No podía saberse: Exponen vulnerabilidades del registro obligatorio de líneas telefónicas

Apenas empezó el registro de líneas telefónicas y ya salió el primer problema… ¡Y un problema muy grave! Una compañía presenta un serio problema de vulnerabilidad, ya que es posible checar la info de cualquier persona registrada con esa compañía con la mano en la cintura.

Exhiben vulnerabilidad: Compañía expone datos de sus usuarios registrados

Fue la cuenta Telefonias Unlimited (@TelefoniasU) la que destapó la situación con esta compañía: “El portal presenta una vulnerabilidad grave de exposición de datos personales, actualmente explotable”.

Señala que basta con ingresar cualquier número y el sistema devuelve información del titular sin autenticación previa ni la necesidad de tener registro en el portal.

¿Qué clase de datos? Pues échale nomás:

• Nombre completo
• RFC
• CURP
• Correo electrónico
• Nombre de la empresa y/o RFC en el caso de personas morales

Suplantación de identidad, ingeniería social dirigida, fraude, todas violaciones directas a la Ley de Protección de Datos Personales, son sólo algunos de los graves problemas a los que están expuestos los usuarios de la compañía con esto, porque caray, cualquier hacker con dos dedos de frente sabría muy bien cómo usar esos datos para hacer lo que quiera.

“La vulnerabilidad no requiere credenciales, tokens ni validaciones adicionales. Basta conocer un número activo. El riesgo es mayor porque el registro centraliza datos sensibles de millones de usuarios en un flujo que hoy no valida identidad antes de responder”.

Periodista especializado confirma que la compañía expone los datos de sus usuarios registrados

Acusar es una cosa, que sea real es otra, lo sabemos. Bueno, el periodista especializado en esta clase de temas, Ignacio Gómez Villaseñor, se dio a la tarea de verificar la información y reporta que, en efecto, tuvo acceso a miles de datos sin necesidad de alguna autenticación.

“Al ingresar cualquier número telefónico en el formulario, el sistema interno devuelve —sin necesidad de contraseñas ni códigos de verificación— un paquete de información completo del titular de la línea. Esto es sumamente peligroso. Cualquier ciberdelincuente podría usar alguna de las bases de números y automatizar la extracción masiva de información (…) Y sí, yo comprobé que la vulnerabilidad es real”, escribió.

Compartió en su cuenta de X @ivillasenor capturas de cómo los datos están expuestos, lo cual hizo también con hackeos masivos como cuando le pasó al INE recientemente.

El registro es obligatorio y ya comenzó

Obviamente lo grave de esto es que registrarse no es opcional, es obligatorio y comenzó a partir de este 9 de enero. Se supone que la idea es ponerle nombre e identidad a toda línea telefónica para evitar extorsiones, pero claramente el riesgo es demasiado.

AQUÍ ya te hemos contado cómo hacer el registro paso a paso, así como detalles importantes a considerar antes, durante y después de tu registro.

Por ahora la compañía no ha sacado algún comunicado ni respuesta a esto, pero ojalá lo hagan pronto y solucionen el tema (por acá algunos en la redacción tenemos líneas de esa compañía y bendito Dios no nos hemos registrado aún).

Y obvio, que toda compañía y las autoridades se pongan pilas para revisar que no haya otro problema igual, y si es necesario pausar el registro mientras lo hacen, pues que lo hagan… ¡Merecemos registrarnos con seguridad si nos van a obligar a hacerlo!