El Centro de Experiencia Digital de Roskatchestvo ha realizado una encuesta sobre las 20 aplicaciones móviles para pedir taxis más populares. Dado que los servicios de taxi recogen y almacenan nuestros datos personales y de pago, deberían funcionar perfectamente en lo que a seguridad se refiere. También se analizó la seguridad de la información de más de 60 aplicaciones poco conocidas. Por desgracia, no todas resultaron ser seguras.
Desde 2023, el mercado del taxi no ha dejado de crecer y de cambiar rápidamente, ya que varios servicios, entre ellos Veset y Rutaxi, analizados anteriormente por Roskachevo, fueron adquiridos por Yandex en 2023, aumentando su cuota global y convirtiéndolo en el líder absoluto por presencia 40% global, 67% entre los agregadores, según Forbes a septiembre de 2023 .
Para averiguar el grado de funcionalidad, calidad y seguridad de las aplicaciones para pedir taxis, Roskatchestvo ha probado 20 aplicaciones, 10 para iOS y 10 para Android. Y los abogados de PravoRobotov estudiaron las políticas de privacidad de los servicios para el cumplimiento de la Ley Federal «Sobre Datos Personales» No. 152-FZ de 27.07.2006 y destacó los aspectos negativos y positivos a los que los usuarios deben prestar atención.
Sergey Bodrov, Director del Centro de Experiencia Digital de Roskatchestvo.
«Durante el estudio, los expertos utilizaron las aplicaciones como usuarios normales: pidieron taxis y condujeron por la ciudad, analizaron el rendimiento y la funcionalidad de la aplicación, añadieron direcciones a los favoritos y solicitudes de pedidos, estudiaron los perfiles de los conductores información sobre los conductores, los coches, la empresa de transporte y elaboraron otros escenarios de uso típicos. Además, se comprobó la seguridad de las aplicaciones mediante un software especializado. Como resultado, se han probado todas las funciones clave, evaluando la comodidad, la seguridad de la información, así como el rendimiento y la fiabilidad de las aplicaciones para pedir taxis»
Según los resultados de la encuesta, la aplicación líder se mantiene igual Yandex Go , Taxoviccof ha perdido terreno y Citimobile ha mejorado su posición y se sitúa en tercer lugar en ambas plataformas iOS y Android .
Según los resultados de la prueba, las aplicaciones más funcionales son Yandex Go, Taxovichkof en ambas plataformas y Uber en Android, así como Citimobile en iOS. Las aplicaciones más convenientes según los resultados de la encuesta son Yandex Go, Taxovitchkof y maxim en Android, así como Taxovitchkof y maxim en iOS. En cuanto a la seguridad, todas las aplicaciones más populares obtuvieron buenos resultados, con una puntuación de 3,5 o más. Algunas aplicaciones de Android fueron rebajadas por tener «rastreadores» de datos de los usuarios.
Todos los participantes en el estudio tienen la mayoría de las características implementadas en un nivel alto. Sin embargo, Gett y DiDi no permiten llamar a un taxi sin indicación previa de la dirección, no todas las aplicaciones muestran la distancia que queda desde un coche hasta un usuario: la función está ausente en «Pohodeli», «Taxovichkof» y maxim. La versión Android de DiDi no muestra los edificios en el mapa. Sólo Taxoviccof, Yandex.Go», «Citymobile» y Uber pueden volver a seleccionar la dirección del viaje reciente.
El siguiente punto importante para el usuario, cuando ya se ha hecho la elección del coche y se ha asignado el vehículo, es el perfil del conductor y del vehículo. Los expertos evaluaron si la tarjeta del conductor incluye el nombre, la foto y la calificación del conductor, información sobre el coche, información sobre la empresa de transporte, datos sobre la fecha de registro del conductor en el servicio de taxi.
Al igual que en el último estudio, sigue habiendo una variación significativa entre las aplicaciones en términos de cómo está poblado el perfil del conductor, desde la ausencia virtual de un perfil de conductor en Poholy, Omega y TapTaxi, hasta una tarjeta totalmente informativa con una foto en Yandex Go, DiDi y Gett.
El siguiente grupo de criterios importantes para el usuario es el deseo de un viaje. En caso de que el usuario tenga un niño pequeño, un equipaje pesado o un animal, la presencia de filtros adecuados es muy importante. Como muestra el estudio, la falta de estos filtros sigue siendo un problema para algunas aplicaciones. DiDi, Gett, TapTaxi y Uber son los que menos opciones tienen para solicitar viajes.
Además, se evaluó la disponibilidad del botón SOS: Omega, Potehli, Yandex Go y maxim, así como DiDi y Citimobile. La función te permite marcar el 112 con un solo toque o compartir tu ubicación con contactos de confianza. Esta característica podría ser el factor decisivo para algunas personas a la hora de elegir un servicio.
En comparación con la encuesta anterior, es notablemente más popular hacer una lista negra de un determinado conductor en la aplicación la mayoría lo hace poniéndose en contacto con el servicio de asistencia, pero también hay quienes permiten a los usuarios bloquear al conductor directamente . La demostración de la calificación del usuario similar a la calificación del conductor se consideró sin evaluación, sólo Yandex Go la tiene abierta para el pasajero. Citimobile tiene un nivel de cuenta de usuario igualmente significativo.
Al examinar la seguridad de las aplicaciones, los expertos evaluaron si el servicio solicita sólo los datos y permisos mínimos necesarios del usuario, y si éste puede eliminar la cuenta. La seguridad de la transferencia de datos de la aplicación y de los datos del usuario se analizó por separado. Los expertos capturaron todo el tráfico enviado por la app mediante un software especializado Wireshark y luego lo analizaron para detectar la presencia de datos no cifrados. Todas las aplicaciones lograron capturar el tráfico con éxito: no se detectó ninguna vulnerabilidad.
También se introdujo un nuevo criterio: la presencia de rastreadores analíticos que recogen información sobre el usuario. Los desarrolladores los añaden con buenas intenciones: para analizar el comportamiento del usuario y utilizar esta información para desarrollar la aplicación. Sin embargo, los rastreadores gratuitos de las grandes corporaciones por ejemplo, Facebook o Google conllevan riesgos de seguridad adicionales: los gigantes informáticos reciben datos estadísticos sin necesidad de que el usuario. Por esta razón, la presencia de estos rastreadores se consideró una desventaja en el estudio. No se detectaron módulos de este tipo en las aplicaciones de iOS, mientras que las aplicaciones de Android obtuvieron una puntuación más baja en este criterio.
El 60% de las aplicaciones tienen vinculación con tarjetas bancarias a través de 3-D Secure. Este código se envía por SMS y es necesario para que el servicio verifique que la tarjeta te pertenece realmente. En teoría, su ausencia podría permitir a los atacantes vincular la tarjeta de otra persona a su cuenta y, posteriormente, realizar pagos con la tarjeta robada o simplemente recogiendo sus datos.
Además, los expertos de Roskatchestvo comprobaron la presencia de vulnerabilidades en todas las aplicaciones de Android y en VOA «Solar appScreener» mediante un análisis binario automático sin ingeniería inversa descompilación del código fuente . Se identificaron las siguientes vulnerabilidades potenciales: acceso a DNS en el 50% de los casos, se detectó una reflexión insegura en el 30% de las aplicaciones examinadas, implementación SSL nativa insegura – 20%. Algoritmo hash débil en el 80% de las aplicaciones analizadas, uso de protocolo HTTP sin protección en el 70%. Consulta a la base de datos SQLite – 20%.
Además de las 20 aplicaciones conocidas incluidas en el estudio, los expertos también probaron la seguridad de otras 63 aplicaciones menos populares: 36 en Android y 27 en iOS, respectivamente.
En la plataforma iOS, sólo se transmitían abiertamente los datos de geolocalización del usuario en el momento de hacer el pedido. Se trataba de 6 aplicaciones de este tipo, entre ellas NonStop: servicio de pedido de taxis; Taxi Pobeda; DA TAXI Tyumen y Taxi Variant. En la plataforma Android la situación parece peor, con 2 aplicaciones SV-TAXI. Call a Taxi» y «UpTaxi todas las ciudades «, que, además de los mencionados datos de geolocalización, transmitían al dominio público los datos personales del usuario. Número de teléfono en un caso y credenciales número de teléfono y contraseña y modelo de dispositivo en el segundo caso, respectivamente. Esta vulnerabilidad, además de comprometer directamente los datos, podría provocar nuevos ataques por parte de usuarios deshonestos.
También se identificaron tres aplicaciones para Android que transmitían datos de geolocalización del usuario sin cifrar, a saber, «Taxi Order GOST», «My City» y Taxi Saturn+». Como en el caso de iOS, esta vulnerabilidad, aunque no es crítica, es indeseable desde el punto de vista de la seguridad digital.
Un problema particular en la plataforma Android son los accesos excesivos u ocultos a las aplicaciones, que les otorgan funciones ocultas, y en algunos casos pueden ser incluso maliciosas. Por ejemplo, 17 de las 36 aplicaciones de Android tienen acceso a los datos del estado del teléfono, 8 de las 36 aplicaciones tienen acceso a ver los contactos y 6 de las 36 aplicaciones tienen acceso a hacer llamadas telefónicas.
Entre las aplicaciones en las que se han solicitado todos los accesos redundantes anteriores está «SV-TAXI». Call Taxi, Taxi Nam Puti y Faem.Taxi. Roskachestvo no recomienda la descarga de este tipo de aplicaciones.
Se ha comprobado que las políticas de privacidad de las aplicaciones para pedir taxis cumplen con la ley «Sobre datos personales» № 152-FZ del 27 de febrero de 2012 .07.2006 fue llevada a cabo por los abogados del Organismo Autónomo sin ánimo de lucro PravoRobotov. En general, todas las aplicaciones estudiadas obtuvieron buenos resultados desde el punto de vista legal, con 4 puntos o más. Una excepción fue Taxovichkof, cuya aplicación, en el momento de la encuesta, no tenía un enlace a su política de privacidad. En el momento de la publicación de la encuesta, el problema no se había corregido. No obstante, todos los servicios, excepto Taxovichkof, transfieren datos a terceros afiliados.
La cobertura del seguro de vida y salud de los pasajeros de los taxis de pasajeros ha sido un foco de atención constante tanto de las autoridades gubernamentales como de la sociedad en general desde hace varios años. Como parte de la encuesta, Roskatchestvo y los abogados de PravoRobotov analizaron la información sobre seguros en las respectivas aplicaciones. Sólo tres de ellos Citimobile, Yandex.Taxi» y Gett el servicio asegura automáticamente al pasajero durante el viaje, mientras que en otras empresas el seguro del pasajero se subcontrata a un tercero. Otros servicios, de un modo u otro, hacen recaer la responsabilidad de las emergencias sobre los hombros del conductor y/o del pasajero y obligan a aceptar el hecho de que, de hecho, el transportista «no presta servicios de transporte o logística» y no acepta reclamaciones incluida esta redacción en el servicio Uber, propiedad de Yandex .
Stanislav Shvagerus, jefe del centro de competencia del Foro Internacional del Taxi de Eurasia.
«En la Federación Rusa, la práctica del seguro de pasajeros es voluntaria y, de hecho, es una ventaja competitiva del agregador en el mercado. Sin embargo, el carácter voluntario de estos seguros conlleva importantes riesgos para los pasajeros de los taxis. Si el seguro obligatorio define claramente el procedimiento de pago, el importe del pago del seguro, tal como se define tanto en la ley de seguros como en el artículo 34 «Responsabilidad del fletador», de la Ley Federal de 8 de noviembre de 2007 sobre la responsabilidad del fletador, la compañía de seguros está obligada a pagar la prima del seguro. N 259-fz «Estatuto de los transportes a motor y de los transportes eléctricos terrestres urbanos», en caso de seguro voluntario de la responsabilidad de los agregadores, este procedimiento y el importe de las prestaciones se determinan por el acuerdo entre el asegurador y el agregador. De ahí las bajísimas cuantías de las indemnizaciones reales por daños a la vida y a la salud de los pasajeros del taxi»
Los agregadores de «segundo nivel», que aún no han asegurado su responsabilidad ni han organizado «fondos de pago», se mantienen al margen. Estos agregadores suelen indicar en sus normas internas que «no son responsables de un contrato público de taxi de pasajeros que firmen, y que toda la responsabilidad ante el pasajero recae en el conductor del taxi». Estos agregadores pasan por alto que, según el artículo 37 «nulidad de los acuerdos» de la Ley Federal de 8 de noviembre de 2007. N 259-fz «Estatuto del transporte automotor y del transporte urbano eléctrico terrestre», tales documentos no son válidos.
La jurisprudencia en materia de indemnizaciones por daños a los pasajeros de los taxis de pasajeros es extensa, con un reconocimiento masivo de la responsabilidad de los agregadores de taxis por los daños causados a los pasajeros de los taxis de pasajeros en virtud de un contrato de alquiler de taxis de pasajeros. Averigüe si su servicio de taxi favorito cumple las normas de seguridad y respeta la ley?
El estudio se realizó de acuerdo con la metodología de prueba basada en la norma nacional preliminar para la evaluación comparativa de aplicaciones móviles PNST 277-2023.
¿Cuáles son las aplicaciones de taxi inseguras identificadas por Roskachestvo? ¿Deberíamos evitar todas las aplicaciones de taxi o solo algunas específicas? ¿Cuáles son las alternativas seguras recomendadas para usar servicios de transporte?