Los datos personales de un número aún indeterminado de clientes de Movistar quedaron al descubierto debido a un fallo de seguridad en la web de la operadora. Según comprobó este domingo la asociación de consumidores Facua, alertada por uno de sus asociados, cualquier usuario que dispusiera de credenciales de acceso al área de clientes de la web podía, una vez identificado, acceder a las facturas de otros clientes desde el mes de agosto de 2017, que incluyen los nombres, domicilios, direcciones de correo electrónico, números de teléfono y desglose de llamadas. La operadora ha confirmado la existencia de esta brecha y asegura que ya la ha corregido, si bien para ello ha tenido que desactivar temporalmente algunas funciones de la web mientras analiza el alcance del problema y aplica una solución definitiva.

Para consultar los datos ajenos, los clientes de Movistar sólo tenían que modificar manualmente en la barra de direcciones del navegador un determinado fragmento alfanumérico de la URL de la página. Este procedimiento implica, en principio, que los datos consultados correspondían a otros clientes aleatorios, si bien nada impedía que atacantes malintencionados creasen una aplicación para explotar de manera sistemática la vulnerabilidad y llevar a cabo una descarga masiva de los datos expuestos. No obstante, Telefónica indica que no le consta que ello se haya producido. Aún así, expertos en seguridad han criticado en declaraciones a El Confidencial la publicación de la brecha por parte de Facua antes de ponerla en conocimiento de la empresa afectada, publicación que hubiera podido inducir a un ataque como el citado.

Telefónica contaba a finales de marzo con 36,8 millones de accesos de clientes finales entre fijo y móvil, de los que 28 millones corresponden a clientes residenciales. La compañía asegura desconocer aún cuántos clientes han visto expuestos sus datos, pero indica a Mobile World Live que ha comunicado el incidente a las autoridades competentes y que cuando haya identificado a los clientes afectados les informará como establece el Reglamento General de Protección de Datos (RGPD). Por su parte, Facua ha anunciado que denunciará a la operadora ante la Agencia Española de Protección de Datos. Según la entidad, Telefónica podría ser multada con 600.000 euros, importe que Facua considera “ridículo” dado que la norma europea contempla sanciones de hasta 20 millones.

Precisamente hace pocos días la firma Openet publicaba un estudio según el cual los consumidores tienden a confiar más en las operadoras que en las empresas de internet a la hora de confiarles sus datos personales, y consideraba que ello constituye una oportunidad para las firmas de telecomunicaciones. Habrá que ver cómo afecta el incidente de Telefónica a esta percepción.