La operadora española Movistar, propiedad de Telefónica, ha sufrido una de las peores fugas de datos de sus usuarios, si no la peor, de la historia de la Internet española, corriendo el riesgo de ser penada con una multa de hasta 20 millones de euros por ello.
Y no es para menos: según informa la asociación FACUA-Consumidores en Acción, el fallo en el sitio web de Movistar permitía acceder a datos personales de sus clientes, viéndose estos comprometidos. Entre los datos que podrían haberse visto filtrados a la red de redes, tenemos el nombre, dirección postal y de correo electrónico, número de teléfono fijo y móvil, y el desglose de las llamadas realizadas.
Telefónica, que no se ha hecho eco en gran medida de los hechos, sí ha confirmado a diversos medios de comunicación que ha solventado el problema y cerrado la brecha. No obstante, esto supone un duro golpe a la política de seguridad de Telefónica, cuya cara más conocida es Chema Alonso, el hacker metido a Chief Data Officer de la compañía.
¿Qué ha provocado este error?
Según FACUA, un error en la programación del sitio web que permitía el acceso a los datos. Dicho error fue detectado en la madrugada de domingo día 15 al lunes 16 de julio, y subsanado el mismo lunes por la mañana. La forma de subsanarlo ha sido, de entrada, limitar la funcionalidad de la web para que no se puedan acceder a datos sensibles, funcionalidad que podría restaurarse pronto.
Su explotación era tan simple como un cambio trivial en una dirección (URL) para mostrar las facturas de otra persona. Dicha explotación ni siquiera requiere conocimientos técnicos para ser llevada a cabo.
FACUA ha presentado denuncia ante la Agencia Española de Protección de Datos (AEPD), que es por donde a Telefónica puede llegarle la multa antes mencionada.
Se desconoce durante cuánto tiempo habría estado abierto el agujero de seguridad y quien puede haberlo aprovechado (si alguien lo ha hecho de forma efectiva).
Cual es el alcance de la filtración
En millones de personas afectadas; como hemos dicho con anterioridad, los datos a los que se habría podido acceder, son el nombre, la dirección postal y de correo electrónico, el número de teléfono fijo y de móvil, así como el desglose de las llamadas realizadas.
Esto, de por sí, puede parecer inocuo, pero no son datos que se puedan cambiar con facilidad y sin consecuencias como, por ejemplo, una contraseña. Además, estos datos pueden ser utilizados en el futuro para la realización de todo tipo de estafas, como las muy comunes estafas telefónicas. Las direcciones de correo electrónico pueden acabar constando en listas de spammers y cibercriminales diversos.
El daño, aquí, puede ser irreversible por mucho que la brecha haya sido cerrada, dependiendo de quien haya llegado a tener acceso a estos datos.
Se desconoce por el momento si los datos pueden estar en poder de organizaciones de cibercriminales, aunque todos y cada uno de los clientes de la operadora debería ponerse en la piel del peor escenario y actuar acorde dicha suposición. Es probable que a lo largo de los próximos días se vayan conociendo más detalles como, por ejemplo, si los datos han podido caer en poder de organizaciones de cibercriminales.
¿Cómo está la situación ahora?
Según informan desde Movistar, el agujero de seguridad que ha dado lugar a la filtración de los datos ha sido ya corregido y, por lo tanto -y permitiéndonos la libertad de utilizar este símil-, la «gotera» ha sido tapada. No obstante, el daño está hecho.
Los clientes de Movistar deberían recibir, acorde con la legislación vigente (RGPD), una comunicación de la empresa explicándoles qué es lo que ha pasado, sus posibles consecuencias, y lo que piensan hacer al respecto.
A lo largo de los próximos meses, estos mismos clientes de Movistar deberán estar a atentos a llamadas o correos electrónicos sospechosos que puedan recibir, o a cargos en sus cuentas bancarias de servicios que no han contratado o de productos que no han adquirido.