¿Cómo actuar ante fallos de seguridad como el de Movistar detectado por Facua?
La asociación ISACA Madrid, como expertos en seguridad y ciber seguridad, ante el fallo de seguridad de Movistar descubierto por FACUA, nos hacen llegar las recomendaciones de cómo se debe actuar ante este tipo de problemas que se puedan dar en una web que maneja información privada o sensible.
El ataque era muy sencillo pero ya está solventado.
Cualquier persona que tuviera un DNI y una contraseña de la web de Movistar pudo acceder a esos datos, modificarlos y ver las facturas de otros clientes cambiando un parámetro en la url.
El problema se dio a conocer en diversos medios la denuncia que ha interpuesto la organización de consumidores FACUA ante la Agencia española de protección de datos (AEPD) por un agujero de seguridad detectado en la web de Movistar.
El agujero en sí mismo era aparentemente simple y permitía a cualquiera que tuviera acceso a su facturación ver la facturación de otros abonados cambiando dígitos en la url. Al parecer la empresa ha reconocido el fallo y posteriormente ha informado de que se ha reparado.
Los expertos en materia de cyber seguridad y protección de datos de la Asociación de auditoría y control de los Sistemas de Información (ISACA Madrid ) queremos recordaros algunas buenas prácticas ante sucesos similares, que desgraciadamente son más frecuentes de lo deseable:
- En el caso de que se detecte un posible fallo de seguridad, este debe ser comunicado a la mayor brevedad posible a la empresa responsable del sistema informático.
- Asimismo, es conveniente guardar algunas capturas de pantalla, fotos o algún tipo de copia del problema para posibles reclamaciones posteriores.
- No parece buena idea publicitar y propagar el problema a través de las redes sociales, puesto que ello facilitaría que algún desaprensivo aprovechara el fallo mientras está siendo reparado. Esto agravaría el problema y complicaría su solución.
- En el improbable caso de que la empresa no atendiera el problema (la legislación actual es muy disuasoria de estas faltas de atención) habría que comunicarlo a otras instancias y para ello hay tres opciones:
- a)Si afecta a la privacidad de nuestros datos como clientes o ciudadanos, comunicarlo a la AEPD (https://www.aepd.es/agencia/html)
- b)Si parece que pueda estar relacionado con la comisión de un delito, comunicarlo a los Cuerpos y Fuerzas de Seguridad del Estado (Policía Nacional y Guardia Civil).
- Guardia Civil, Mando de Información, Investigación y Ciberdelincuenciahttp://www.guardiacivil.es/es/colaboracion/form_contacto/index.html
- Cuerpo Nacional de Policía, Unidad Central de Ciberdelincuencia (https://denuncias.policia.es/OVD/ y https://www.policia.es/colabora.php)
- c)Si no es ninguno de los casos anteriores, existe la posibilidad de comunicarlo a INCIBE, Oficina de Seguridad del Internauta (https://www.osi.es/es/contacto)
En ISACA se preocupa para ofrecer a los profesionales herramientas que eviten que estos fallos se produzcan y, en todo caso, para que aprendamos de los mismos y mejoremos. Una parte importante es la actuación que ciudadanos particulares puedan hacer y por ello os animamos a seguir estas recomendaciones.
. Leer artículo completo en Frikipandi ¿Cómo actuar ante fallos de seguridad como el de Movistar detectado por Facua?.
Entradas recientes para ¿Cómo actuar ante fallos de seguridad como el de Movistar detectado por Facua?
- The Rogue Prince of Persia, el título roguelite de acción y plataformas en 2D, ha recibido su mayor actualización
- Star Wars Outlaws: ya disponible en Steam y también disponible el primer pack de contenido narrativo del juego, Wild Card.
- PlayStation Portal recibe una nueva actualización de software
- Una leyenda de Mercedes en la F1 llega a Gran Turismo 7 en su nueva actualización
- Microsoft Flight Simulator 2024 ya está disponible