los registros de los viajes de sus usuarios no están cifradas, pero las contraseñas sí lo están. Claudia Tello, gerente de mercadeo de Tappsi, por su parte, nos informó que también cifra parcialmente la información y todas las comunicaciones entre los sistemas, y que está ubicada en servidores remotos auditados por firmas de seguridad externas y que tiene “mecanismos […] para evitar accesos indebidos o posibles robos de información“.

En ambos casos, la información de pagos se maneja a través de un tercero que cuenta con un sistema de cifrado especial, de nivel bancario.

Daniel Rodríguez, cofundador de Smart Taxi, afirma que el servidor en el que se almacena esa base de datos “está protegido por un sistema de información y control de acceso; y solo algunos empleados de Smart Taxi tienen acceso a él“. En Tappsi la situación es similar, pues el acceso a los servidores está restringido a pocas personas.  Easy Taxi toma medidas similares: cifrado parcial y auditoría constante de la seguridad de la información.

Aunque ningún servicio en la nube está exento de un ataque, se puede decir que las empresas hacen lo que está en sus manos para prevenir fugas de información. El problema está en que, aunque las empresas también están obligadas a “exigir al encargado […] en todo momento, el respeto a las condiciones de seguridad y privacidad de la información“, ninguna de les ofrece formación a los taxistas sobre este tema.

Tappsi dice, que en su caso, esto no es necesario: “no entregamos ningún dato sensible al taxista, solo nombre y dirección, como tradicionalmente lo ha hecho el servicio de taxis“. El caso de Smart Taxi es similar. Pero esto es especialmente delicado: ahí estuvo el problema en el el caso del taxista extorsionista, y es posible que Easy Taxi tenga responsabilidad allí.

Las mujeres extorsionadas por este taxista y los millones de usuarios de aplicaciones de taxi en Colombia esperamos que el episodio sirva para que la seguridad mejore.

Imagen: ENTER.CO

José Luis Peñarredonda

José Luis Peñarredonda

Un día me preguntaron sobre mis intereses y no supe por dónde empezar. Decidí entonces ponerlos en orden y dibujé un diagrama de Venn para agruparlos a todos: Internet, cine, periodismo, literatura, narración, música, ciencia, fotografía, diseño, política, escritura, filosofía, creatividad... Me di cuenta de que en toda la mitad de ese diagrama, en el punto en el que todos estos círculos confluyen, está la tecnología. Eso me llevó a ENTER.CO. Estudié Periodismo y Filosofía en la U. del Rosario. PGP: http://bit.ly/1Us3JoT

View all posts

12 comments

  • Bueno, pienso que ningún sistema es seguro, siempre y para siempre tendrán fallas y “fugas”, lo importante es ir corrigiéndolos, de eso se trata la evolución, quizás algún día lleguen a ser 100% seguros, no se sabe, pero ni siquiera la vida misma es segura, cuantas personas han muerto en la “seguridad” de su hogar por accidentes ridículos, entonces lo importante es estar alerta ante cualquier anomalía; he usado el servicio de easy taxy y me gusta por el hecho de saber quien es el taxista y porque puedo pedirlo en cualquier lugar donde esté incluso en una esquina, y mejor aun puedo usar mi tarjeta de crédito para pagar la carrera cuando no tenga dinero en el momento.

  • Bueno, pienso que ningún sistema es seguro, siempre y para siempre tendrán fallas y “fugas”, lo importante es ir corrigiéndolos, de eso se trata la evolución, quizás algún día lleguen a ser 100% seguros, no se sabe, pero ni siquiera la vida misma es segura, cuantas personas han muerto en la “seguridad” de su hogar por accidentes ridículos, entonces lo importante es estar alerta ante cualquier anomalía; he usado el servicio de easy taxy y me gusta por el hecho de saber quien es el taxista y porque puedo pedirlo en cualquier lugar donde esté incluso en una esquina, y mejor aun puedo usar mi tarjeta de crédito para pagar la carrera cuando no tenga dinero en el momento.

  • aca hay un asunto y es que easy taxi (y las demás apps) podrían (o deberían) hacer cierta labor de responsabilidad y formación con los taxistas para que sepan utilizar de forma adecuada los datos de los usuarios, sino es como llevar los problemas de seguridad de abordar el taxi al celular….

    es como dicen es importante enseñarle a la gente a defenderse del abuso, pero mas importante enseñarle a no abusar….

  • aca hay un asunto y es que easy taxi (y las demás apps) podrían (o deberían) hacer cierta labor de responsabilidad y formación con los taxistas para que sepan utilizar de forma adecuada los datos de los usuarios, sino es como llevar los problemas de seguridad de abordar el taxi al celular….

    es como dicen es importante enseñarle a la gente a defenderse del abuso, pero mas importante enseñarle a no abusar….

  • Yo generalmente uso uber y smart taxi apoyado en el servicio denuncie taxista en Twitter, con smart solo he tenido un problema de un conductor que llegó en un taxi de placas distintas, lo reporté y listo. Si el taxi que me envía smart tiene reportes malos en denuncie taxista lo cancelo y pido otro.

    Uber si perfecto y en mi próximo transporte voy a probar Movip, es un emprendimiento nuevo 100% colombiano que llega a competir con Uber, es una idea de compañeros de la universidad así que le daré la oportunidad.

  • Yo generalmente uso uber y smart taxi apoyado en el servicio denuncie taxista en Twitter, con smart solo he tenido un problema de un conductor que llegó en un taxi de placas distintas, lo reporté y listo. Si el taxi que me envía smart tiene reportes malos en denuncie taxista lo cancelo y pido otro.

    Uber si perfecto y en mi próximo transporte voy a probar Movip, es un emprendimiento nuevo 100% colombiano que llega a competir con Uber, es una idea de compañeros de la universidad así que le daré la oportunidad.

  • Este problema es muy fácil de solucionar desde un punto técnico, es posible encontrar una solución en donde se permite la comunicación fácil y se mantiene el anonimato de los clientes. Hoy en día lo usa Uber con Twillio al asignar un numero anónimo a las 2 partes en el momento de realizar el match del viaje. En el momento que el cliente llama al conductor, el conductor solo ve un numero anónimo al que puede llamar de vuelta por el periodo de duración del viaje, este expira después y en ningún momento se pusieron en riesgo los datos de los pasajeros.

    Esto fue un problema de diseño de producto y desconocimiento del mercado local, en donde pusieron en riesgo a sus usuarios sin tener en cuenta que una de las principales razones de uso de estas aplicaciones en Colombia es la seguridad.

  • Este problema es muy fácil de solucionar desde un punto técnico, es posible encontrar una solución en donde se permite la comunicación fácil y se mantiene el anonimato de los clientes. Hoy en día lo usa Uber con Twillio al asignar un numero anónimo a las 2 partes en el momento de realizar el match del viaje. En el momento que el cliente llama al conductor, el conductor solo ve un numero anónimo al que puede llamar de vuelta por el periodo de duración del viaje, este expira después y en ningún momento se pusieron en riesgo los datos de los pasajeros.

    Esto fue un problema de diseño de producto y desconocimiento del mercado local, en donde pusieron en riesgo a sus usuarios sin tener en cuenta que una de las principales razones de uso de estas aplicaciones en Colombia es la seguridad.

Archivos