Un nuevo patinazo de seguridad en los servicios de Internet móvil: se ha descubierto que los clientes de la operadora británica O2 (filial de Telefónica) están enviando sin saberlo su número de teléfono móvil a todas las páginas web que visitan, abriendo con ello la puerta a su uso por parte de quienes administran esos servidores. La compañía asegura que lo está investigando, pero usted ya puede comprobar si le ocurre lo mismo gracias a la herramienta que le proponemos.

El usuario Lewis Peckover ha examinado las cabeceras de las peticiones que el navegador web de su iPhone de O2 realiza a los servidores que alojan las páginas que visita con él, y además de los datos habituales sobre versión de navegador y sistema operativo, idioma y página de procedencia -que también transmiten los navegadores de sobremesa-, ha encontrado un campo nuevo, denominado x-up-calling-line-id, que contiene su propio número de teléfono móvil. Así se observa en la imagen superior, procedente del iPhone de Peckover.

Obviamente, ello constituye un grave agujero de seguridad, puesto que ese dato queda almacenado en los registros de actividad de los servidores web visitados, cuyos administradores podrán utilizarlo para sus propios fines, sean cuales sean. Probablemente se trate de un simple error de un programador poco cuidadoso que decidió usar el número de móvil como identificador para algún tipo de testigo entre sesiones, pero resulta inadmisible.

Inicialmente, O2 aseguraba que el número se transmite para indicar al servidor que la petición procede de un dispositivo móvil, pero esa explicación no tiene sentido, puesto que los servidores ya utilizan el campo legítimo User-Agent para detectar esa circunstancia y entregar la versión móvil de la página en caso de disponer de ella:

Posteriormente, la compañía ha informado que está investigando el incidente y los usuarios británicos no han encontrado que se repita en otras operadoras, aunque sí afecta a las virtuales que usan la red de O2, algunas de ellas tan importantes como Tesco.

Con ayuda de la página creada por Peckover, he comprobado que ni Movistar ni Vodafone transmiten mi número de móvil en las peticiones web, como se observa en las imágenes siguientes (a la izquierda, un BlackBerry Bold 9900 con SIM de Vodafone; a la derecha, un Lumia 710 con SIM de Movistar):

Si desean ustedes comprobarlo con su teléfono y su compañía, deben desactivar la conexión WiFi del terminal, para asegurar que la conexión se realiza a través de la red celular, y acceder con el navegador a la dirección web http://lew.io/headers.php. Si encuentran en las cabeceras algo que se parezca a su número de móvil, tienen ustedes un problema de seguridad, que les agradeceremos que nos hagan saber cuanto antes.

Actualización (17:10) O2 ha reconocido que el problema existía desde el 10 de enero y asegura en su blog (gracias, @alter_lego) haberlo corregido a las 14:00 de hoy miércoles 25 de enero. Sin embargo, la explicación no deja de resultar inquietante, pues consiste en aclarar que la entrega del número de móvil al servidor web visitado es una práctica habitual en ciertos casos y que su único error en esta ocasión ha sido el de generalizar. Para ser exactos, O2 indica que:

Compartimos los números de móvil con partners de confianza por tres razones: 1) para gestionar la verificación de edad, que facilita el acceso a contenido para adultos, 2) para que las empresas externas de contenido puedan facturar las descargas o tonos de llamada adquiridos por el cliente, y 3) para identificar a los clientes que utilizan los servicios de O2 como My O2 y Priority Moments. Ello sólo ocurre en el caso de conexión mediante 3G o WAP, no WiFi.

Naturalmente, los clientes de O2 ya han comenzado a reclamar la lista de esos ‘partners de confianza’ a los que la operadora va a seguir facilitando el número de móvil. Ofcom, el regulador británico de telecomunicaciones, ya ha tomado cartas en el asunto, puesto que durante los 15 días de anomalía, los administradores de sitios web visitados por los usuarios de la operadora habrán acumulado una gran cantidad de números de móvil, direcciones IP y descripciones de teléfonos que son todo un festival para los practicantes del marketing directo. Por ejemplo, nadie les impide ahora llamar a un número que saben corresponde a una marca y modelo determinados para tratar de venderle al usuario una aplicación, una funda o otro accesorio para él.