La división argentina de Telefónica Movistar, a pesar de su relativa estabilidad como operadora dentro del país, sufrió en recientes fechas un serio problema de seguridad a través de uno de sus sitios de internet, donde con una simple modificación en la dirección URL de una página de consultas era posible consultar de manera pública y vulnerable absolutamente todos los registros de llamadas de cualquier número suscrito dentro de la compañía. El bug de seguridad por fortuna ya ha sido corregido, sin embargo, según afirman los reportes del propio descubridor de esta brecha, se trata de un asunto que tenía meses abierto y disponible dentro de la infraestructura de la empresa.
La falla de seguridad se detectó desde enero
Diego Nicolás Sisto, estudiante de Ingenieria en Sistemas de la Universidad de Buenos Aires, fue quien detectó esta vulnerabilidad en el sitio web de Movistar Argentina, con el cual era posible acceder al registro de llamadas y mensajes de cualquier usuario, mediante un sencillo proceso, mismo que publico de manera íntegra en su blog personal. De acuerdo a lo descrito por Sisto, bastaba con abrir la página de consulta en modo desarrollador para encontrar las líneas de código con los parámetros de la petición al servidor, en donde bastaba cambiar la última línea, con el número telefónico de cualquier otro usuario Movistar para poder visualizar el registro completo de sus actividades en materia de llamadas y mensajes.
El bug, reportado en el blog de Sisto por la noche del lunes, de acuerdo con su propio descubridor tenía abierto al menos desde el mes de enero, en que lo notó por primera vez, por lo que, tras el periodo de tiempo expuesto consideró prudente hacerlo público y alertar por vía Twitter a los chicos de Movistar. Horas después el error fue solucionado por el operador de telefonía móvil de manera tajante, ya que de manera temporal se ha suspendido el servicio de consulta de movimientos en su página web, y se mantendrá inactivo hasta nuevo aviso.
Mientras tanto no hay una manera certera de determinar quienes fueron víctimas de esta vulnerabilidad y terminaron con la información expuesta de sus registros de llamadas.