MobileConnect está siendo utilizado para acceder a la información confidencial de los clientes de Telefónica

autibet
Más integrado que la RDSI
MobileConnect está siendo utilizado para acceder a la información confidencial de los clientes de Telefónica

Hola,

 

Escribo para informar de un nuevo modo de [...] que está siendo utilizado para acceder al área privada de los clientes de Movistar y obtener todo tipo de datos privados confidenciales. Es un caso real que les sucedió a mis padres y, en este caso, creo que la culpa es de Telefónica por no proteger lo suficiente a sus usuarios.

 

Les llamaron al teléfono fijo diciendo que eran de Movistar y que les ofrecían una rebaja de la cuota por ser antiguos clientes y pensionistas (no sé cómo sabían su edad). Para confirmar el cambio, sólo tenían que confirmales un código que se les mandaría al móvil. Mis padres son mayores, pero saben que nunca hay que dar datos como usuarios o contraseñas o cuentas bancarias. Pero no les pidieron nada de eso. Simplemente les pidieron que les confirmasen el número de móvil que tenían más a mano (porque la línea tiene 2) y luego el código que Telefónica les iba a enviar. Les dieron el móvil que tenían a mano, y luego les leyeron el código.

 

Problema 1: el SMS que se recibe viene de verdad de Telefónica, con lo cual no sospecharon nada

Problema 2: no sabían (ni yo tampoco) que existía el servicio "MobileConnect", y que con un número de móvil más un código se puede entrar a tu área privada de clientes de Telefónica

 

Con eso, pudieron entrar en su cuenta, descargar facturas, y obtener todo tipo de información confidencial.

 

Un servicio que expone de esta manera a los usuarios sólo debería estar habilitado si el usuario, desde su área privada de Telefónica, solicita activar ese servicio. Tal y como está habilitado ahora expone de manera innecesaria a todos los usuarios. Facilita que se les engañe para acceder a su área privada. Es extremadamente negligente por parte de Telefónica.

 

No se hicieron ningún tipo de cambios o pedidos que se sepa, pero luego empezaron a llamar diciendo que habíamos solicitado la portabilidad a Vodafone, y blablabla. Con los datos que han obtenido del área privada no sé qué podrán hacer.

 

De nuevo, es algo que tiene fácil solución para los usuarios que deseen esa facilidad, pero ante todo debe primar la protección de los datos de los usuarios. Lo hemos reportado a las autoridades competentes.

Mensaje 1 de 6
1.636 Visitas
5 RESPUESTAS 5
Antena-KAT
Yo probé el VDSL

Hola @autibet 

 

No es ningún misterio, lo que han hecho simplemente es acceder al área privada con código SMS en lugar de contraseña, se accede al área privada y se selecciona entrar con tu móvil.

 

Si tu mismo proporcionas el número y el código de acceso enviado por SMS pues es a efectos prácticos como si les dieras la contraseña.

 

Lo mismo sucederá en caso de cualquier servicio que use un SMS para entrar o para restablecer la contraseña, entre ellos bancos, los cuales muchos de ellos con el número de DNI y un SMS se puede restablecer la contraseña de acceso.

 

Saludos


TME.png
Mensaje 2 de 6
1.628 Visitas
autibet
Más integrado que la RDSI

Hola @Antena-KAT ,

 

Correcto. Pero cuando se diseñan este tipo de sistemas, hay que tener en cuenta a toda la población, en particular a los grupos más vulnerables. Algunas personas mayores a veces no se dan cuenta de este tipo de riesgos, y no hay que dar facilidades a los [....]. Ya bastante me ha costado que nunca hagan click en ningún sitio que diga "haz click aquí".

 

Me gustaría creer que la banca tendría mejores sistemas de seguridad, pero si me dices que no, entonces ya tiemblo...

 

Gracias!

Mensaje 3 de 6
1.604 Visitas
Antena-KAT
Yo probé el VDSL

@autibet  ha escrito:

Hola @Antena-KAT ,

 

Correcto. Pero cuando se diseñan este tipo de sistemas, hay que tener en cuenta a toda la población, en particular a los grupos más vulnerables. Algunas personas mayores a veces no se dan cuenta de este tipo de riesgos, y no hay que dar facilidades a los [....]. Ya bastante me ha costado que nunca hagan click en ningún sitio que diga "haz click aquí".

 

Me gustaría creer que la banca tendría mejores sistemas de seguridad, pero si me dices que no, entonces ya tiemblo...

 

Gracias!


Hola,

 

La seguridad en general de el área privada de movistar debería ser incrementada, yo eliminaría la opción de acceder vía SMS es demasiado vulnerable y sobre todo implementar un 2FA (segundo factor de autenticación) para que se solicite un código adicional a la contraseña bien por sms, o mucho mejor por cualquier aplicación autenticadora. Es algo que propuse hace tiempo que de momento sigue sin implementarse por desgracia.

 

Merece la pena perder comodidad y ganar seguridad.

 

Saludos


TME.png
Mensaje 4 de 6
1.594 Visitas
Javi-Movistar
Experto en Ciberfraude

Buenos días.

 

Por la información indicada se trata de una llamada fraudulenta que en ningún caso ha sido enviada desde Movistar.

 

Nunca debemos de indicar contraseñas ni datos personales a terceros

 

En el mensaje recibido vía SMS se indica en primer lugar que no se comparta la información recibida con nadie.

 

En eL caso de robo o pérdida del terminal móvil se debe de bloquear la tarjeta SIM y automáticamente se bloquea el servicio Mobile Connect.

 

Saludos

 

 

 

 



Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 5 de 6
1.524 Visitas
autibet
Más integrado que la RDSI

@Javi-Movistar. Así me gusta, haciendo auto-crítica e intentando constantemente mejorar los procesos para evitar el [....]. Gran experto!

Mensaje 6 de 6
1.505 Visitas