FACUA denuncia un fallo de seguridad en la web de Movistar que ha expuesto datos de sus clientes

Dede la compañía de telecomunicaciones española aseguran que la vulnerabilidad está resuelta y que no han detectado «ningún acceso fraudulento» al sistema, por lo que todo apunta a un fallo de servicio y no a un ciberataque

Actualizado:

La organización FACUA-Consumidores en Acción, ha descubierto un agujero de seguridad en la página web de Movistar que ha permitido el acceso a datos de sus clientes. Un error básico de programación ha dejado expuestos nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles e incluso desgloses de llamadas. FACUA considera este error como «la mayor brecha de seguridad en la historia de las telecomunicaciones en España». Fuentes de la compañía española aseguran a ABC que poco después de ser informados de este fallo, en la madrugada del domingo, «la vulnerabilidad ya quedó resuelta».

Este lunes por la mañana, la asociación ha presentado su denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos (AEPD). Solicita que se abra un expediente sancionador contra la multinacional.

Fue el domingo cuando FACUA informó del fallo de seguridad a responsables de Movistar. Durante la madrugada, la compañía detuvo algunas funciones de su web para evitar que los datos de sus clientes continuaran siendo accesibles. Esta mañana, por ejemplo, no es posible acceder a través de la web a las facturas a partir de agosto de 2017. FACUA y Movistar se reunirán a medio día, si bien la empresa de telecomunicaciones está investigando el suceso.

Cómo funcionaba el fallo

Teniendo línea en la compañía e introduciendo DNI y contraseña en la web, sin necesidad de tener conocimientos de informática, ha sido posible acceder a los datos de facturación y visionar cualquier factura. La dirección del navegador (URL), incorporaba un código equivalente al número de recibo. Modificándolo, era posible ver las facturas del resto de clientes.

Desde la compañía han explicado a ABC: «Tras confirmarse por la noche que el asunto afectaba a Movistar, se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios». Además, informan que, tras los análisis efectuados, «hasta el momento no se ha detectado ningún acceso fraudulento», por lo que todo apunta a que se trata de un fallo de «software» y no un ataque externo.

No es la primera empresa española

Según el Reglamento General de Protección de Datos (RGPD), Movistar está en la obligación de comunicar a sus clientes de que conoce el fallo de seguridad que ha dejado expuestos sus datos y la compañía ya lo ha puesto en conocimiento «de todas las autoridades competentes». Se trata del segundo caso en el que la seguridad y privacidad de los usuarios se ha visto comprometida desde la entrada en vigor de la normativa europea, que entró en pleno vigor el pasado mes de mayo. El primero habría sido la plataforma de búsqueda de trabajo Jobandtalent, que habría sufrido un ciberataque por el que se accedió a la información de sus servidores.

Desde la Agencia Nacionald e Protección de Datos han confirmado a ABC que desde que el RGPD entrase en vigor, al menos ha tenido constancia de un centenar de quiebras de seguridad en empresas españolas, si bien se están investigando y no se han facilitado más datos.

Posibles multas

El Reglamento europeo establece que los Estados miembros deberán sancionar este tipo de infracciones con hasta 20 millones de euros. Sin embargo, la Ley Orgánica de Protección de Datos de Carácter Personal española contempla una multa máxima de 600.000 euros, dependiendo del tipo de infracción.

La Agencia Española de Protección de Datos ya está analizando las informaciones publicadas, según ha podido saber ABC. Cabe recordar que el RGPD prevé un plazo de 72 horas para la comunicación de las brechas de seguridad a la AEPD por parte de los responsables

FACUA considera las sanciones que establece la normativa española de protección de datos «absolutamente ridículas». Además, reclama al Gobierno que sean actualizadas al «no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios».