Un fallo de seguridad en Movistar expone los datos de millones de clientes

FACUA-Consumidores en Acción, la conocida ONG española dedicada a la defensa de los derechos de los consumidores y usuarios, ha denunciado con una publicación en su sitio web oficial la existencia de un agujero de seguridad en la web de Movistar a través del cual se habrían expuesto los datos de millones de clientes.

FACUA-Consumidores en Acción ha detectado una posible brecha de datos cuyo origen está en un agujero de seguridad hallado en el sitio web de Movistar. Entre lo sustraído estarían nombres de los clientes, direcciones postales, direcciones de email, los números de teléfonos fijos y móviles asociados al cliente y un desglose de las llamadas. De confirmarse esto, los actores malintencionados podrían haber obtenido datos no solo ir contra los clientes afectados, sino también posiblemente contra sus contactos.

Debido a este descubrimiento, FACUA ha tomado la decisión de presentar una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos, pidiéndole la apertura de un expediente sancionador. Recordamos que esta agencia pública es la misma que multó a Facebook con 1,2 millones de euros por violar la LOPD en septiembre de 2017. La ONG comunicó la existencia del fallo de seguridad a Movistar durante la tarde de ayer (domingo 15 de julio de 2018). Como medida de contingencia, la multinacional decidió eliminar ciertas funcionalidades de la web de Movistar con el fin de evitar que se siguiesen exponiendo los datos, por lo que desde esta mañana no se puede acceder a las facturas emitidas desde agosto de 2017. Movistar se encuentra ahora notificando a todos los clientes perjudicados con el fin de cumplir con el GDPR, el Reglamento de la Unión Europea que prevé fuertes sanciones contra las empresas que lo incumplan.

Lo peor de todo es que el agujero de seguridad está lejos de ser algo que requiera de tener profundos conocimientos de hacking para explotarlo. Según FACUA, los requisitos habrían sido el tener una línea en Movistar y acceder a la sección de facturación en la web de la operadora mediante el DNI y la contraseña. Luego el hacker o actor malintencionado pide el visionado de cualquier factura, que mostraba una URL con un código alfanumérico del recibo que si se modificaba a mano permitía visualizar las facturas de otros clientes.

Veremos hasta dónde llega este incidente de seguridad, pero de confirmarse lo expuesto y denunciado por FACUA, estamos ante un fallo que en los tiempos actuales podría considerarse como digno de “principiantes”.