Un agujero de seguridad en Movistar deja expuestos los datos de sus clientes

Telefónica ha estado sufriendo un agujero de seguridad en la web de su filial de telefonía, Movistar, que ha dejado expuestos millones de datos de sus clientes. Nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de llamadas de usuarios de la compañía han estado expuestos. Movistar solucionó ya anoche la brecha de seguridad, después de que fuera prevenida por la asociación Facua-Consumidores en Acción.

La organización de consumidores ya ha presentado una denuncia ante la Agencia Española  de Protección de Datos (AEPD) contra la compañía por la que considera “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”. Facua, que confía en que la AEPD abra un expediente sancionador contra Telefónica de España y contra Telefónica Móviles, se reunirá hoy mismo con directivos del grupo.

La información privada de los clientes de Movistar era accesible para cualquier persona. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes. Después de tener conocimiento del agujero de seguridad por el reporte de un usuario, FACUA acudió a un notario para que verificase y levantara acta de las irregularidades.

Desde Telefónica se asegura que, tras confirmar a través de Facua que existía el problema de seguridad, se detectó la vulnerabilidad de programación informática  que permitía acceder a través de una web de la compañía a datos de la factura de clientes de manera aleatoria (no se podía buscar los datos de personas concretas, sólo acceder a facturas por el número de las mismas). De madrugada, el problema quedó resuelto. Según la operadora, hasta el momento no se ha detectado ningún acceso fraudulento a esa información que había quedado expuesta.

El Reglamento europeo establece que en función de su gravedad, los Estados miembros sancionarán las infracciones con importes que pueden llegar a alcanzar los 10 o los 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 o al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Sin embargo, la Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros, dependiendo de que se trate de infracciones graves o muy graves.

Facua considera absolutamente ridículas las sanciones máximas que establece la normativa española de protección de datos, que reclama al Gobierno que actualice al no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios.