FACUA-Consumidores en Acción ha detectado un agujero de seguridad en la página web de Movistar que ha permitido acceder a los datos de facturación de sus clientes. Sus nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de sus llamadas han estado expuestos como consecuencia de un error básico de programación en lo que la asociación considera la mayor brecha de seguridad en la historia de las telecomunicaciones en España.

El portavoz de FACUA, Rubén Sánchez, ha dado del agujero de seguridad este lunes a las 11.00 horas en una rueda de prensa en su sede nacional, en Sevilla.

En la mañana de este lunes, FACUA ha presentado una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos (AEPD), a la que ha solicitado la apertura de un expediente sancionador contra la multinacional española de telecomunicaciones.

FACUA comunicó la existencia del agujero a responsables de Movistar en la tarde del domingo. Durante esta madrugada, la compañía ha eliminado funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos. Así, en la mañana del lunes ya no es posible acceder a la versión online de las facturas emitidas desde agosto de 2017. Este medio día, responsables de la compañía han mantenido una reunión con dirigentes de la asociación para tratar el problema.

Accesible para cualquier persona

La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes.

Después de tener conocimiento del agujero de seguridad por el reporte de un usuario, FACUA acudió a un notario para que verificase y levantara acta de las irregularidades.

Ahora, Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad que ha expuesto públicamente sus datos. Así lo establece el Reglamento General de Protección de Datos (RGPR).

El Reglamento europeo establece que en función de su gravedad, los Estados miembros sancionarán las infracciones con importes que pueden llegar a alcanzar los 10 o los 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 o al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Sin embargo, la Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros, dependiendo de que se trate de infracciones graves o muy graves.

FACUA considera absolutamente ridículas las sanciones máximas que establece la normativa española de protección de datos, que reclama al Gobierno que actualice al no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios.

1 Comentario

  1. La nueva normativa europea de protección de datos está por encima de la LOPD y está vigente desde el 25 de mayo, por lo que «en teoría» la multa debería ser acorde con dicha legislación.
    Por otro lado, la normativa obliga a la propia compañía a comunicar a la AEPD el conocimiento de dicho agujero de seguridad enseguida que lo descubra, y tampoco parece haberlo hecho ya que ha sido FACUA quien lo ha denunciado.
    Considero gravísimo el hecho de que los datos que han estado expuestos han sido los de cualquier cliente y encima con detalles críticos. Por mucho que les multen, que espero lo hagan, no nos van a compensar a los que hemos visto comprometidos nuestros datos. Y si alguien los tiene, no es reversible.
    Por último, y como experto en la materia, decir que ese fallo…. ESE FALLO… es de primero de parvulitos de informática. Y es un error, no solo del programador que lo ha cometido sino de cualquiera que le supervisara y también del jefe de seguridad de la compañía. Ese tipo de fallo no es permisible de ninguna manera. No ha sido un ataque hacker ni nada que se puedan inventar ahora. Ha sido algo tan simple que no me lo puedo ni creer. Lo único que puedo pensar que ha llevado a eso es que con lo que ganan parece que no les baste y quieran racanear en informática, a base de subcontratas, a base de gente mal pagada y que por supuesto no se implica, etc. Vamos, cosas que veo a diario y no solo en esa compañía.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.