VULNERABILIDAD

Telefónica/Movistar niega haber sufrido acceso fraudulento

La empresa de telefonía cerró un fallo de seguridad que comprometió los datos de muchos clientes. Sin embargo, según Telefónica/Movistar, la vulnerabilidad quedó resuelta sin que ocurriera algún caso de intromisión.

Comencemos por el final: el comunicado de Telefónica/Movistar:

"Tras confirmarse por la noche que el asunto afectaba a Movistar, se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios. Se tomaron inmediatamente las medidas correspondientes y, esta pasada madrugada, la vulnerabilidad ya quedó resuelta.

De los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento.

Este hecho ya ha sido puesto en conocimiento de todas las autoridades competentes.

Al tiempo, se ha iniciado un análisis para determinar lo ocurrido.

Cabe destacar que esta vulnerabilidad no afectó a la web de Movistar Argentina ni a los clientes de la compañía en el país."

La noticia previa

Como consecuencia de esta falla, cualquier cliente de Telefónica podía acceder a datos de otros. Sin embargo, la empresa tomó cartas en el asunto hoy y cerró el acceso en la madrugada de hoy (16/07). La organización de consumidores FACUA amenazó a la empresa de hacerlo público y, por este motivo, esta optó por resolver el problema y restringir el acceso a algunas funciones de la web.

Lo más increíble y peligroso de esta filtración fue que no era necesario tener conocimientos de informática para acceder a los datos. Cualquier persona con una cuenta en el servicio online de la operadora, tenía que realizar un simple cambio en la URL para acceder a datos de otros clientes como números de teléfono, líneas contratadas, desglose de llamadas, ubicación del domicilio de las líneas, nombre del banco, correo, últimas cifras de la entidad bancaria, etc.

A la hora de buscar los datos de algún cliente en particular, la cosa se complicaba, porque cambiando la URL se accedía a datos aleatorios. De todas maneras, alguien con el conocimiento necesario podría haber generado una amplia base de datos de usuarios. A partir de esos datos, se pueden crear automatizaciones que establezcan correlaciones para clasificar fácilmente todo el contenido.

Si hay un problema relacionado con la seguridad de los datos de los clientes, Telefónica está obligada a comunicarlo, según lo dice el nuevo reglamento de seguridad del Reglamento General de Protección de Datos (RGDP). La verdad es que no se conoce si alguien se apropió de los datos que estuvieron expuestos y tampoco se sabe durante cuánto tiempo estuvieron a disposición de quien quisiera utilizarlos a su gusto.

La empresa Lexnet sufrió una falla similar el año pasado. Los datos de millones de clientes estaban a disposición de quien quisiera aprovechar la oportunidad: datos de facturación con las líneas fijas y móviles, nombre, apellidos, DNI, dirección de facturación, correo electrónico, banco de domiciliación de las facturas o histórico de facturación.

¿Por qué alguien querría tener una base de datos grande? Es difícil de comprender, pero estas son, en la actualidad, una de las cosas más valiosas y muchas de las empresas más grandes del mundo basan su modelo de negocios en la venta de las mismas.

El negocio de la data. Los datos personales que fueron expuestos a través de esta falla valen mucho dinero. Más de lo que uno puede imaginar: constituyen el principal activo de Google y Facebook y las personas los otorgan a cambio de nada. El modelo de las empresas consiste en general usuarios que brindan caudales gigantescos de información valiosa, que sirve para generar diferentes tipos de negocios.

El ejemplo más claro: Google y Facebook toman los datos de los clientes para adaptar la publicidad que brindan on-line a las características, gustos y deseos de cada uno de ellos. Estas empresas saben qué han buscado los usuarios, dónde han estado, hacia donde se dirigen, sus edades, amigos, hobbies, etc.