De 400 a 1,500 pesos puede costar conseguir las refacciones necesarias para vulnerar la seguridad de un scooter, ya sea de Grin, de Bird o de Lime. El asunto, según nos cuenta Rodrigo, especialista en seguridad cibernética, es la facilidad con que se consigue la información para hacerlo, todo disponible en la red a través de foros especializados.
El asunto empeora para Grin, la única empresa que tiene permiso para operar en Ciudad de México, misma que se dio una pausa hace unos días luego de la tendencia a la alza en el robo de sus patines, cuando las refacciones también se encuentran con facilidad en sitios de venta en línea.
Quienes roban scooters han encontrado que si cambian la placa central, entonces pueden burlar las defensas de Grin. No es un trabajo por supuesto que todos puedan hacer, pero a decir de Rodrigo, es claro que el negocio está concentrado a través de especialistas en sistemas o ingenieros que saben cómo funciona un controlador, y tienen la capacidad técnica para cambiar refacciones y si se necesita, hacer un nuevo cableado dentro de la placa central.
Pero todos los sistemas son distintos: Rodrigo asegura que Lime es el único sistema verdaderamente inviolable, no en cuanto a que sea imposible de hacer, sino a que el resultado del proceso delata que el scooter ha sido modificado. El cambio de la placa central obliga a contar con un módulo, nada discreto, en el poste de la unidad. A los de Bird, que son marca Xiaomi, y a los de Grin que son Ninebot en realidad se les pueden hacer los cambios de refacciones y el scooter queda como nuevo al finalizar.
Lo que suelen hacer, explica Rodrigo, es saltar la barrera de seguridad que provee la placa central pues está conectada al servidor central. Si se reemplaza la placa, el asunto está solucionado, y hacer eso puede costar hasta menos de 500 pesos. Incluso, hay paquetes en línea donde se incluye, además del controlador, un nuevo velocímetro, cargador y hasta bases que se colocan en la plataforma del scooter, y con el cual la marca del scooter queda oculta.
A decir de Grin, ninguna vulneración de seguridad es infalible.
Un curioso caso les llegó hace apenas unos días, cuando la empresa se enteró de un usuario que había perdido el control por completo de su scooter. Cuenta a Xataka México Sebastián de Lara, director general de Grin México, que a más de 20 kilómetros por hora el scooter se paró por completo, sin que el usuario hubiera accionado algún freno. El usuario al saber que era de Grin (aunque sin saber que Grin no vende scooters), contactó a la empresa para reportar la falla. Grin entonces se dio cuenta que el scooter había sido modificado, razón que provocó la anomalía en primer lugar.
No debió haber sido del todo inocua la caída del usuario, aunque a decir de Sebastián, nada grave le ocurrió. Desde luego le fueron pedidos todos los datos de dónde y cómo lo había comprado y devolvió el vehículo a Grin.
Aquí hay un problema muy grave para la persona que los compra, olvídate del aspecto legal, es el aspecto de su propia seguridad o integridad física, porque no sabemos ya cómo está el sistema operando
Sebastián de Lara
Rodrigo se dice seguro que la única forma de saltar la seguridad en todos los scooters es haciendo modificaciones de hardware, y comprando las piezas en línea. Mientras tanto, la directora global de comunicaciones de Grin, Beriana Mendoza, aseguró hace unos días a El Financiero que en realidad encontrar piezas como cargadores para sus scooters es una tarea altamente "sofisticada".
Luego de que en Xataka México contactáramos vendedores y nos aseguráramos que hay quienes los venden con o sin cargador, contactamos a Sebastián de Lara para conseguir aclaración al respecto. No solo Sebastián admite que las piezas de hadrware pueden encontrarse en línea, sino que los scooters pueden también saltar el bloqueo de la empresa con modificaciones hechas vía software.
Sobre el punto a Sebastián se le muestra confiado, aunque sin duda el reto es titánico. Una cosa es actualizar el firmware para actualizar las vulneraciones que pueda tener y así prevenir la entrada de intrusos, y otro muy distinto es poder hacer que un scooter pueda ser incompatible con refacciones que se compran en línea. Al final, los modelos con que trabajan Grin y Bird son comerciales y se consiguen en México.
"Mi equipo de tecnología cree que sí se puede, yo confío en ellos, vamos a ver si sí lo logramos. También una de las cosas que vamos a ver es, cuando salgamos a la calle, ver todos estos cambios qué tan exitosos fueron, y yo creo que sí lo van a hacer. Aunque haya muy buenos hackers por ahí, nosotros tenemos de las mentes más brillantes y más talentosas de México trabajando dentro de Grin"
Sebastián de Lara
Más de 350 scooters robados
Desde hace unos días Grin admitió que los robos equivalen al 20% de su flotilla, aunque ahora sabemos que no se está considerando el total de vehículos de la que tiene permiso Grin para colocar en calles (1,750 scooters), sino también los vehículos que tienen almacenados. A pregunta expresa sobre la cantidad de unidades robadas, Sebastián admite que son más scooters, aunque asegura no tener el número exacto disponible.
Grin está trabajando con la SEMOVI, pero también con otras instancias ya, entre las que están la Procuraduría General de Justicia, Fiscalías dentro de las alcaldías donde opera Grin y de donde ha encontrado sus scooters robados están, y hasta con la Secretaría de Seguridad Ciudadana.
Sebastián además se dice consciente de que la información necesaria para vulnerar la seguridad de los scooters está publicada en foros especializados, por lo que han habido acercamientos con la policia cibernética para dar de baja algunos sitios. Al respecto asegura no poder ahondar por ser una colaboración en proceso.
"La policía cibernética hace cosquillas" asegura Rodrigo. El problema, apunta, es que desde el comienzo no se establecieron protocolos ni se previó la magnitud del problema. Rodrigo que en sus tiempos libres se dedicó a encontrar scooters de Lime fuera de su zona de operación, encontró en enero pasado uno en la colonia Anáhuac, dentro de una vecindad.
Con acceso a la aplicación que utilizan quienes buscan scooters de Lime para recargarlos y después volver a ponerlos en la vía pública, Rodrigo accionó la alerta acústica para cerciorarse de que el scooter estuviera dentro de propiedad privada. Al comprobarlo, Rodrigo contactó a una patrulla para que un oficial entrara por él.
Nada ocurrió como Rodrigo lo imaginó. Cuando el oficial responsable llegó y se acercó a la vecindad, Rodrigo le comprobó la alerta del patín que estaba generando él desde el smartphone. Los habitantes de la vecindad al notar al oficial, salieron a decir que el scooter era suyo. Con los ánimos subiendo de tono, el agente dijo que no había forma de demostrar la propiedad del vehículo. Al salir el oficial le dijo a Rodrigo "mejor no se meta en broncas, señor, vámonos".
Ese fue el primero de cuando menos cinco que Rodrigo reportó como robados a Lime, sin que en ningún momento le fueran respondidos sus mensajes, algo similar a lo que ha ocurrido con otros usuarios de Grin.
Los hallazgos de Rodrigo siguieron, primero con alguien que prácticamente se adueñó de un scooter pues lo metía a su departamento, a un costado de plaza Patriotismo, para usarlo por la mañana para ir al trabajo; y luego con otro que encontró en un tianguis, al oriente de la ciudad, por el que le pidieron solo 500 pesos, pues estaba totalmente bloqueado. "Solo le hace falta hackearlo, joven" le dijeron.
Rodrigo los señala en el mapa de la app de Lime sin dudar: "este está robado". Explica que la detección es fácil, pues los que da por perdidos están lejos de la zona oficial de operación y tienen ya varios días sin funcionar.
Reemplazando la placa central, (sin importar que sea enorme como la necesaria para los scooters de Lime), flasheando el número de serie, y ocultando todos los motivos de la marca, así funciona el negocio de robar un scooter y transformarlo en uno nuevo para revenderlo. Después de hacer varias cotizaciones, el paquete más caro de refacciones que hemos podido localizar es de 1,500 pesos, y los vendedores que hemos contactado tienen sus precios entre 3,000 y 3,500, lo que significa desde luego un amplio margen de ganancia.
Los robos han estado ahí desde el primer día de llegada de los scooters compartidos, pero a decir de Sebastián, el tema se ha agravado durante las últimas semanas. "En vez de estar robando patines más bien deberían de venirse a trabajar con nosotros a que nos ayuden a crear estos sistemas para que no tengamos problemas, porque es gente muy capaz y muy inteligente, los mexicanos somos muy capaces y muy inteligentes".
Mientras eso no ocurre, Grin estará regresando a operar en las próximas semanas, aún sin una fecha fija para hacerlo. Eso sí, lo hace con no pocos retos enfrente, enmedio de un panorama prevaleciente en Ciudad de México, la única ciudad del mundo que le ha obligado a tener que detener sus servicios, con tal implementar mejoras en su plataforma para evitar vulneraciones de seguridad.
Esta es una investigación de Xataka México, para la reproducción parcial o total es necesaria la atribución a Xataka México mediante un enlace directo (sin “nofollow”) a la página individual del sitio donde se publicó dicho contenido originalmente.
Ver 15 comentarios