Telefónica sufrió otro agujero con las facturas y fue sancionada... hace 18 años

  • La compañía fue multada por la Agencia de Protección de Datos con 10 millones de pesetas por un fallo similar en su plataforma online.
Telefónica
Telefónica

Ha puesto en jaque de nuevo a Telefónica, un año después del ataque del potente virus Wannacry. Pero ya lo hizo... hace 18 años. En el año 2000, la operadora también dejó al descubierto los datos de sus clientes en internet. Y por ello, la Agencia de Protección de Datos le impuso una sanción de 10 millones de pesetas (60.000 euros al cambio actual).

Febrero de 2000. Hispasec es una pequeña consultora de ciberseguridad con sede en Málaga (fue el germen posterior de VirusTotal, la compañía española comprada por Google en el año 2012). En su boletín ‘Una-al-día’, muy conocido en el sector de la seguridad informática y referencia para el propio responsable de Datos de Telefónica, Chema Alonso, uno de sus fundadores, Antonio Ropero, hoy fallecido, alertaba de un fallo: “Las facturas de los abonados de Telefónica son accesibles por Internet”.

En el artículo publicado, confirmaban que entre esos datos que se podían consultar se incluían, al igual que el fallo detectado estos días, el nombre del cliente, la dirección, el NIF, el desglose de llamadas o la cuenta bancaria. ¿Dónde estaba el problema? “Un fallo de programación y de configuración del servidor web”, explicaban.

Una de las páginas del directorio no exigía usuario y contraseña, por lo que se podían realizar consultas sobre otros usuarios. “Telefónica procedió a modificar la configuración del servidor que revelaba información confidencial; durante más de 19 horas, desde que Hispasec tuviera conocimiento del problema, los datos de facturación de todos los abonados estuvieron disponibles a través de internet”, apostilló.

10 millones de pesetas de sanción

Según informaba la Agencia EFE en septiembre de ese mismo año 2000, la Agencia de Protección de Datos multó a la compañía con 10 millones de pesetas (60.000 euros al cambio actual) por falta grave, al considerar probado que durante varios días del mes de febrero hubo accesos no autorizados a los datos de facturación de sus clientes a través de internet. 

La resolución de la APD aseguraba que Telefónica disponía de un sistema externo (para abonados, con clave) y de otro interno (para su personal), de acceso a la facturación de sus abonados. "Durante varios días el directorio de navegación donde se recogía la existencia de la página para accesos internos figuró visible y accesible desde Internet", según dicha resolución.

Un fallo "muy tonto"

Responsables de ciberseguridad de la operadora siguen analizando la afección de la brecha sufrida en los últimos días. Pero, la realidad es que es un error relativamente sencillo de evitar: “Es un fallo muy tonto”.

Esas son las palabras con las que describe el fallo uno de los expertos de ciberseguridad consultados por La Información: “¿Cuál es el error? La falta de seguridad en el desarrollo web y la falta (o deficiente) de auditoría antes de pasar a producción la web”, explica. Eso ha llevado a que, de acuerdo a su relato y el de otros analistas, todo apunte a que desde la operadora no se comprobaba que el usuario tuviera privilegios tecnológicos para la descarga de las facturas ‘ajenas’.

Sobre las cifras de la afección del fallo detectado en los últimos días, la empresa ya ha hecho un primer análisis: los accesos de terceros a datos de clientes de Telefónica por la brecha es inferior a un centenar, según confirman fuentes oficiales de la compañía. Pero se desconoce el número total de clientes cuyos datos quedaron al descubierto por el error.

¿Cuánto tiempo ha estado esta vulnerabilidad en la web? ¿A qué mercados afecta? La compañía responderá a las preguntas en los próximos días sobre un fallo que ha vuelto a poner los focos sobre el área de ciberseguridad... 18 años después.

Mostrar comentarios