Facua ha revelado la existencia de un problema de seguridad que permitió obtener datos de usuarios de la web de Movistar.

La seguridad es uno de los aspectos más importantes en los que se debe centrar cualquier operadora; empresas como Movistar invierten millones para asegurarse de contar con la última tecnología en este sentido. Pero precisamente por eso, hay ocasiones en que podemos encontrarnos agujeros en el sitio en el que menos nos lo esperamos.

Así lo ha revelado la asociación de consumidores Facua, que explica cómo la web de Movistar tenía un agujero de seguridad que permitía acceder a datos de los usuarios; un bug que ya ha sido solucionado por Movistar esta misma madrugada, después de ser avisada de que Facua iba a publicar hoy esta información.

Fue posible obtener datos de usuarios de la web de Movistar

El bug permitía que cualquier usuario pudiese acceder a los datos de facturación de cualquier cliente; de esta manera, podía conseguir los datos personales que aparecen en las facturas.

Desde el nombre completo, el domicilio, el correo electrónico, el número de casa y el móvil, o el desglose de llamadas; es información muy personal que puede servir para crear una imagen muy detallada de la víctima. Usando estos datos, sería posible intentar otros ataques, como phishing, u obtener información importante sobre las llamadas que hemos hecho en cualquier mes.

movistar web bug

Lo peor del bug es que es muy simple, y no son necesarios conocimientos técnicos para aprovecharse de él; no estamos ante algo que sólo pudiesen hacer “hackers”.

El método era muy sencillo. Al acceder a una factura, podemos ver que la dirección URL cambia e incluye un identificador con números y letras; ese conjunto de conjunto alfanumérico es único para cada factura y sirve para identificarlo dentro del sistema.

El fallo está en que el usuario puede cambiar esos números y letras para que mostrase cualquier factura. El sistema no comprueba si tiene permiso para ver esa factura, sólo tiene que tener una sesión iniciada; con ir probando con distintas combinaciones podíamos obtener cualquier factura guardada en el sistema.

El bug ha sido solucionado, pero ¿alguien se ha aprovechado?

Movistar solucionó este bug la pasada madrugada; sus responsables fueron avisados la tarde del domingo de que Facua iba a publicar detalles de este problema de seguridad.

Con tan poco tiempo para responder, la primera medida de Movistar ha sido eliminar funciones de su web; de esta forma, ya no podemos acceder a facturas emitidas desde agosto de 2017. Es una limitación que permanecerá hasta que se pueda solucionar el bug completamente.

Por el momento no hay indicios de que alguien se haya aprovechado de este bug para obtener datos personales. Telefónica ha negado que se hayan producido “accesos fradulentos” a los datos de los usuarios, pero el caso aún despierta más interrogantes que respuestas.

Por ejemplo, no está claro cuánto tiempo lleva este agujero al descubierto; podrían ser meses o años, según Facua, y Movistar no ha aclarado por su parte mucho más, aparte de que el bug está solucionado.

Un punto positivo, si es que lo podemos llamar así, es que este bug no permitía buscar los datos de una sola persona. Para ello haría falta saber el identificador de una de nuestras facturas, y en ese caso probablemente ya tendría acceso a nuestros datos.

Qué consecuencias puede tener

Para los usuarios, todo dependerá de si alguien encontró este bug antes que Facua y lo aprovecho. En caso afirmativo, sería muy fácil crear un script que obtuviese todas las facturas guardadas en Movistar; y eso sería una enorme base de datos con información personal de millones de personas. Si un atacante lo ha hecho, tus datos ahora mismo podrían estar siendo vendidos al mejor postor en la Dark Web.

movistar web

Para Movistar, la posibilidad de una multa es muy grande. Este no es un caso muy diferente al de LexNET, que el año pasado se descubrió que permitía acceder a todos los datos de todos los casos judiciales del Ministerio de Justicia.

La Agencia Española de Protección de Datos (AEPD) consideró la de LexNET como una “infracción grave”; y la de Movistar comparte muchas características.

Por lo tanto, Movistar se podría enfrentar a multas de hasta 600.000 € de la AEPD. Según Facua, esta sería una cifra “ridícula” por poner en peligro los datos de millones de usuarios; e indica que el reglamento europeo contempla multas de 20 millones de euros o el 4% del volumen de negocio. Unas multas que son reducidas por la ley española.