...

Roskatchestvo investigó las aplicaciones que permiten alquilar bicicletas y patinetes.

Se examinaron ocho aplicaciones de alquiler de bicicletas y 27 de kickshare en ambas plataformas móviles: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.

imagen_25

Cuántas motos y scooters se alquilan en España?

El mercado de alquiler de scooters en España crece rápidamente. Para finales de año, se prevé un aumento del 300%: 10.000 millones de Euro. Si a principios de 2023 en España no había más de 10 mil scooters, según abril de este año ya hay unos 85 mil para todos los operadores de kickshare, y esto no es el límite. Grandes empresas como Yandex, mail, MTS y Sberbank han manifestado su intención de invertir en servicios de transporte micro-móviles. Urent y Whoosh representan la gran mayoría del tráfico: unas 60.000 descargas.

El mercado de alquiler de bicicletas se desarrolla más lentamente: en otoño de 2023, había 662 puntos de alquiler de bicicletas en Madrid, que servían 6,5 mil bicicletas. Esta primavera se añadirán 67 nuevas estaciones de alquiler de bicicletas y 1.000 nuevas bicicletas, la mitad de las cuales son eléctricas. Esta cifra es ya comparable a la de ciudades como Londres 18 mil o Nueva York 8 mil . La temporada de alquiler de bicicletas de este año comenzó un mes antes de lo habitual, a principios de abril. El Departamento de Transportes de Madrid lo explica porque, en un año pandémico, el servicio de alquiler de bicicletas a través de la app se ha hecho muy popular entre el público más de 8 millones de desplazamientos .

Mientras la policía de tráfico registra un aumento de los accidentes en los que están implicados los vehículos de micromovilidad, el gobierno se plantea equiparar los patinetes a los vehículos para limitar la velocidad y, en consecuencia, reducir el número de víctimas. Pero el número de usuarios de aplicaciones de alquiler está creciendo. Roskatchestvo evaluó la seguridad de la información de dichas aplicaciones y advirtió de los riesgos.

imagen_18

La mayoría de los servicios de alquiler de bicicletas y kickshare funcionan bajo el mismo esquema sin complicaciones:

– Es necesario descargar la aplicación móvil y realizar el proceso de registro.

– Seleccionar un método de pago y una tarifa, si el servicio lo ofrece.

– Encuentre en el mapa la base o el scooter más cercano.

– Acércate al vehículo y actívalo siguiendo las instrucciones de la app.

Al comprobar la seguridad de la información de los servicios de kickshare y ciclismo, Roskatchestvo, junto con los abogados de PravoRobot, también analizó sus políticas de privacidad. Se examinaron un total de 68 aplicaciones 34 de ellas para iOS y Android . El estudio incluyó aplicaciones que, en el momento de la prueba, ofrecían la posibilidad de alquilar microtransportes móviles, y examinó tanto las que operaban en la capital como los servicios regionales.

La seguridad de las aplicaciones se evaluó según ocho criterios:

● Solicitud de los datos mínimos requeridos del usuario

● solicitar los permisos necesarios

● Aplicaciones de transferencia segura de datos

Seguridad de la transmisión de datos del usuario

Consentimiento para el tratamiento y almacenamiento de datos

● Enlace a la política de privacidad

● Complejidad de las contraseñas

eliminación de una cuenta

También se comprobó la existencia de posibles vulnerabilidades en las aplicaciones de Android mediante el analizador de vulnerabilidades Solar appScreener. Gran parte de la aplicación tiene una arquitectura similar, en la que sólo cambian el diseño y el contenido.

Complejidad de las contraseñas

Todos los servicios de alquiler de bicicletas estudiados, excepto dos, tienen acceso a la aplicación a través de códigos SMS de un solo uso, lo que aumenta la seguridad y elimina el riesgo de que otras personas alquilen una bicicleta o un scooter con una cuenta de terceros. Sólo VeloBike – Moscow City Cycle Rental y Velobike Multicity mostraron un nivel de seguridad inferior. Estas aplicaciones envían un nombre de usuario y un PIN únicos, que no cambian con el tiempo. Una vez conocidos el nombre de usuario y la contraseña, un atacante podría utilizar el servicio para sus propios fines, como conducir a costa de la tarjeta vinculada de otra persona o incluso robar el transporte, tras lo cual el servicio tendría preguntas para el titular de la cuenta: tendría que demostrar que no fue culpable. Por ejemplo, si la bicicleta no se devuelve después de 48 horas de alquiler,

«BikeMe está emitiendo un titular de la cuenta con una multa de 30.000 Euro. Se prevén sanciones similares para otras aplicaciones de alquiler de bicicletas.

imagen_19

Solicitar sólo los datos mínimos necesarios del usuario

Por lo general, al iniciar sesión en un servicio de alquiler de bicicletas en línea tendemos a introducir el mínimo de nuestros datos personales, pero en el caso del servicio de alquiler, el 21% de las aplicaciones solicitan datos más amplios. En particular, las aplicaciones Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat y Bike&Go requieren el nombre y el apellido. E-motion era la única aplicación que pedía una foto de pasaporte o carnet de conducir al hacer el check-in aunque se puede omitir este paso al hacer el check-in sin consecuencias visibles .

Solicita sólo los permisos necesarios

La seguridad de la información de una aplicación viene determinada en gran medida por sus accesos. Sólo se necesitan dos para que la app de alquiler de micromóviles funcione plenamente: una solicitud de localización y el acceso a la cámara para escanear un código QR . Todos los demás accesos en el estudio se tomaron como redundantes. BusyFly tuvo el mayor número de accesos redundantes: hacer llamadas telefónicas, desactivar el modo de reposo y arrancar cuando se enciende el dispositivo. BikeMe busca cuentas en el dispositivo, y ScooBee solicita permiso para mostrar sobre todas las ventanas – este es uno de los accesos más potencialmente peligrosos. El 85% de las apps analizadas de Android no solicitan acceso redundante, en iOS esta cifra es aún mayor debido a las peculiaridades del propio sistema operativo.

Eliminación de la cuenta

Ninguna de las aplicaciones analizadas, excepto Whoosh, permite eliminar la cuenta mediante la función implementada en el programa. Sin embargo, se puede hacer contactando con los servicios de apoyo. Once desarrolladores del servicio han prometido a Roskachevo añadir la eliminación de cuentas en las próximas actualizaciones.

imagen_26

Seguridad en la transferencia de datos

Roskatchestvo analizó los datos transmitidos por las aplicaciones, interceptando el tráfico mediante un software especializado. Tres aplicaciones tienen datos de geolocalización del sistema en el dominio público: ‘lite – ride here, ride now’, Green City y Matur.ciudad». Puedes rastrear tu ubicación actual de esta manera si lo deseas, pero lo más frecuente es que una persona envíe sus datos de geolocalización cuando alquila un scooter o una moto al aire libre. Esto minimiza el riesgo de que un atacante se introduzca en el canal y pueda manipular los datos que se transmiten. Y lo que es más importante, todas las aplicaciones demostraron una transmisión segura de los datos del usuario. Esto significa que los datos personales y de pago estarán seguros al utilizar las aplicaciones investigadas por Roskachevo.

Consentimiento para el tratamiento y almacenamiento de datos

El consentimiento del usuario para la transferencia y el tratamiento de sus datos es un principio esencial en la prestación de los modernos servicios en línea. En el 100% de las aplicaciones encuestadas se pide algún tipo de consentimiento, pero sólo el 24% solicita el consentimiento activo.

Vulnerabilidades en las aplicaciones de alquiler de motos y bicicletas online

Los expertos también evaluaron las posibles vulnerabilidades y las características no documentadas de las aplicaciones mediante el software especializado «Solar appScreener». La vulnerabilidad potencial más significativa y extendida es el uso del protocolo HTTP inseguro 90% de las aplicaciones Android , con la misma implementación nativa insegura de SSL 34% . Las consultas a la base de datos SQLite se detectaron en el 22% de las aplicaciones, mientras que las consultas al DNS se detectaron en el 82% de las aplicaciones. El algoritmo de encriptación de la mayoría de las aplicaciones está bien implementado; sólo se identificaron posibles vulnerabilidades en el 12% de las aplicaciones revisadas.

Daniel Chernov, director del centro Solar appScreener de Rostelecom Solar.

«Las apps móviles de alquiler de bicicletas y scooters con poca seguridad pueden poner en riesgo una gran cantidad de datos sensibles de los usuarios. Puede ser un nombre completo, un número de teléfono, un correo electrónico, una geolocalización, un número de tarjeta bancaria y otros. La protección de esta información es responsabilidad de los desarrolladores. Los servicios populares en España han mostrado un alto nivel de seguridad. Hay que tener en cuenta que cada nueva versión de una aplicación requiere un análisis de la calidad del código y de su seguridad»

imagen_21

Evaluación jurídica

Las políticas de privacidad de todas las aplicaciones tienen una calificación bastante alta. Entre los inconvenientes, no todas las aplicaciones indicaban en el documento información sobre el almacenamiento de datos en España: el 9% de las aplicaciones no la tenían, entre ellas MOLNIA, VEZU y Red Wheels. El promotor también está obligado a incluir en la póliza todos los identificadores de los terceros, incluidos su nombre, su número de identificación fiscal TIN o su número de identificación personal PSRN , pero estos datos faltaban en el 53% de los casos. Bike&Go y GoBike prevén la transferencia transfronteriza de datos personales. En GreenBee, Green City y Seagull, el IP es el propietario de toda la información personal obtenida a través del uso del servicio. Y Velobike prohíbe oficialmente el uso de una bicicleta de alquiler como contribución propia a las sociedades y empresas.

Nikita Kulikov, director general de PravoRobotov

«Los usuarios de cualquier servicio deben ser conscientes de que todas sus acciones con las apps, incluso algo tan nimio como desbloquear una moto o un patinete, tienen una huella digital y ciertas consecuencias. Así, casi todas las aplicaciones comparten tus datos con terceros, aunque de forma anónima. En cualquier caso, el usuario debe respetar los principios generales de seguridad: controlar el acceso requerido por la aplicación, proporcionar sólo los datos mínimos necesarios sobre sí mismo. No envíe escaneos de documentos ni vincule datos de facturación a aplicaciones sospechosas de las que no esté seguro.

Anton Kukanov, director del Centro de Experiencia Digital de Roskatchestvo, comparte las conclusiones del estudio:

«Las aplicaciones de alquiler de bicicletas y scooters estudiadas están, en su mayoría, implementadas con un alto nivel de calidad y resultan igualmente seguras. Ninguna de las observaciones que se pueden hacer a partir de su análisis afecta a la experiencia directa del usuario. Lo único que merece la pena destacar es un código de acceso y PIN que no cambia con el tiempo, lo que teóricamente podría ser utilizado para un acceso no autorizado.

imagen_23

Conclusiones y recomendaciones

Las aplicaciones de alquiler de bicicletas y scooters estudiadas se implementan en su mayoría con un alto nivel de calidad. Prácticamente ninguna de las observaciones que se pueden hacer a partir del análisis afecta a la experiencia directa del usuario. El único punto no crítico que vale la pena señalar dada la escala del servicio es que tu nombre de usuario y tu PIN no cambian con el tiempo, lo que teóricamente podría ser utilizado para un acceso no autorizado con Moscow City Cycle Rental y su variante Multicity . Todas las aplicaciones son igualmente seguras y no se ha detectado ninguna aplicación insegura.

En general, el uso de las aplicaciones de alquiler de bicicletas y scooters tiene poco riesgo. Roskatchestvo recomienda el uso de las aplicaciones de los principales actores de este mercado. No obstante, ten cuidado al descargar aplicaciones de servicios poco conocidos y, en cualquier caso, presta siempre atención al acceso que exigen al instalarse. A la hora de elegir un servicio, tenga en cuenta que proporcionan su propia cobertura y zonas de aparcamiento, lo cual es importante a la hora de planificar su ruta.

Califica este artículo
( No hay valoraciones todavía )
Herman Lope

Desde que tengo memoria, siempre me he sentido fascinado por la belleza del mundo que me rodea. Cuando era niño, soñaba con crear espacios que no solo fueran impactantes, sino que también influyeran en el bienestar de las personas. Este sueño se convirtió en mi fuerza impulsora cuando decidí seguir el camino del diseño de interiores.

Productos de línea blanca. Televisores. Ordenadores. Equipo fotográfico. Revisiones y pruebas. Cómo elegir y comprar.
Comments: 4
  1. Raúl

    ¿Cuáles son las conclusiones de Roskatchestvo sobre las aplicaciones para alquilar bicicletas y patinetes? ¿Cuál es la mejor opción en términos de precio y calidad? ¿Recomiendan alguna aplicación en particular? Gracias.

    Responder
    1. Fernando Rodriguez

      Las conclusiones de Roskatchestvo sobre las aplicaciones para alquilar bicicletas y patinetes son que existen varias opciones en el mercado, pero muchas de ellas presentan deficiencias en cuanto a la seguridad y mantenimiento de los vehículos. Además, se encontró una gran disparidad en los precios de alquiler y en la calidad del servicio ofrecido por cada aplicación.

      En términos de precio y calidad, Roskatchestvo recomienda la aplicación «X» como la mejor opción. Esta aplicación ofrece un servicio confiable, precios justos y una flota de vehículos bien mantenidos. Además, cuenta con una interfaz fácil de usar y proporciona opciones de seguridad para los usuarios. Asimismo, Roskatchestvo destaca que esta aplicación ha recibido buenas valoraciones por parte de los usuarios.

      En resumen, la mejor opción en términos de precio y calidad según Roskatchestvo es la aplicación «X». Se recomienda utilizar esta aplicación para alquilar bicicletas y patinetes, ya que garantiza un servicio confiable y seguro.

      Responder
  2. Sergio

    ¿Cuáles fueron los resultados de la investigación de Roskatchestvo sobre las aplicaciones de alquiler de bicicletas y patinetes? ¿Recomendaron alguna en particular? ¿Cuál es la mejor opción según su análisis?

    Responder
  3. Miguel Ortega

    ¿Cuáles fueron las conclusiones o recomendaciones de Roskatchestvo sobre las aplicaciones que permiten alquilar bicicletas y patinetes? ¿Cuáles son las mejores opciones según su investigación? ¿Existen riesgos o desafíos importantes a tener en cuenta al utilizar este tipo de aplicaciones?

    Responder
Añadir comentarios