Telefónica ha experimentado una brecha de seguridad que ha dejado expuestos millones de datos de sus clientes y que se ha visto resuelta en las últimas horas. El agujero fue parcheado en la madrugada del lunes por los técnicos de la compañía, que sabían que la organización de consumidores Facua estaba a punto de hacer pública su existencia.
Se trata de una vulnerabilidad cuya existencia había sido verificada por EL ESPAÑOL y que tiene ciertas similitudes con los problemas que experimentó el sistema Lexnet el año pasado. ¿El mayor parecido? Que se trataba de una debilidad del sistema accesible para cualquiera, y que permitía obtener los datos de miles o millones de clientes sin contar con excesivos conocimientos técnicos.
Concretamente, el agujero de seguridad permitía que cualquier usuario pudiese acceder a los datos de facturación de otros clientes, tales como las numeraciones de las líneas fijas y móviles contratadas por ellos, su nombre y apellidos, DNI, dirección de la instalación de la línea fija, dirección de facturación, correo electrónico, el nombre del banco donde tiene domiciliados los recibos y su histórico de facturación con todos los servicios contratados, llamadas realizadas y otros datos de consumo mensual, que además podían descargarse en archivos formato CSV (valores separados por comas) para ser utilizados en Excel.
"De los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento", explican desde Telefónica, que ha puesto esta brecha de seguridad en conocimiento de "todas las autoridades competentes"; además, ha iniciado un análisis para esclarecer lo ocurrido.
Facua anunciará el resultado de su investigación en una rueda de prensa en Sevilla en la que probablemente pueda dar más información sobre lo sucedido tras haberse cerrado la brecha. La organización tiene certificada ante Notario la existencia de esta incidencia. Por el momento, la solución empleada para cerrar el agujero ha supuesto eliminar funcionalidades de la web.
Para acceder a los datos de otros clientes, los usuarios sólo tenían que estar logueados en el sistema, acceder a los datos de su factura y hacer un pequeño cambio en la URL. Si bien esto implicaba acceder a datos aleatorios, hubiera sido posible diseñar un programa que recogiese información en grandes cantidades de los sistemas de la operadora para luego analizarla.
No está claro que esta vulnerabilidad haya sido explotada ni durante cuánto tiempo lleva afectando a los usuarios, el potencial de la filtración podría implicar que buena parte de los clientes de la operadora se hayan visto expuestos.
Nueva política de privacidad
En la factura de julio, los clientes de Movistar recibían una actualización de la política de privacidad en la que el grupo apuesta por "unos claros principios y valores de privacidad donde la transparencia, el control y la seguridad de los datos personales de nuestros clientes, son nuestra prioridad en el diseño y la prestación de nuestros servicios". En la misma carta, subrayan su voluntad de que sus clientes controlen sus datos personales "y que puedas decidir quién accede a ellos, en qué condiciones y para qué finalidad".
Según las nuevas normas fijadas por el Reglamento General de Protección de Datos (RGPD), una violación de este tipo lleva aparejada una notificación a la Agencia Española de Protección de Datos (AEPD). Es posible que dicha información deba complementarse con una notificación dirigida a sus propios clientes.
El pasado mes de marzo, la AEPD daba por probado que Justicia había cometido una infracción grave por el incidente de seguridad del sistema LexNET que se produjo el pasado mes de julio de 2017, ya que se vio afectado el buzón de correo de los usuarios y que algunos visualizaron mensajes de forma no autorizada.