holaluz 2

holaluz 2

Software

Los datos de miles de usuarios de la eléctrica Holaluz pueden ser accedidos fácilmente

Los datos de consumidores de Holaluz llevan al menos semanas al descubierto, por un problema en una API desprotegida en su página web.

12 febrero, 2019 09:48

Noticias relacionadas

Los estándares de seguridad a la hora de gestionar datos personales son cada vez más altos; aunque no todas las empresas los siguen como deberían. Hay muchos casos en los que un servicio mal programado puede convertirse en una auténtica “fuente” de datos personales; si no se toman las medidas adecuadas, estos datos pueden acabar en manos de extraños, con el peligro que ello conlleva.

Según han descubierto en la organización de consumidores Facua, eso es lo que ocurre con la página web de Holaluz; esta compañía eléctrica alternativa no es precisamente de las más populares, pero ha crecido mucho últimamente. Destaca no solo por prometer precios más bajos a los que pagamos, sino también por ofrecer energía “100% verde”; sin embargo, en su afán por convencernos de sus bondades, puede que hayan cometido un par de errores.

Los datos de consumidores de Holaluz, al descubierto

Todo empezó con el lanzamiento de la llamada “Tarifa Justa”; una tarifa plana ilimitada, con la que no deberíamos preocuparnos de cuánto consumimos ni cuándo usamos la energía contratada. Para demostrar que podemos ahorrar con esta tarifa plana, la web nos ofrece la posibilidad de introducir nuestros datos para calcular lo que tendremos que pagar.

holaluz 3

holaluz 3

Para poder mostrar esa información, la web de Holaluz accede a una base de datos de instalaciones eléctricas, definidas por el CUPS; el Código Universal de Punto de Suministro es un identificador único de instalaciones eléctricas, a partir del cual es posible obtener mucha información sobre el local. El problema está en que la API usada para obtener esa información no está protegida.

Una API desprotegida, la clave de este problema

Las API son comandos, usados por programadores para enviar peticiones a un servidor externo, donde normalmente están guardados los datos con protección; pero si la API está desprotegida, cualquiera con unos mínimos conocimientos podría usarla para obtener la información que quisiera. Así, aunque la web no guarde ningún tipo de información confidencial, a través de ella es posible conseguirla igualmente.

holaluz 4

holaluz 4

Entre los datos que se pueden obtener no solo está la estimación de la potencia contratada; sino también al consumo eléctrico en un periodo determinado de tiempo, así como al CUPS. Con semejante cantidad de información, un atacante podría sacar conclusiones sobre cualquier local; por ejemplo, si ve que el consumo es muy bajo, puede inferir que el local está abandonado o vacío. Con el CUPS, incluso se podría suplantar al titular del contrato.La web no nos limita a usar nuestros datos; podemos usar los de cualquier dirección que queramos y obtendremos información de ese lugar.

En Facua han denunciado que ya avisaron a Holaluz de este fallo hace quince días; pero que desde entonces no ha sido solucionado, y por eso han denunciado de manera pública. Por su parte, en Holaluz han confirmado la existencia de este problema y que están trabajando para “arreglar los posibles fallos”; sin embargo, también se han puesto a la defensiva, dejando caer que la normativa no es lo suficientemente clara en lo que respecta al manejo de datos de instalaciones eléctricas.