Foro

Avatar de FenixDigital
FenixDigital
Mi vida cambió con el ADSL
11-09-2015

¿Mail falso enviado directamente desde Movistar?

Hoy recibí un mail confirmando la contratación de un servicio, y como no he solicitado ningún servicio, automáticamente supuse que sería un mail de spoofing, phishing o algo así, así que lo revisé.

 

Cuando empecé a analziar los links dentro del mail, las imagens y todo el enrutamiento del mismo (cabeceras) descubrí que el mail proviene realmente de movistar. El mail se envió hoy y tiene fecha de hoy al mediodía. El asunto pone "confirmamos la contratación de su servicio con número de pedido 277020546115 (pongo aquí el número en público porque realmente yo no he hecho ningún pedido).

 

Accedí a Mi Movistar y desde seguimiento de pedidos efectivamente no hay ningún pedido registrado a mi nombre.

 

Pero este email es muy preocupante porque:

(1) Si es un fallo del sistema, de alguna forma se me ha atribuído y confirmado un pedido sin mi intervención de ninguna forma. Y eso puede ser un fallo de seguridad del sistema.

 

(2) Si un comercial me asignó un pedido y lo confirmó sin mi aprobación, no sólo es un fallo grave sino que es un delito. Aunque después lo hubiera cancelado de modo que no aparezca.

 

(3) Si no es ninguna de las dos cosas y el mail fue generado por una persona ajena a movistar, tengo bastante claro después de analizar el mail que ha pasado efectivamente por los servidores de movistar (telefonicaonline.com) con lo cual si alguien ha metido mano, lo ha hecho desde dentro o bien ha accedido a los servidores de movistar y eso me parece serio.

 

Como siempre, cuando uno recibe algo así de grave, en el 1002 ni en el 1004 tienen forma de acceder a alguien que se ocupe de la seguridad en Movistar como para reportar un asunto así de grave.

 

Sería tal vez interesante que alguien se ocupara de revisar esto.

 

Por supuesto tengo copia del código fuente del mensaje.

 

Saludos,

6 Respuestas

Las respuestas se han desactivado para esta discusión
  • Avatar de FenixDigital
    FenixDigital
    Mi vida cambió con el ADSL
    23-09-2015

    Hola de nuevo.

     

    Recibidas las disculpas y aceptadas. No se trata de eso, ni de las molestias como cliente sino de una preocupación que va muchísimo más allá y que debería preocupar a Movistar como empresa (y si no es así realmente sería muy vergonzoso si una empresa cuyo principal negocio son las comunicaciones y la transmisión y seguridad (implícita) de datos no presta atención a un incidente gravísimo como este).

    Esto es un problema que roza la institucionalidad y sobre el que me interesa sobremanera llamar la atención de control de calidad de Movistar y quiero ponerme en contacto con un responsable de calidad de servicio, y con un responsable de seguridad informática, porque reitero que roza las responsabilidades implícitas en la LOPD. Honestamente creo que sólo por casualidad no ha provocado un problema mucho peor y me preocupa que detrás de esto pudiera haber un fallo o hueco de seguridad dentro del sistema y como mínimo esto merece ser investigado con mucha más profundidad.

     

    Soy analista de sistemas, profesional de informática y si algo así sucediera en un sector que yo administro me preocuparía y mucho. Por eso pido que se me indique una persona de contacto, para canalizar el incidente hacia los especialistas que corresponda para que se investiguen los sistemas administrativos e informáticos relacionados con esto para que se asegure que la seguridad de datos y la calidad del servicio está garantizada.

     

    Telefónica de España / Movistar ha invertido mucho dinero, tiempo y esfuerzo en obtener certificaciones de calidad que la han hecho llegar al lugar en el que está, y es muy fácil perder una certificación por un problema tonto y [....]. Llamo la atención sobre un problema que parece simple pero que puede ser la punta del iceberg de un problema potencialmente mucho más grave. Creo que no estoy pidiendo nada descabellado, como cliente creo que tengo el derecho de exigir se me demuestre que aquellos a quienes de alguna forma he confiado información sensible y personal se comportan a la altura que la responsabilidad exige, y con lo que ha sucedido ahora lo dudo mucho.

     

    Lo que ha sucedido no debe volver a suceder, y para eso es necesario revisar los procedimientos, encontrar los puntos flacos y fortalecerlos y levantar los muros de protección que permitan impedir realmente que algo así pudiera volver a suceder.


    Confío en que se me enviará un mensaje privado indicando la vía de contacto (telefónica, mail o lo que fuera conveniente) con el departamente responsable de calidad del servicio (QA/QC) para explicarles de qué se trata.

    Muchas gracias de nuevo.

  • Avatar de Ascen-Movistar
    Ascen-Movistar
    Moderator
    21-09-2015

    Hola FenixDigital

     

    Lamento las molestias ocasionadas, ya esta solucionado como te ha comentado EsmeRe-Movistar, actualmente no existe un registro para poder comprobar a quien pertenece una dirección de correo electrónico, por lo que difícilmente puede hacerse comprobaciones para ver la titularidad de una dirección de correo electrónico, es un dato que facilita el cliente al dar de alta su línea o registrarse online, detectar si ha sido un error administrativo al escribir unas letras por otras o si lo facilitó el cliente es difícil de comprobar. Reitero nuevamente las disculpas por las molestias, y tomamos pasamos nota de tu queja.

     

    Salud:smileyhappy:s

  • Avatar de FenixDigital
    FenixDigital
    Mi vida cambió con el ADSL
    20-09-2015

    Me pregunto cómo puede alguien tener asociado un e-mail que no le corresponde. ¿Fue por un error administrativo? ¿Un error del cliente? ¿Es que los mails no se verifican al registrarlos?

    Me parece que Movistar debería revisar los procedimientos tanto administrativos como informáticos y automáticos, para procurar que todos los mails asociados a cuentas de clientes estén doblemente comprobados antes de permitir cualquier comunicación a través de esos mails. Es parte de la información privada protegida por la LOPD.

    Obviamente quiero presentar una reclamación al respecto, para que se investigue lo sucedido, se encuentre el fallo y se corrija de forma tal que no se pueda repetir en el futuro algo como esto, porque yo he recibido un e-mail que no era para mí, y eso es un fallo de seguridad de parte de Movistar.

    Quiero escalar este problema oficialmente al departamento que corresponda dentro de Movistar y por supuesto para ello quisiera que se me indique a quién contactar.

     

    Gracias.

    Por supuesto que no acepto la respuesta como solución, porque el hecho de que se haya corregido un inconveniente no me demuestra que se haya solucionado el fallo que lo ha originado, y por supuesto podría repetirse y eso es inaceptable.

     

     

  • Avatar de EsmeRe-Movistar
    EsmeRe-Movistar
    Moderator
    20-09-2015

    Hola FenixDigital,

    Siento lo ocurrido.

    Puedes quedarte tranquilo que no tienes ningún pedido asociado a tu NIE.

    Lo que ha ocurrido es que otro cliente que ha realizado un pedido tenía asociado tu correo electronico. Ya lo he solucionado y lo he dado de baja.

    Un saludo.

  • Avatar de Comercial.Global-movistar
    Comercial.Global-movistar
    Moderator
    12-09-2015

    Hola FenixDigital

    Te pedimos disculpas por las molestias:smileysad:, para poder gestionar tu consulta agradecemos envíes un mensaje privado con el nombre completo, número de teléfono y el dni del titular, comprobaremos si realmente ese pedido se ha realizado en tu línea, sino para canalizarlo debidamente.

    Un saludo!
    Pury :smileyhappy: