Los estándares de seguridad a la hora de gestionar datos personales son cada vez más altos; aunque no todas las empresas los siguen como deberían.

Hay muchos casos en los que un servicio mal programado puede convertirse en una auténtica “fuente” de datos personales. Si no se toman las medidas adecuadas, desconocidos pueden acceder a esos datos, con el peligro que ello conlleva.

Según han descubierto en la organización de consumidores Facua, eso es lo que ocurre con la página web de Holaluz; esta compañía eléctrica alternativa no es precisamente de las más populares, pero ha crecido mucho últimamente. Destaca no solo por prometer precios más bajos a los que pagamos, sino también por ofrecer energía “100% verde”; sin embargo, en su afán por convencernos de sus bondades, puede que hayan cometido un par de errores.

Datos de consumidores de Holaluz al descubierto

Todo empezó con el lanzamiento de la llamada “Tarifa Justa”; una tarifa plana ilimitada, con la que no deberíamos preocuparnos de cuánto consumimos ni cuándo usamos la energía contratada. Para demostrar que podemos ahorrar con esta tarifa plana, la web nos ofrece la posibilidad de introducir nuestros datos para calcular lo que tendremos que pagar.

Para poder mostrar esa información, la web de Holaluz accede a una base de datos de instalaciones eléctricas, definidas por el CUPS; el Código Universal de Punto de Suministro es un identificador único de instalaciones eléctricas, a partir del cual es posible obtener mucha información sobre el local. El problema está en que la API usada para obtener esa información no está protegida.

API desprotegida

Las API son comandos, que los programadores usan para enviar peticiones a un servidor externo, donde normalmente están guardados los datos con protección; pero si la API está desprotegida, cualquiera con unos mínimos conocimientos podría usarla para obtener la información que quisiera. Así, aunque la web no guarde ningún tipo de información confidencial, a través de ella es posible conseguirla igualmente.

Dentro de los datos a los que se puede acceder están:

  • la estimación de la potencia contratada;
  • el consumo eléctrico en un periodo determinado de tiempo,y
  • el CUPS.

Con semejante cantidad de información, un atacante podría sacar conclusiones sobre cualquier local. Por ejemplo, si ve que el consumo es muy bajo, puede inferir que el local está abandonado o vacío.

Con el CUPS, incluso se podría suplantar al titular del contrato.La web no nos limita a usar nuestros datos; podemos usar los de cualquier dirección que queramos y obtendremos información de ese lugar.

Desde Facua se indica que este incidente ya lo pusieron en conocimiento de Holaluz hace quince días; pero que desde entonces no ha sido solucionado, y por eso han denunciado de manera pública.

La compañía Holaluz ha reconocido que se produjo ese fallo y que están trabajando para “arreglarlo”; sin embargo, también se han puesto a la defensiva, dejando caer que la normativa no es lo suficientemente clara en lo que respecta al manejo de datos de instalaciones eléctricas.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.