Facua-Consumidores en Acción ha anunciado haber detectado un fallo en la web de Movistar que durante un tiempo indeterminado ha permitido acceder a los datos de facturación de sus clientes. La organización avisó a la operadora durante la tarde del pasado domingo y esta lo solucionó la madrugada del lunes eliminando algunas de las funcionalidades de su web.
El agujero de seguridad causado por “un error básico de programación” dejó expuestos los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar. Para Facua, que ya ha presentado una denuncia contra Telefónica ante la Agencia Española de Protección de Datos (AEPD) para solicitar la apertura de un expediente sancionador, estamos ante “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”.
Facua asegura que gracias al fallo cualquiera podía acceder fácilmente a los datos privados de los clientes de Movistar. “Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes”, detallan desde la organización.
Por su parte Telefónica afirma que “de los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento". Casualidades de la vida, recientemente Movistar actualizó su política de privacidad donde afirma que "[...] el control y la seguridad de los datos personales de nuestros clientes, son nuestra prioridad en el diseño y la prestación de nuestros servicios”.
Facua recuerda que en virtud del Reglamento General de Protección de Datos (RGPD) Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad. En caso de castigo la normativa europea contempla sanciones que pueden alcanzar los 10 o 20 millones de euros, pero la desactualizada Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros.
