¿Por qué FACUA conocía el fallo de Telefónica y no avisó mientras los datos estaban expuestos?

¿Por qué FACUA conocía el fallo de Telefónica y no avisó mientras los datos estaban expuestos?

Claudio Valero

Ayer saltaba la noticia al conocerse que Telefónica había solucionado de forma urgente un grave fallo de seguridad que exponía los datos de millones de clientes. Esta brecha de seguridad fue aireada por FACUA, pero ahora muchos ponen en tela de juicio la forma de hacerlo. Según acabamos de conocer, FACUA conocía el fallo en Telefónica desde el jueves y lo ocultó hasta el domingo. ¿Por qué conocían el fallo con esa antelación y no avisaron antes? ¿Cuántos usuarios han resultado realmente afectados? Os damos todas las respuestas que se conocen el día después.

Telefónica tuvo que resolver de urgencia una fallo de seguridad en la web de Movistar que permitía recuperar datos de facturación con las líneas fijas y móviles, nombre, apellidos, DNI, dirección de facturación, correo electrónico, banco de domiciliación de las facturas o histórico de facturación. La compañía española tuvo que apresurarse después de haber sido avisada un domingo del problema que se iba a hacer público al lunes siguiente.

¿Acierto o irresponsabilidad de FACUA con la brecha de seguridad de Telefónica?

El jueves, FACUA recibió una llamada alertando de una vulnerabilidad en la web de Movistar. La organización de consumidores dio los pasos necesarios para asegurarse de su existencia además de cerrar un acta notarial de la existencia del problema. No obstante, no comunicó nada a Movistar en ese momento.

FACUA

Las críticas contra esta organización se fundamentan en que guardó silencio durante varios días sobre un fallo de seguridad que podía afectar potencialmente a millones de clientes. Además, el aviso se realizó a última hora del domingo, indicando también que el lunes a primera hora iban a dar todos los detalles en rueda de prensa.

Desde FACUA explican que dieron todos los detalles ayer lunes debido a que Telefónica había podido parchear la vulnerabilidad, pero que no hubieran dado tantos en caso contrario. Sin embargo, tampoco dieron demasiado tiempo a la operadora para conseguir esta solución y se saltaron la forma de proceder habitual en estos casos.

Imagen del usuario de twitter
goldrak
@goldrak
Me parece una cagada por parte de @Telefonica pero me parece aun mas una irresponsabilidad por parte de @facua avisan un domingo por la tarde y el lunes lo publican… Entonces ahora los sistemas de @facua los podemos auditar todos sin preguntar y liberando la info… https://t.co/rTbtdxPe7u
02 de febrero, 2024 • 01:47

38

2

Sin ir más lejos, Google Project Zero, una división del gigante de Internet que ha descubierto cientos de grietas de seguridad, otorga de forma habitual un plazo de 3 meses o 90 días para que se lance un parche que solucione el problema comunicado. Pasado ese tiempo, publican la existencia del fallo en los medios. La gran diferencia en este caso son esos 90 días vs las escasas horas que dio FACUA a Telefónica.

En este caso no queremos que esto se convierta en una defensa de Telefónica. La operadora deberá rendir cuentas ante los clientes y los órganos competentes por el fallo de seguridad, pudiendo ser multada en algún caso por protección de datos. No obstante, sí queremos aprovechar para manifestar ante FACUA que las cosas no se hacen así y que deben respetar unas fechas cuando se detecta un fallo de seguridad de este calibre.

Finalmente, estamos en posición de confirmar que el agujero de seguridad sólo ha afectado a 80 clientes de Telefónica. La compañía contactará individualmente con cada uno de ellos para informarles de lo sucedido, aunque desconocemos más detalles sobre el contenido o forma de esa comunicación.

6 Comentarios