La asociación de consumidores FACUA ha alertado acerca de un agujero de seguridad que ha afectado a la página web de Movistar. Este fallo permitía el acceso abierto a datos de clientes, como la facturación, nombres, domicilios, direcciones de correo electrónico, e incluso el desglose de sus llamadas. Todos estos datos han estado expuestos a cualquier persona, en lo que desde la asociación denominan la «mayor brecha de seguridad en la historia de las telecomunicaciones en España«.
Según denuncian, no era necesario contar con conocimientos técnicos para acceder a la información. Bastaba con ser poseedor de una línea de teléfono de la compañía, introducir en la web el DNI y contraseña y acceder a los datos de facturación. Una vez allí, al pedir el visionado de una de las facturas, la URL en el navegador (la dirección web), mostraba un código alfanumérico equivalente al número de la factura. Si se modificaba ese número, se accedía a la factura de cualquier otro cliente.
Un error de programación, no un ciberataque
FACUA sospecha en un primer momento que el fallo se ha podido deber a un «error básico de programación». Esta misma mañana la asociación presentaba una denuncia contra Telefónica contra la Agencia Española de Protección de Datos (AEPD), solicitando que se abra un expediente sancionador.
Por su parte, Telefónica ha comunicado a la agencia de noticias EFE que el fallo se produjo hace unos días, sin especificar el tiempo completo, añadiendo que no conoce el número de afectados, pero asegurando que el error está solventado.
Se descarta así la posibilidad de un ciberataque, aunque estando la información disponible para cualquiera, no se puede saber cuántas personas se han podido dar cuenta del error antes de que lo comunicara la asociación de consumidores.
GDPR en acción
De ser así, cualquier empresa podría enfrentarse a las sanciones derivadas del cumplimiento del Reglamento General de Protección de Datos europeo (GDPR) que es de obligado cumplimiento desde el pasado 25 de mayo.
«Ahora, Movistar tiene que enviar una notificación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad que ha expuesto públicamente sus datos» explican desde FACUA, «así lo establece el Reglamento General de Protección de Datos».
La asociación asegura que comunicaron el descubrimiento del fallo de seguridad a los responsables de Movistar el domingo por la tarde. Durante la noche, la compañía ha reprogramado la web para solucionar el problema y evitar que los datos siguieran expuestos.