Este lunes la asociación de consumidores Facua publicó un comunicado para dar a conocer todos los detalles sobre un fallo de seguridad en la web de Movistar que permitía acceder a los datos de facturación de sus clientes, que incluyen nombres, domicilios, direcciones de correo electrónico y numeraciones, así como el desglose de sus llamadas. Pero incumpliendo todas las normas sobre notificaciones de este tipo de fallos, pese a tener conocimiento del problema desde el jueves de la semana pasada, sólo avisó a Telefónica a última hora del domingo, con la advertencia de que harían público el fallo a la mañana siguiente, según informa el medio especializado ADSL Zone.
El fallo consistía en que cualquier usuario de Movistar, una vez dentro del sistema tras introducir su DNI y contraseña y pedir la visualización de una factura, la URL (dirección web visible en el navegador) mostraba el número de la factura que estábamos viendo. Bastaba cambiar ese número por el de cualquier otra factura para poder verla, aunque teníamos que acertar con un número real. Un sistema correctamente programado hubiera comprobado que ese número de factura correspondía con el usuario antes de mostrarla.
Telefónica se vio obligada a eliminar funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos, por lo que tuvo que trabajar de madrugada para cortar el acceso a la llamada versión "interactiva" de las facturas emitidas desde agosto de 2017 en lugar de corregir el problema. La forma habitual de comunicar estos fallos incluye dar a la empresa un plazo que permita corregir el error. Por ejemplo, la división de Google encargada de buscar problemas de seguridad informática da 90 días a las empresas para solucionarlos antes de hacerlos públicos.
Según Facua, se trata de "la mayor brecha de seguridad en la historia de las telecomunicaciones en España". Según Telefónica, el número de clientes realmente afectados ha sido de 80, con los que ya se estaría poniendo en contacto. En cualquier caso, al no haber adaptado aún el reglamento europeo de protección de datos a la normativa española, las multas a las que se enfrenta la operadora serían de un máximo de 600.000 euros.