La organización de consumidores FACUA ha desvelado este lunes que ha detectado una brecha de seguridad en la web de Telefónica. Un agujero en el que se dejaban al descubierto datos personales de millones de clientes de la operadora. Una vulnerabilidad, adelantada por EL ESPAÑOL, que la operadora solventaba en la madrugada del domingo.
A la luz de la noticia surgen numerosas preguntas que requieren una respuesta y a las que tratamos de dar luz a continuación.
¿En qué consistía la vulnerabilidad?
La web de Movistar permitía a los usuarios logueados acceder a las cuentas de otros usuarios. No hacía falta ser hacker, sólo hacer un pequeño cambio en un número que aparecía en ciertas URLs de la web.
¿Qué datos se han visto expuestos?
Nombres, domicilios, líneas fijas y móviles, direcciones de correo electrónico y el desglose de llamadas de los clientes de Movistar. Facua, la organización de consumidores que ha descubierto, considera que es el mayor agujero de seguridad de la historia de las telecomunicaciones y ha presentado una denuncia en la Agencia Española de Protección de Datos.
¿Me ha afectado?
A la espera de que la compañía informe del alcance exacto del agujero en la web, lo cierto es que no es fácil. Un usuario podía acceder con relativa facilidad a facturas aleatorias de otros clientes y a los datos mencionados. Parece posible que alguien haya podido utilizar la vulnerabilidad para rastrear toda la web y crear una base de datos gigantesca, pero eso ya requeriría conocimientos de programación. ¿Se han visto afectados los datos a esa escala? Es lo que tiene que responder Telefónica una vez que haga el análisis forense.
¿Y a cuánta gente ha afectado?
Facua afirma que puede haber afectado a decenas de millones de personas. Es posible que los datos de tantas personas hayan estado expuestos. No está claro que nadie se haya aprovechado de ello.
¿Cuáles son las consecuencias?
Según el nuevo Reglamento General de Protección de Datos (RGPD), Telefónica debe informar a todos sus usuarios de la brecha en sus datos. Asimismo, es bastante posible que reciban una multa ejemplar de la Agencia Española de Protección de Datos (AEPD). La normativa española limita las multas a un máximo de 600.000 euros, una suma que Facua considera “ridícula”. En todo caso, lo más importante es que la compañía haya resuelto la incidencia.
¿Cómo descubrió el agujero Telefónica?
Eran conscientes de que había una brecha de seguridad porque Facua había ido dando pistas de que afectaría a una gran compañía del Ibex. Desde Telefónica se pusieron en contacto con la organización de forma preventiva y, tras descubrir que efectivamente eran ellos los afectados, pusieron a sus técnicos a trabajar. A primera hora de la madrugada, el error subsistía, lo que supone que alguien ha dormido poco esta noche.
¿Cómo lo descubrió Facua?
Tuvo conocimiento gracias al reporte de un usuario. Después de comprobar la existencia de la brecha, acudió a un notario para que verificase y levantase acta de las irregularidades.
Facua denuncia un fallo de seguridad en la web de Movistar
¿Cuál ha sido la reacción de unos y de otros?
Hasta el momento, impecable. Facua ha cumplido con su papel de denuncia y Movistar no ha negado los hechos y ha resuelto el problema. Otra cosa serán las consecuencias para los usuarios. Pero, por lo que sabemos hasta el momento, no parece que haya sido muy grave. No por el volumen de datos expuestos, que era colosal, sino porque acceder a ellos no era sencillo y sí un poco aleatorio.
¿A qué datos podías ganar acceso exactamente?
Al consumo de meses anteriores y a los datos de facturas sueltas de personas e instituciones, conseguidas normalmente de manera aleatoria. Podías conseguir los datos de una determinada factura, incluidos los números de las líneas y el consumo de ese mes concreto, pero no el histórico de dichas líneas. Esto es especialmente importante porque tener acceso a una única factura no te daba acceso al resto de la información. En casos de violencia de género, de haber sido de otra forma hubiera podido ser muy peligroso.
¿Me afectaba si ya no soy cliente de Telefónica?
Las facturas de antiguos clientes, al menos de algunos, estaban entre los afectados.
¿De quién ha sido culpa?
En última instancia, claro está, de Telefónica. Aunque no hay sistemas 100% seguros, expertos de seguridad informática consultados por EL ESPAÑOL han coincidido en señalar que se trata de un error relativamente básico y que no tenía que haberse permitido. Pero en el mundo de la seguridad informática hay que ser muy osado para lanzar la primera piedra...
¿Y qué dice Telefónica?
La operadora asegura que en la noche del domingo, y tras consultar con FACUA y comprobar que eran ellos los afectados, se pusieron manos a la obra para solventar la incidencia. Según un comunicado remitido a EL ESPAÑOL "se tomaron inmediatamente las medidas correspondientes y, esta pasada madrugada, la vulnerabilidad ya quedó resuelta".
Destaca también que, por ahora, "no se ha detectado ningún acceso fraudulento" y que el hecho ya está en manos de las autoridades competentes.