Escándalo de datos en Movistar: la compañía busca a posibles afectados
La noticia corría como la pólvora desde el domingo por la tarde. Facua alertaba en un enigmático tuit sobre un «agujero de seguridad» en la web de «una de las principales empresas del IBEX 35». Pocas horas después, se desvelaba que Movistar era la firma culpable de un error de programación por la que cualquiera con acceso a la plataforma de la compañía de telecomunicaciones española podía acceder de forma aleatoria a facturas de otros clientes (en las que rezan nombres completos, domicilios, direcciones de correo electrónico, números de teléfono fijo y móvil y fecha y duración de llamadas) solo con cambiar un simple parámetro. Bastaba con convertir, por ejemplo, un 7 en un 8 dentro de un enlace para poder descargar la factura de otra persona, sin necesidad de utilizar complicados programas o tener amplios conocimientos de informática.
Después de dejar la «bomba» en el aire, el portavoz de Facua, Rubén Sánchez, se esperó hasta las once de la mañana de ayer para señalar públicamente a Movistar como responsable de lo que calificó como «la mayor brecha de seguridad en la historia de las telecomunicaciones en España». La compañía asegura a este diario que tuvo constancia de que se trataba de su plataforma en la madrugada del domingo, momento en el que se llevaron a cabo «todo tipo de comprobaciones».
«La vulnerabilidad ha quedado resuelta»
«Tras confirmarse por la noche que el asunto afectaba a Movistar, se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios. Se tomaron inmediatamente las medidas correspondientes y, esta pasada madrugada, la vulnerabilidad ya quedó resuelta», insisten desde la teleoperadora española, que ahonda en el mensaje de calma para sus usuarios y que en estos momentos se encuentra buscando a los posibles afectados de entre los millones de clientes españoles. «Telefónica, tras un exhaustivo análisis realizado en las últimas horas, ha constatado hasta el momento que el número de clientes cuyos datos han sido accedidos por terceros es inferior a un centenar», explican fuentes de la compañía a ABC, que también indican que no se ha observado «ningún uso fraudulento» en relación con esta vulnerabilidad. «La compañía contactará individualmente con cada uno de ellos para informarles de lo sucedido», agregan. Desde Facua, además aseguran que Movistar les informó que la vulnerabilidad permitía acceder a facturas desde agosto de 2017.
«Ahora se trata de verificar sus registros para saber quiénes se han descargado facturas que no son suyas y, seguramente, también de la persona que alertó a Facua», explica a este periódico Lorenzo Martínez, experto en ciberseguridad y fundador de Securízame. El hecho de que para explotar esta vulnerabilidad fuera necesario autentificarse con nombre y claves propias hace más «sencilla» la tarea, que se está llevando a cabo de forma rápida pero también concienzuda, según afirman desde Movistar.
Qué ha podido ocurrir
Algunos expertos apuntan a que el fallo informático, que sorprende por su sencillez y por su accesibilidad para casi cualquier persona, es debido a que el sistema habría sido alterado por la introducción de una novedad o mejora y habría creado este nuevo fallo o, incluso habría vuelto a reaparecer a pesar de que se hubiera subsanado en su momento. «Es un error que se vería en cualquier auditoría y este tipo de empresas hacen muchas a lo largo del tiempo, así que me cuesta creer que no se haya detectado», explica el CEO de Securízame, que critica las «formas» con las que Facua ha avisado a la multinacional y, después, ha hecho público el asunto. «Normalmente se avisa a la compañía del fallo y, pasado tiempo prudencial y si no se han tomado medidas, se piensa en publicar».
Martínez señala como caso paralelo el ocurrido el pasado año con el portal del Ministerio de Justicia, LexNet, que utilizaban abogados y procuradores de toda España y quienes pudieron acceder durante meses a cualquier sentencia, modificarla e incluso eliminarla. «Tanto en LexNet como en Movistar el problema es que al descargar cualquier documento no se comprobaba que se trataba de la misma persona que se había registrado, por lo que se podía acceder a cualquier documento que estuviera subido a sus respectivas plataformas».
La AEPD abre una investigación
A la vez que la compañía de telecomunicaciones continúa con su investigación, ABC ha podido saber que la Agencia Española de Protección de Datos se encuentra estudiando qué es lo que ha podido ocurrir al respecto tras la denuncia de Facua. Al mismo tiempo, Movistar también ha informado del caso al organismo público, dentro de las 72 horas después de conocer el suceso, tal y como se estipula en el nuevo Reglamento de Protección de Datos, que entró en vigor el pasado 25 de mayo.
El papel ahora de la AEPD es determinar si la compañía telefónica ha hecho todo lo que estaba en su mano para que no se produjese este fallo de seguridad y, de no ser así, imponer multas que pueden llegar hasta el 4% del volumen de facturación anual con un tope de 20 millones de euros.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!