Un fallo en Movistar permitió acceder a todos los datos de facturación de clientes
La organización de consumidores Facua ha descubierto una vulnerabilidad en la web de Movistar que permitía acceder a los datos de facturación de otros clientes
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd46%2Fd7b%2F443%2Fd46d7b443bf5f36561f370aa1994bf1e.jpg)
Problemas de ciberseguridad para Telefónica. La asociación de consumidores Facua ha anunciado en la mañana de este lunes que ha detectado unas vulnerabilidades en la web de Movistar que permiten acceder a los datos de diversos clientes.
Fuentes conocedoras de la operación con las que ha hablado este diario explican que "se trata de una vulnerabilidad en la que, cambiando algunos parámetros de un formulario web, puedes ver los datos de otros abonados".
:format(jpg)/f.elconfidencial.com%2Foriginal%2F697%2F1ef%2F3ce%2F6971ef3ce45a857393e3cd26ab703279.jpg)
La vulnerabilidad, por tanto, supone un problema importante de ciberseguridad para la compañía española. "Si tienes conocimientos y haces un 'script', te puedes bajar la base de datos entera de los clientes en un momento", aseguran dichas fuentes.
Disponibles facturas desde agosto de 2017
Según asegura Facua, "la información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación". Así pues, "al pedir el visionado de cualquier factura, la dirección del navegador incorporaba un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes".
"La información privada de los clientes de Movistar ha sido accesible para cualquier persona"
La asociación, además, ha explicado que en la noche del domingo al lunes "la compañía ha eliminado funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos".
Por ello, "en la mañana del lunes ya no es posible acceder a la versión 'online' de las facturas emitidas desde agosto de 2017. Este lunes, responsables de la compañía mantendrán una reunión con dirigentes de la asociación".
FACUA ha detectado un fallo de programación en la página web de Movistar que ha permitido acceder a los datos de facturación de sus clientes. A las 11h, nuestro portavoz, @RubenSanchezTW, dará detalles en rueda de prensa. https://t.co/x6nypWTNmD
— FACUA (@facua) 16 de julio de 2018
Telefónica: "Ya está resuelto"
Por su parte, Telefónica asegura en un comunicado que, "una vez se detectó una comunicación que hablaba de problemas con datos de clientes en una empresa del Ibex 35, la compañía se activó para hacer todo tipo de comprobaciones".
La compañía reconoce que "tras confirmarse el domingo por la noche que el asunto afectaba a Movistar, se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios. Se tomaron inmediatamente las medidas correspondientes y, esta pasada madrugada, la vulnerabilidad ya quedó resuelta".
"De los análisis efectuados", asegura la empresa, "hasta el momento no se ha detectado ningún acceso fraudulento. Este hecho ya ha sido puesto en conocimiento de todas las autoridades competente y se ha iniciado un análisis para determinar lo ocurrido". Con posterioridad, Telefónica confirmó que el número de clientes afectados no llega al centenar.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa65%2Fceb%2Fa00%2Fa65ceba0000aee3935e4ad7c10c74cf8.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa65%2Fceb%2Fa00%2Fa65ceba0000aee3935e4ad7c10c74cf8.jpg)
"El procedimiento de Facua no es honrado"
En cualquier caso, el procedimiento de Facua ha sido criticado dentro del sector de la ciberseguridad de nuestro país. Y es que Telefónica fue avisada este domingo por la tarde, con un margen de menos de 24 horas para solucionar la vulnerabilidad.
Para Román Ramírez, fundador del congreso de ciberseguridad Rootedcon, "no puede ser que cualquiera que encuentre una vulnerabilidad vaya a por una empresa sin avisarla con el tiempo necesario, porque puede provocar que entren personas a aprovecharse de ese problema". Y es que "ninguna regulación te obliga a comunicar vulnerabilidades de una forma concreta, pero el protocolo que se sigue siempre es, en primer lugar, ponerte en contacto con la empresa afectada y notificarle el problema, normalmente con un plazo de unos tres meses, para darle tiempo a solucionarlo. Es una práctica común en el sector".
"Si no se avisa con tiempo, abres una ventana de tiempo en la que cualquiera puede bajarse los datos de otras personas"
En segundo lugar, "si no tienes forma de comunicarte con la empresa, hay que notificárselo a la Guardia Civil para que contacte con el afectado y se solucione todo. Si esto no se comunica con el tiempo suficiente para solucionarlo, abres una ventana de tiempo en la que cualquiera puede bajarse los datos de otras personas". Para Ramírez, en definitiva, el procedimiento de Facua "no es honrado ni ético. Se ha hecho simplemente por hacer daño o por anotarse un tanto mediático. Es muy peligroso y muy dañino", asegura.
En cualquier caso, ahora la pelota está en el tejado de Telefónica, que en las últimas horas ha sido consciente de una vulnerabilidad de ciberseguridad que puede preocupar a sus clientes y que, de confirmarse, marcará una mediana crisis de seguridad informática dentro de la compañía.
Problemas de ciberseguridad para Telefónica. La asociación de consumidores Facua ha anunciado en la mañana de este lunes que ha detectado unas vulnerabilidades en la web de Movistar que permiten acceder a los datos de diversos clientes.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F300%2F16b%2Fc20%2F30016bc20412ddc8d4bc8e9f6330f7cd.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F697%2F1ef%2F3ce%2F6971ef3ce45a857393e3cd26ab703279.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F293%2F0ef%2F7ac%2F2930ef7ac1a0165f2a32f648260cf0a6.jpg)