Algunos clientes de Internet móvil de la operadora Orange en España siguen facilitando sin saberlo su número de teléfono a los administradores de todas las páginas web que visitan con el navegador de su terminal mientras están conectados a través de la red celular, algo que supuestamente la compañía había dejado de hacer en agosto de 2010. Este grave fallo de seguridad ha sido detectado por varios lectores de CanalPDA al seguir nuestras instrucciones para comprobar si sufrían el mismo problema que los clientes de O2 en el Reino Unido. La compañía aún no ha facilitado su versión.
Actualizado: Orange reconoce el problema, se disculpa y promete resolverlo
Este miércoles informábamos de que los clientes británicos de O2 habían detectado que su número de móvil se transmitía a todos los servidores web visitados con sus teléfonos y proponíamos a nuestros lectores un método para comprobar si les ocurría algo parecido, visitando la página http://lew.io/headers.php con el navegador del móvil tras haber desactivado la conexión WiFi, para asegurar que el acceso a Internet se realiza mediante la red de la operadora.
Hemos verificado por nuestros medios que Movistar y Vodafone no transmiten el número de móvil al servidor, pero tras realizar la misma comprobación, varios clientes de Orange en España nos han informado de que sus teléfonos -ambos Samsung con sistema operativo Android, aunque de modelos distintos- sí envían el número, como se observa en las dos capturas de pantalla siguientes, tomadas alrededor de las 18:00 del miércoles:
En cambio, realizando la misma operación con un iPhone 4 poco antes de las 21:00, se observa que en este caso no se transmite el número de móvil del abonado, lo que hace pensar que se trata de un fenómeno limitado a determinados modelos de teléfono o a ciertas partes de la red de la tercera operadora de España por número de clientes.
Los datos transmitidos y lo que se podría hacer con ellos
Lo que aparece en las tres imágenes son las cabeceras de las peticiones HTTP realizadas por el navegador al servidor web, que contienen diversos campos legítimos con información sobre la versión de sistema operativo y de aplicación, el idioma y la dirección IP utilizada en la conexión. En cambio, lo que no debería estar ahí en las dos primeras es el campo resaltado en rojo, denominado x-up-calling-line-id, y cuyo contenido coincide con el número de teléfono del terminal utilizado (y que hemos ocultado para preservar la intimidad de ambos lectores).
Todos los datos transmitidos de manera oculta en cada petición web quedan registrados en el servidor, cuyo administrador puede utilizarlos para optimizar el rendimiento y el contenido de sus páginas. Sin embargo, el uso del número de móvil no responde a esta necesidad, y aunque no necesariamente revela la identidad de su propietario, un administrador web poco escrupuloso podría cruzarlo con el resto de la información para llevar a cabo acciones de telemarketing ajustadas al perfil del terminal. Por ejemplo, podría llamar o enviar SMS a cada uno de los números acumulados para ofrecer algún producto, accesorio, aplicación o servicio específico para la marca y el modelo del teléfono. O para ofrecerles una portabilidad a otra compañía, sabiendo que actualmente está dado de alta en Orange. O para ofrecer directamente los productos que figuraban en las páginas web visitadas. O simplemente, para realizar llamadas o envíos masivos de mensajes con la seguridad de que los números acumulados existen y son válidos, algo que supondría un gran ahorro en llamadas fallidas.
La historia se repite
No es la primera vez que Orange incurre en la revelación del número de teléfono del usuario en las conexiones a Internet. En agosto de 2010 ya se detectó que lo hacía, aunque en aquella ocasión sólo afectaba a las conexiones realizadas mediante WAP -protocolo actualmente en desuso- y el número se mostraba en un campo de cabecera distinto, denominado X-Network-info. En aquel momento, Orange aseguró haber corregido el problema, pero parece que la operadora ha vuelto a las andadas por otra vía.
Al menos uno de nuestros lectores asegura haber presentado una queja formal a Orange. Nosotros hemos consultado a la operadora cuál es el motivo por el que sus conexiones de Internet móvil añaden el número de teléfono a las peticiones web, desde cuándo lo están haciendo y si tienen intención de continuar con esta práctica. Hasta el momento no hemos tenido respuesta, pero cuando la obtengamos se la haremos saber. Entretanto, O2 ha reconocido en el Reino Unido que su práctica era errónea, aunque sólo en parte, como recoge la actualización de nuestro artículo anterior que enlazamos más arriba.
Estamos interesados en conocer el mayor número de casos, por lo que invitamos a los lectores abonados de Orange a realizar la comprobación indicada con otros modelos de teléfono y comunicarnos el resultado a través de los comentarios al pie. Asimismo nos gustaría tener noticias de los clientes de operadoras virtuales que utilizan la red de Orange, como Simyo, Jazztel, Carrefour y Dia.
También le puede interesar:
- Orange lanza un programa de ventajas exclusivas para sus clientes de móvil que contraten ADSL
- Orange divulga el número de teléfono de los usuarios que acceden a Internet desde el móvil
- Orange lanza su Programa de Puntos convergente para clientes de móvil y ADSL
- ¿Está usted enviando su número de móvil a todas las páginas web que visita con él?
- Orange lanza “Renove Estilo Orange” que iguala las ofertas de renovación por smartphones para clientes nuevos y actuales
RSS
elEconomista tv
Facebook
Twitter
Club eE
