18 noviembre 2008

Telefónica y sus automatismos

Me ha llegado la factura de mi línea fija de teléfono a casa, y entre otras comunicaciones, me encuentro con un formulario en el que se indica el número de teléfono móvil que tengo asociado a mi ficha de línea fija.

Mentando a la LOPD, se me da la oportunidad de decidir si quiero permitir que Telefónica haga uso de este número de teléfono móvil para promocionar sus productos y servicios (así como de otras empresas) por SMS/MMS.

Para evitar esto se te insta a enviar este formulario con las cruces marcadas sobre aquello que no quieres permitir vía correo postal, vía internet o finalmente al número de teléfono 900502020 (que es lo que creo que harán la mayoría de los usuarios).

En este teléfono, una grabación te indica que marques el número de teléfono al que quieres denegar/permitir su utilización para envío de publicidad mediante SMS/MMS. Después de pulsar los 9 dígitos la misma voz enlatada te hace 3 preguntas sobre si deseas permitir o no este tipo de publicidad. Se te indica que si quieres permitirlo pulses 1 y si quieres denegarlo pulses 2.

Evidentemente he pulsado 2 a las tres preguntas. Posteriormente a esto se te indica que se ha tramitado correctamente tu solicitud y ya está.

Con este sistema en mano, si alguien se sabe mi número de móvil directamente puede llamar tranquilamente, pulsar los 9 dígitos de mi teléfono y marcar 1 a las 3 preguntas. De esta manera me enviarán publicidad de forma indiscriminada al móvil sin haberla pedido. Mis dudas ante esto son: ¿por qué no utilizan algún otro mecanismo de autenticación previo? Pedir que marques tu DNI o una One Time Password que venga en la carta personalizada sería más acorde que únicamente el móvil al que quieres permitir/denegar spam y el decir Sí o No.

He probado por si acaso a llamar desde un móvil diferente para ver si a lo mejor era debido a que sólo se pudiera hacer desde el número de teléfono fijo de casa, pero efectivamente he podido modificarlo para que me envíen morralla al móvil.

Ya aprovechando he modificado los datos para que a mis padres no les envíen publicidad de Imagenios y etcéteras al móvil,... pero lo mismo que he dicho que no lo quería para otra persona, podía haber marcado que sí a todo.

4 comments :

Anónimo dijo...

Nos centramos mucho en la seguridad web, pero la seguridad de los IVRs suele ser lamentable... como acabas de demostrar.

Lorenzo Martínez dijo...

En realidad es que en todo tipo de proceso o de servicio, hay que balancear funcionalidad, seguridad y rendimiento... en este caso, la funcionalidad está clara, el rendimiento también (puesto que la automatización mediante voz enlatada minimiza los recursos necesarios y maximiza el rendimiento), pero, descuida la seguridad. Si obligaran a introducir (vía oral también, por qué no) algún otro tipo de dato que fuera solo conocido por los usuarios (por ejemplo, digitar los dos o tres últimos dígitos de la cuenta bancaria en la que está domiciliada la línea) se introduciría una latencia mayor, pero se daría una mejora en la seguridad del proceso.

Anónimo dijo...

Gracias!

Soy una visitante accidental que seguro que se quedara mucho tiempo por aqui.
Os digo gracias porque lo que para vosotros es un fallo de seguridad (como es natural),para mi ha sido el hallazgo largamente buscado de la llave para deshacerme de las llamadas de Telefonica.
Prove el numero en su dia pero no me funciono y el burofax que me jure enviar quedo enterrado bajo otros asuntos urgentes. Hasta hoy!

Lorenzo Martínez dijo...

Me alegro que este artículo haya valido para captar una adepta más :-D y que haya servido para que Telefónica haga las cosas más sencillas para los usuarios.

Saludos,