Un error de configuración en el sistema de suscripción de Movilisto en las promociones web permite dar de alta números de teléfono móvil de forma indiscriminada.
Los afectados comenzarán a recibir mensajes de texto en su teléfono móvil que pagarán a 0,30 euros cada uno.
Desde hace algunos meses, las principales empresas dedicadas a la comercialización de descargas por SMS, como Movilisto, Blinko o Dindo están utilizando un nuevo método para captar clientes / captar suscriptores.
El sistema es muy sencillo (ejemplo aquí); ofrecen un contenido o servicio gratuito desde Internet (melodía, juego, etc) y para descargarlo a tu móvil simplemente tienes que introducir tu número de móvil en una casilla; al darle a «aceptar» o «descargar ya» se nos envía un código PIN al móvil facilitado para confirmar la descarga y a la vez, suscribirnos a sus servicios.
La suscripción consiste en que recibiremos una cantidad variable de mensajes en nuestro móvil (50 al mes suele ser lo habitual) ofreciéndonos más contenidos; cada mensaje RECIBIDO lo pagamos a 0,30 euros. 50 mensajes al mes multiplicado por 0,30 = 15 euros por suscripción/mes.
El mecanismo, que ya de por sí es de dudosa legalidad, quiebra cuando se investiga un poco, al darse uno cuenta lo sencillo que es suscribir cualquier número gracias a las plataformas mal diseñadas de estas empresas.
En este artículo (con video incluido) demostraremos la debilidad del sistema y las consecuencias jurídicas, desde el punto de vista de protección de datos y servicios de la sociedad de la información.
Para comprender con detalle el video que se muestra al final, así como todo el artículo, es necesario detallar el procedimiento de alta o suscripción a estos servicios desde Internet, ya que es muy posible que algunos no sepamos cómo funciona.
1º: Acudimos a una web donde se nos ofrece gratis un determinado contenido para nuestro móvil. Ejemplo. En este ejemplo lo que nos ofrecen son 300 SMS gratis al mes (no hablaré aquí sobre lo «gratis» de esos 300 mensajes)
2º: Al introducir el número de móvil y darle al logotipo del operador, se envía automáticamente un código PIN al número indicado (lo cual ya de por si puede resultar molesto)
3º: Pasamos a la siguiente fase (ver imagen), donde tenemos que introducir el código PIN del punto 2º como garantía de que somos los poseedores del terminal con ese número indicado.
4º: Introducimos el PIN correcto y automáticamente quedamos suscritos a los servicios de esta empresa; comenzaremos a recibir mensajes a 0,30 euros cada uno.
¿Dónde está el problema?.
El problema radica en dos puntos: primero que el PIN es un código numérico de 4 dígitos, y segundo, que no hay límites de intentos a la hora de introducir el PIN.
Tenemos la plataforma web, tenemos la debilidad del sistema, sólo falta añadir la picaresca que caracteriza nuestra cultura ibérica, y en 5 minutos podemos hacer un programa que vaya probando uno a uno cada código PIN (código fuente del programa facilitado al final del artículo); dado que sólo hay 10000 posibilidades (en el peor de los casos), con una conexión ADSL normal podremos probar todos los códigos en unos 50 minutos.
Las peticiones HTML a la hora de probar códigos son simples POST con un «content» de tipo «número_movil+PIN». Más sencillo imposible.
En conclusión, en una media de 25 minutos podemos suscribir a Movilisto el número de teléfono móvil que queramos, con el consecuente perjuicio económico para la víctima.
Si lo hacemos a gran escala las dimensiones del problema pueden ser asfixiantes.
Vayamos a la parte jurídica:
Si a alguien se le ocurriera realizar estas actividades vandálicas (desde aquí rechazo por completo que nadie lo haga), podría suceder dos cosas si al que han suscrito sin su consentimiento terminara denunciando…:
A) Como la comunicación es a través de Internet, podrían identificarte por la IP. En vista de la doctrina de la Agencia Española de Protección de Datos, sólo será necesario que la web registre todas las solicitudes de intentos de PIN y terminarán descubriendo qué IP estuvo probando PINs masivamente. Localizada la IP terminarán sancionando al titular de la linea (que no ha tenido necesariamente que ser el que cometió la maldad) sin mayor dilación. Eso sí, siempre que la IP sea española y sea posible identificar al titular de la misma, porque como la IP sea francesa (por ejemplo) la lleva clara la AEPD.
Como se comentó en el caso de que una persona suscribió a una lista de distribución a un tercero sin su consentimiento:
«en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda suplantar la identidad de un tercero. Esta identificación de un usuario que accede a la Red exige conocer la dirección o direcciones «IP» asignadas a la conexión, así como los datos de tráfico disponibles. El «TCP/IP» se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección «IP» numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección «IP» del emisor y del destinatario.»
«A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios de Internet a los que han asignado direcciones «IP». Un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histórico con la dirección «IP» (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la asignación de la dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.»
«En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc).»
«Así, ha quedado probado que, en los cuatro casos mencionados, el formulario de alta para las suscripciones respectivas fue cumplimentado desde la dirección IP-01», asociada a la línea telefónica número «12345678», cuya titularidad corresponde a la entidad SIETE.
Por tanto, queda probado que dicha entidad trató los datos del denunciante sin su consentimiento, por lo que se considera infringido el artículo 6.1 de la LOPD»
Claro; el número de móvil es un dato personal, por tanto, si una persona hace un uso como el descrito en este artículo está realizando un tratamiento de datos personales, el cual necesita del consentimiento del titular del dato, esto es, del titular de la línea del móvil.
El artículo 6.1 de la Ley Orgánica de Protección de Datos establece:
«El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.»
Consentimiento que no tiene el que ha puesto el número en esa casilla con la intención de suscribir a otra persona.
Ahora bien, también podría pasar que
B) Identificado al titular de la IP o no, en cualquier caso, quien también ha estado realizando un tratamiento de datos es la propia empresa que envía los SMS cuando estamos suscritos. La empresa nos ha estado enviando SMS a 0,30 a nuestro móvil, y eso desde luego es también un tratamiento de datos personales por un lado y de envío de spam por otro.
Como afirma la Resolución 00139/2008 de la AEPD:
«En el presente supuesto desde la IP de Iniciativas Virtuales se ha enviado un correo comercial a Don P.P.P. sin poder acreditar el consentimiento previo ni la existencia de una relación contractual anterior. Nunca pueden enviarse correos promocionales sin contar con estos requisitos. Iniciativas Virtuales ha ideado un sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (consentimiento previo e informado o que, previamente, haya habido una relación contractual entre el remitente del correo y el destinatario) al hacerse a través de personas que si mantienen una relación con dicha entidad, pero que lo único que han de hacer es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad.»
Este es el famoso caso de la sanción impuesta a una empresa que tenía en su web lo de «enviar a un amigo» o «share this». En el caso, uno de los usuarios de la web utilizó ese mecanismo para reenviar un mensaje de contenido comercial (de la propia empresa) a un tercero desde, insisto, la propia plataforma de la empresa. Como se aprecia, la AEPD entendió como responsable no a la persona que puso la dirección de email del tercero y le dio a «enviar» sino a la propia empresa por disponer de esos mecanismos que no se ajustan a la ley (Ley de Servicios de la Sociedad de la Información y Ley Orgánica de Protección de Datos).
La LOPD define como «consentimiento»: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cabe preguntarse si con este mecanismo y esta facilidad en suplantar identidades que nos permite la propia plataforma de suscripción SMS, podría entenderse como responsable también a esta empresa.
Yo entendiendo que sí, que aquí hay 2 responsables por tratamiento de datos sin consentimiento:
1º Tenemos al usuario malicioso que da de alta al número. Este es responsable de tratar datos personales sin consentimiento.
2º Tenemos a la empresa que ha estado enviando los SMS a 0,30. La LOPD no permite eximir de responsabilidad por falta de culpa o dolo, en todo caso puede servir como atenuante a la hora de imponer la sanción. La empresa carece del consentimiento que define la LOPD para tratar el número de móvil del afectado para enviar los SMS promocionales, por tanto estaría vulnerando el artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI), que establece:
«Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.»
El primero se estarían enfrentando a una multa de hasta 300.000 euros y el segundo de una multa de hasta 30.000 euros aunque seguramente terminaría quedándose en 6000 para los dos.
Por otra parte, yo entiendo que no es necesario que se llegue a consumir la suscripción para apreciar estas infracciones, el simple hecho de poner el número allí (por parte del usuario malicioso) y el simple hecho de enviar un SMS a ese número para darse de alta (por parte de la empresa) es suficiente para apreciar la falta de consentimiento.
Aquí cuelgo un video demostrativo donde se utiliza una aplicación para suscribir un número de teléfono; se desconoce el PIN para activar la suscripción, pero en unos minutos se consigue dar con él y el teléfono queda suscrito.
Nota: Hoy hace 30 días que comuniqué este problema a Movilisto desde el formulario de contacto de su web. Al no recibir respuesta y observar como no se ha solucionado, lo publico para defensa de los usuarios.
Sobre el video: parece ser que desde Firefox el plugin del WordPress no funciona del todo bien; si no se os ve el botón de play haced click con el botón derecho sobre la imagen del video y luego a reproducir; si lo ponéis a pantalla completa se ve mejor.
Download Video
Fuente: www.samuelparra.com