Los datos de facturación de un número indeterminado de clientes de Movistar han quedado expuestos públicamente tras detectarse un fallo de seguridad en la página web de la multinacional española, según ha adelantado la asociación de consumidores y usuarios Facua.
La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de conocimientos de informática
Un error básico de programación ha sido el detonante del fallo, que ha permitido que los nombres, domicilios, direcciones de correo electrónico, así como numeraciones fijas y móviles y el desglose de sus llamadas queden expuestos en lo que Facua considera la mayor brecha de seguridad en la historia de las telecomunicaciones en España.
Facua ha presentado este lunes una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos (AEPD), a la que ha solicitado la apertura de un expediente sancionador contra la multinacional española de telecomunicaciones.
Facua comunicó la existencia del agujero a responsables de Movistar este domingo por la tarde. Durante esta madrugada, la compañía ha eliminado funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos. Desde este lunes ya no es posible acceder a la versión online de las facturas emitidas desde agosto de 2017. Responsables de la compañía mantendrán una reunión con dirigentes de la asociación de consumidores este lunes.
La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos de informática, aseguran desde Facua. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes.
La normativa española limita a 600.000 euros la sanción a la compañía telefónica que en Europa se elevaría hasta los 20 millones
Después de tener conocimiento del agujero de seguridad por el reporte de un usuario, Facua acudió a un notario para que verificase y levantara acta de las irregularidades.
Ahora, Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad que ha expuesto públicamente sus datos. Así lo establece el Reglamento General de Protección de Datos (RGPR).
El reglamento europeo establece que, en función de su gravedad, los Estados miembros sancionarán las infracciones con importes que pueden llegar a alcanzar los 10 o los 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 o al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Sin embargo, la Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros, dependiendo de que se trate de infracciones graves o muy graves.
Facua considera “absolutamente ridículas las sanciones máximas que establece la normativa española” de protección de datos, que reclama al Gobierno que actualice al no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios.
