Cada vez que un usuario solicita una página web, entre su navegador y el servidor que aloja dicho sitio se produce un intercambio de mensajes o peticiones. Es habitual que entre esa información que se proporciona, las cabeceras HTTP que se llaman, se incluyan datos como el navegador que se está usando, la codificación o de dónde procede esa visita, pero lo que ya no es normal es que también se incluya información tan privada como el número de teléfono cuando se accede desde el móvil.
Esto es lo que está pasando actualmente en Reino Unido, donde un cliente de la compañía O2 (filial de Telefónica por tierras inglesas) ha detectado este importante fallo de seguridad. ¿Qué significa esto? Que los usuarios de esta empresa no sólo dan a conocer su número cuando entran a una determinada web, sino que, por ejemplo, si abren un correo desde el móvil y éste incluye una imagen alojada en un servidor remoto, también enviarán los datos sin necesidad de tener que entrar a ningún sitio, sólo por descargar la imagen. Imaginaos el peligro que puede tener esto.
Desde O2 parecen ser conscientes del problema de privacidad (y de las posibles consecuencias legales que les pueda acarrear éste) y ya han comenzado a solucionar el problema. Alguno de sus clientes ya afirman no estar afectados por esto, pero otros aún siguen sufriéndolo. Pero, ¿a cuento de qué activa O2 una característica de este tipo? Pues, como especulan en ThinkBroadband, podría haber sido una medida de seguridad implementada sólo para cuando los clientes acceden a sus datos y tarifas en la propia web de la compañía, pero quizás por error se extendió también al resto de sitios web.
El usuario que ha descubierto el fallo ha creado un sitio web que muestra las cabeceras intercambiadas entre navegador y servidor al realizar una petición, de tal manera que cualquiera puede ver si el fallo afecta también a su operadora de telefonía móvil (lógicamente, entrando desde una conexión de Internet móvil). Ya os adelanto que al menos en Vodafone España no está ocurriendo el mismo problema. Si queréis, podéis hacer la prueba y dejarnos los resultados en los comentarios.
En Xataka Móvil | O2 envía el número de teléfono a las páginas web que se visitan a través de la conexión de datos
En Xataka ON | Un usuario enfadado con Movistar aprovecha un agujero de seguridad XSS en la web de la operadora para protestar
