x
Centro de preferencia de la privacidad
Cuando visita cualquier sitio web, el mismo podría obtener o guardar información en su navegador, generalmente mediante el uso de cookies. Esta información puede ser acerca de usted, sus preferencias o su dispositivo, y se usa principalmente para que el sitio funcione según lo esperado. Por lo general, la información no lo identifica directamente, pero puede proporcionarle una experiencia web más personalizada. Ya que respetamos su derecho a la privacidad, usted puede escoger no permitirnos usar ciertas cookies. Haga clic en los encabezados de cada categoría para saber más y cambiar nuestras configuraciones predeterminadas. Sin embargo, el bloqueo de algunos tipos de cookies puede afectar su experiencia en el sitio y los servicios que podemos ofrecer.
Más Información Habilitar todas
Gestionar las preferencias de consentimiento
- Cookies técnicas Activas siempre
Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
- Cookies de Google Maps
Cookies de Preferencias de Google: Estas cookies permiten que los sitios web de Google recuerden información que cambia el aspecto o el comportamiento del sitio web como, por ejemplo, el idioma que prefieres o la región en la que te encuentras.
- Cookies de análisis o medición
Son aquellas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
Rechazar todas Confirmar mis preferencias
Polémica de FACUA al publicar el fallo de Movistar
Páginas Web Valencia Thu, 19 Jul 2018 11:29:32 +0200

Nuestro Blog

Polémica de FACUA al publicar el fallo de Movistar

Polémica de FACUA al publicar el fallo de Movistar
Cualquiera puede encontrar una brecha de seguridad por casualidad o curiosidad, no hace falta ser un investigador de seguridad. En el caso del fallo de seguridad en la web de Movistar fue descubierto por un usuario.

Esta persona informó de la brecha de seguridad a la asociación de consumidores FACUA, quien denunció ante la Agencia Española de Protección de Datos, hasta ahí todo correcto, y públicamente el hallazgo del agujero de seguridad en menos de 24 horas después de comunicarlo y menos de 12 horas después de solucionarlo.

¿Está esto bien hecho?¿Es así como se debe actuar ante una posible vulnerabilidad?

En el caso de la web de Movistar


Según la versión de la organización el usuario les reporta el problema, se comprueba, posteriormente acuden a un notario para que lo verifique y levante un acta sobre la existencia del problema.

A telefónica se le comunica durante la tarde del domingo al mismo tiempo que FACUA publica un tuit (a las 19:50) en el que se asegura "FACUA detecta un agujero de seguridad en la web de una de las principales empresas del IBEX 35 que daba acceso a los datos de facturación de sus clientes".

Movistar soluciona el problema durante la madrugada del domingo al lunes. Y tras conocer la información que hablaba sobre la vulnerabilidad iniciaron comprobaciones de forma preventiva. Finalmente durante la mañana del lunes el portavoz de FACUA compareció ante los medios de comunicación para hablar sobre lo ocurrido y de forma muy detallada.

La forma de proceder de la asociación de consumidores durante la tarde del domingo fue criticada en redes sociales por profesionales relacionados con la seguridad informática. Pese a todo, si FACUA hubiese deseado seguir la política de revelación parcial de vulnerabilidades generalmente aceptada en el ámbito de seguridad informática, la revelación responsable o responsible disclosure en inglés, debería haber cambiado su forma de proceder.


Cómo hacer una revelación responsable de una vulnerabilidad


Se establece que cuando se llega a descubrir un fallo de seguridad el descubridor debe informar al responsable del fallo. En ocasiones ambos disponen de una tercera parte que medie en las comunicaciones, que en todo caso, deben ser seguras, confiables y directas para evitar filtraciones.

Si el responsable comprueba la vulnerabilidad, da crédito a los descubridores y actúa para darle una solución en un tiempo razonable, unos 30 días, el descubridor debería esperar a que se publique el arreglo para revelar toda la  información sobre la misma salvo el exploit, fragmento de datos o secuencia de comandos o acciones.

Normalmente el periodo que se da para solucionar el problema puede llegar a ser de 90 días y si al final no se soluciona o simplemente el responsable no hace nada para intentar solucionarlo, el descubridor estaría legitimado para hacer una revelación completa, siempre sin el exploit.

¿Qué dice el RGPD?


Si en una empresa se produce una vulnerabilidad y se repara antes de que sea explotada, no tienen porque hacer nada. En cambio, si el fallo ha sido explotado o conocido externamente y si afecta a ciudadanos de los Estados miembros entra el RGPD.

El reglamento europeo establece la notificación de una brecha de seguridad relacionada con los datos personales a la autoridad competente en un plazo máximo de 72 horas. La notificación deberá describir la naturaleza del problema,  describir las posibles consecuencias y las medidas adoptadas para solucionarlas, entre otros datos requeridos.

Y además si la violación de la seguridad de los datos personales es probable que entrañe un alto riesgo para los derechos y las libertades de las personas, la comunicación debe realizarse también al interesado.

Incumplir la obligación de notificar este tipo de violaciones de seguridad puede llegar a acarrear multas administrativas de 10 millones de euros como máximo o, si se trata de una empresa, las sanciones pueden alcanzar una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Polémica de FACUA al publicar el fallo de Movistar