Movistar expone los datos de sus clientes por una brecha de seguridad
  • Por
  • Publicado 18 de julio de 2018

Movistar expone los datos de sus clientes por una brecha de seguridad

Movistar comunica una brecha de seguridad que expone los datos de todos sus clientes españoles a través de su página web.


La mayor brecha de seguridad en la historia de las telecomunicaciones en España”, así ha calificado Rubén Sánchez, el portavoz de Facua-Consumidores en Acción, la brecha de seguridad detectada en la página web de Movistar, y que según la propia compañía ha sido solucionada durante la madrugada del domingo al lunes.

La incidencia fue detectada por un usuario, que comunicó a Facua la posibilidad de que cualquier cliente, una vez iniciada sesión en la página web, pudiese consultar facturas del resto de clientes de la compañía, cambiando los números de factura que aparecen en la URL. Esta vulnerabilidad de la web permitió que los nombres, domicilios, direcciones de correo electrónico, numeraciones, nombre del banco donde se domicilian los recibos, histórico de facturación y desglose de llamadas quedasen expuestos e incluso pudiesen descargarse en formato CSV, aunque Movistar asegura que, por ahora, no hay indicios de ningún acceso ni actividad fraudulenta con dicha información.

Aun así, desde Facua aseguran que estos datos permitirían obtener información sobre la ideología, creencias y relaciones de los usuarios, por lo que, conforme establece el Reglamento General de Protección de Datos (RGPD), Movistar debería ahora comunicar la brecha de seguridad a sus clientes, ya que la misma puede suponer un alto riesgo para los derechos y libertades de los interesados (Art. 34 del RGPD).

Recordemos que, conforme a la nueva normativa europea en protección de datos, las violaciones de seguridad de los datos personales deberán ser comunicadas a la autoridad competente sin dilación indebida y, a ser posible, un máximo de 72 horas después de que se haya tenido constancia de ella. Además, la nueva normativa establece sanciones mucho más altas para casos como el mencionado, y además de la propia sanción que imponga la AEPD, los consumidores podrían denunciar de manera particular a la compañía por el incidente de seguridad ocurrido.

En espera de la comunicación de Movistar a sus clientes, por ahora sabemos que la compañía ha deshabilitado la opción de consulta de factura online, donde se encontraba la vulnerabilidad, mientras sus técnicos analizan el impacto y alcance real de la brecha, sus causas y sus consecuencias.

Este tipo de incidentes pueden afectar a grandes compañías, como Movistar en este caso, o a pequeños negocios, puesto que no se ha tratado de un ataque, sino de una vulnerabilidad propia de la página web que, además, no fue descubierta hasta la alerta de un usuario a Facua, por lo que podría haber estado mucho tiempo en dichas condiciones.

Como exponíamos ya en artículos anteriores sobre el RGPD, el factor reputacional cobra cada vez más importancia, y en casos como el presente vemos un claro ejemplo, ya que además del aspecto técnico, ahora Movistar deberá trabajar en recuperar la confianza de sus clientes, que han visto sus datos expuestos.

Desde OptimumTIC recomendamos a nuestros clientes disponer de un Plan de Seguridad que involucre las áreas técnicas y legales, y que establezca y desarrolle medidas de seguridad que mitiguen al máximo los riesgos de ataques y de fugas de información, estableciendo procesos internos basados en best practices de seguridad, y contando con la implementación adecuada de herramientas y soluciones de seguridad.

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com