Etiqueta: seguridad

La comunicación de Vodafone con los clientes afectados ha sido nula. Como ya hemos visto, lo único que se conoce está en noticias de prensa, en el foro donde bastantes usuarios intercambiaban información, y finalmente, en el comunicado de FACUA. Lo cierto es que la respuesta puede calificarse de desastrosa.

La sensación que los clientes afectados se han llevado deja mucho que desear. Me gustaría poder medir cuántos clientes dejarán Vodafone por este incidente, o poder medir también la publicidad negativa que estos proporcionarán a esta compañía. Todo esto podría valorarse económicamente.

¿Pero qué se debía hacer? ¿Es mejor no levantar mucho polvo guardando silencio, y dejar que pase la tormenta, o tomar medidas?… ¿pero qué medidas? Las empresas españolas no están obligadas a comunicar estos fallos de seguridad que comprometen datos de carácter personal, pero no es menos cierto que con Internet al alcance del usuario el escenario ha cambiado. Ya hemos visto lo fácilmente que corren las noticias…

Todavía no está muy introducido en España lo que es conocido como “data breach management”. Diferentes equivalentes a nuestra Agencia Española de Protección de Datos tienen publicadas guías para actuar en estos casos. A título de ejemplo:

Canadá – Key steps for organizations in responding to privacy breaches

Gran Bretaña – Guidance on data security breach management

Nueva Zelanda – Privacy Breach Guidance

Tienen en común que los pasos a seguir son los siguientes:

1.- Contención del incidente y evaluacion preliminar;
2.- Evaluación de los riesgos asociados;
3.- Notificación; y
4.- Prevención 

La tercera fase, la notificación, es la que sabemos que Vodafone no ha realizado. Al menos voluntariamente.

En todas estas guías se hace hincapié en que hay que evaluar caso por caso. El procedimiento de notificación de incidencias ha fallado estrepitosamente. ¿Cómo es posible que habiendo recibido llamadas en el servicio de atención al cliente no se reaccionase antes? Y una vez conocido, y habiendo sido contactados por FACUA pidiéndoles explicaciones, ¿por qué Vodafone no hizo un comunicado público?

Tendremos que acostumbrarnos a gestionar estos incidentes. No sería mala idea quizá que la Agencia se pusiera manos a la obra para confeccionar una guía de estas. No tardará mucho, ¿hay apuestas?

Las empresas tienen que darse cuenta de que el escenario en el que se mueven ha cambiado muchísimo. Un usuario  puede dar cuenta de un error en la gestión de datos poniendo información a disposición de todo el mundo en cuestión de segundos, cosa que no podía suceder hace pocos años, cuando ni tan siquiera el mismo hecho hubiera trascendido a la opinión pública. Hoy te colocan en un foro, un blog, y corre la noticia a la velocidad de la luz, haciendo partícipe a la sociedad. La reputación de la empresa sufrirá y dependiendo de diversos factores, hasta perderá clientes. ¿Están preparadas para moverse dentro de un escenario así? ¿tienen en cuenta el altísimo poder que Internet ha dado a los usuarios? Estoy convencido de que no, que ni tan siquiera les preocupa, y lo voy a ilustrar con un ejemplo reciente.

Vodafone sufrió hace pocos días un fallo de seguridad que dejaba al alcance de sus usuarios datos de terceros que también tenían contratada línea de teléfono móvil prepago con la empresa.

La primera información sobre el fallo la proporcionó un usuario el 22 de diciembre en uno de los foros de la página web de GSMSpain, advirtiendo de que cada vez que accedía al menú “Mis datos” le aparecía información de personas diferentes a él. Otros foreros que tenían la misma compañía comenzaron a escribir y a contar que también les pasaba. A los pocos “post” alguien animó a denunciar el hecho a la AEPD.

Es muy interesante ver la evolución del asunto siguiendo el foro. Varios hicieron capturas de pantallacon los datos ajenos a los que accedían, y previo borrado de algunos datos, lo hicieron publico. Y alguno hizo capturas de vídeo de lo que sucedía en la web (¿lo habrá colgado ya en YouTube?…)

El día 23 de diciembre un forero escribe a FACUA. Ese mismo día la noticia es colocada en Menéamellegando a portada.

El 27 un portavoz de esta organización escribe en el foro y solicita más información y capturas de pantalla porque están recopilando información sobre el fallo de seguridad.

Siempre según el foro, Vodafone reacciona la mañana del 23 cerrando “Mi Vodafone”, dos días después del inicio del incidente.

Otro usuario cuenta que se puso en contacto con el teléfono de atención al cliente para reclamar, y obtuvo como respuesta que “se pusiera en contacto con la tienda donde compró los números y que la tienda le resolverá el problema, puesto que es un fallo de la tienda”. Vuelve a insistir, y tras ser muy pesado, le abren una incidencia y le dicen que se lo resolverán en 24-48 horas. Hasta el día 30 no recibió novedades, y se quedaron limitadas a un SMS que decía “En relación a su incidencia XXXX, le comunicamos que ya está resuelta”. Nada más.

El dia 29 FACUA comunica que ha denunciado a Vodafone ante la Agencia Española de Protección de Datos.

Y todo esto, ¿cómo lo ha manejado Vodafone? De lo único de lo que tenemos conocimiento es de lo que nos cuenta FACUA:

La asociación se dirigió a Vodafone el pasado 27 de diciembre para plantearle la situación y está a la espera de respuesta por parte de la compañía. En los últimos días, teleoperadores del servicio de atención al cliente del operador indicaban que el servicio Mi Vodafone había sido desactivado por “tareas de mantenimiento”, aunque actualmente está de nuevo operativo.

Esta tarde, Vodafone ha contestado a FACUA que la incidencia se produjo “durante la madrugada del 22 de diciembre y prolongándose durante varias horas”. Según la compañía,“afectó únicamente a un porcentaje muy reducido de usuarios de prepago”, cifrándolo, “como máximo”, en el “0,05% de sus clientes”.

Estos usuarios pudieron acceder a datos “correspondientes también a clientes de prepago que en ese mismo momento estaban realizando consultas a través de Mi Vodafone”, indica el operador, que señala que “en ningún caso la aplicación permitía el acceso a la base de datos de clientes con informacion relativa a uso, detalle de llamadas, recargas…”.

De nada sirvieron las quejas puestas el mismo día del incidente en su servicio de atención al cliente.Vodafone reaccionó cara al público cinco días después y sólo cuando FACUA hizo público el comunicado y a petición de esta organización. En su página web  no hay ni una sola alusión a los hechos.

La noticia en El País y EuropaPress.