Jornada 25 Aniversario Asociacion de Internautas


Antonio Fernández Basilio

Presunta fuga de datos producida en la plataforma de facturación de Movistar


Facua ha presentado una comunicación indicando que la web de Movistar tenía un agujero de seguridad donde quedaban expuestos nombres, domicilios, líneas fijas y móviles, direcciones de correo electrónico y el desglose de llamadas de los clientes. (Fuente : https://www.facua.org/pdf/FACUA-noticia-13020.pdf )





Atendiendo a los datos obtenidos desde la propia página web de Facua, se le comunica a Movistar el domingo por la tarde y la compañía afectada se pone a solucionarlo en la madrugada del domingo al lunes siendo el mismo lunes cuando se convoca una rueda de prensa para hablar sobre este agujero de seguridad y para comunicar que se ha procedido a denunciarlo ante la Agencia Española de Protección de Datos, calificándolo como “la mayor brecha de seguridad en la historia de las telecomunicaciones en España.” (Fuente:https://www.facua.org/es/noticia.php?Id=13007

Según la información que ha ido apareciendo en distintos medios y a falta de la comunicación oficial de Movistar al respecto, para acceder a los datos, había que estar autentificado y entonces alterar el dato necesario para tratar de obtener los datos de otro usuario. No existía la posibilidad de acceder a los datos de alguien en concreto y no era posible acceder a los históricos de datos del cliente afectado. Solo al documento en cuestión, que incluye, eso si, todos los datos necesarios para poder efectuar los servicios de facturación con normalidad, por lo que si quedaban expuestos datos sensibles.

Cuando se produce un incidente de estas características, normalmente se siguen una serie de pasos:

Descubrimiento:

Un investigador descubre un fallo o vulnerabilidad que afecta a una plataforma

Comunicación:

El investigador se comunica con los responsables de la plataforma afectada indicándoles la posible vulnerabilidad descubierta.

Validación:

Se verifica que los datos aportados son correctos y que puede reproducirse en la plataforma afectada. Se comprueba el alcance real del problema.

Parche - Solución del problema:

Se procede a solventar el problema y se comprueba que la solución al error no haya provocado otros errores./p>

Notificación:

Se procede a notificar al público y a las posibles personas afectadas el incidente.

Este proceso puede durar horas, días o incluso meses. Siendo la naturaleza del fallo detectado la que marque la necesidad de respetar o establecer dichos plazos. El hecho de que unas horas después de producirse la comunicación, los responsables de la plataforma se pusiesen manos a la obra y deshabilitando funcionalidades impidiesen la posible explotación del fallo y por lo tanto el acceso a los datos afectados, minimiza el escaso tiempo que ha habido entre la comunicación a la plataforma afectada y la rueda de prensa en público comunicando dicho fallo. Aún así, es probable que dar un mayor margen de tiempo antes de comunicarlo habría sido lo adecuado, sobre todo para poder ofrecer un mayor detalle sobre el alcance real.

Aunque Movistar señala que no se ha producido, según sus investigaciones hasta el momento, un acceso fraudulento a los datos, como mínimo el investigador que lo reportó si accedió a ellos.

Lo que resulta curioso es que Movistar entre sus ofertas a grandes empresas ofrezca servicios de análisis de vulnerabilidades que incluyen desde test de intrusión a sitios web como análisis de código fuente para detectar fallas de seguridad. Justo lo que ha fallado en su propio sitio.

Artículo para la Asociación de Internautas de Antonio Fernández Basilio – Analista forense especializado en el uso de herramientas de laboratorio y en la realización de dictámenes periciales.


banner afiliaci�n

pdfprintpmail