Cualquiera puede suscribirte a Movilisto

Un error de configuración en el sistema de suscripción de Movilisto en las promociones web permite dar de alta números de teléfono móvil de forma indiscriminada.

Los afectados comenzarán a recibir mensajes de texto en su teléfono móvil que pagarán a 0,30 euros cada uno.

Desde hace algunos meses, las principales empresas dedicadas a la comercialización de descargas por SMS, como Movilisto, Blinko o Dindo están utilizando un nuevo método para captar clientes / captar suscriptores.
El sistema es muy sencillo (ejemplo aquí); ofrecen un contenido o servicio gratuito desde Internet (melodía, juego, etc) y para descargarlo a tu móvil simplemente tienes que introducir tu número de móvil en una casilla; al darle a “aceptar” o “descargar ya” se nos envía un código PIN al móvil facilitado para confirmar la descarga y a la vez, suscribirnos a sus servicios.
La suscripción consiste en que recibiremos una cantidad variable de mensajes en nuestro móvil (50 al mes suele ser lo habitual) ofreciéndonos más contenidos; cada mensaje RECIBIDO lo pagamos a 0,30 euros. 50 mensajes al mes multiplicado por 0,30 = 15 euros por suscripción/mes.

El mecanismo, que ya de por sí es de dudosa legalidad, quiebra cuando se investiga un poco, al darse uno cuenta lo sencillo que es suscribir cualquier número gracias a las plataformas mal diseñadas de estas empresas.

En este artículo (con video incluido) demostraremos la debilidad del sistema y las consecuencias jurídicas, desde el punto de vista de protección de datos y servicios de la sociedad de la información.

Para comprender con detalle el video que se muestra al final, así como todo el artículo, es necesario detallar el procedimiento de alta o suscripción a estos servicios desde Internet, ya que es muy posible que algunos no sepamos cómo funciona.

: Acudimos a una web donde se nos ofrece gratis un determinado contenido para nuestro móvil. Ejemplo. En este ejemplo lo que nos ofrecen son 300 SMS gratis al mes (no hablaré aquí sobre lo “gratis” de esos 300 mensajes)

: Al introducir el número de móvil y darle al logotipo del operador, se envía automáticamente un código PIN al número indicado (lo cual ya de por si puede resultar molesto)

: Pasamos a la siguiente fase (ver imagen), donde tenemos que introducir el código PIN del punto 2º como garantía de que somos los poseedores del terminal con ese número indicado.

: Introducimos el PIN correcto y automáticamente quedamos suscritos a los servicios de esta empresa; comenzaremos a recibir mensajes a 0,30 euros cada uno.

¿Dónde está el problema?.

El problema radica en dos puntos: primero que el PIN es un código numérico de 4 dígitos, y segundo, que no hay límites de intentos a la hora de introducir el PIN.

Tenemos la plataforma web, tenemos la debilidad del sistema, sólo falta añadir la picaresca que caracteriza nuestra cultura ibérica, y en 5 minutos podemos hacer un programa que vaya probando uno a uno cada código PIN (código fuente del programa facilitado al final del artículo); dado que sólo hay 10000 posibilidades (en el peor de los casos), con una conexión ADSL normal podremos probar todos los códigos en unos 50 minutos.
Las peticiones HTML a la hora de probar códigos son simples POST con un “content” de tipo “número_movil+PIN”. Más sencillo imposible.

En conclusión, en una media de 25 minutos podemos suscribir a Movilisto el número de teléfono móvil que queramos, con el consecuente perjuicio económico para la víctima.

Si lo hacemos a gran escala las dimensiones del problema pueden ser asfixiantes.

Vayamos a la parte jurídica:

Si a alguien se le ocurriera realizar estas actividades vandálicas (desde aquí rechazo por completo que nadie lo haga), podría suceder dos cosas si al que han suscrito sin su consentimiento terminara denunciando…:

A) Como la comunicación es a través de Internet, podrían identificarte por la IP. En vista de la doctrina de la Agencia Española de Protección de Datos, sólo será necesario que la web registre todas las solicitudes de intentos de PIN y terminarán descubriendo qué IP estuvo probando PINs masivamente. Localizada la IP terminarán sancionando al titular de la linea (que no ha tenido necesariamente que ser el que cometió la maldad) sin mayor dilación. Eso sí, siempre que la IP sea española y sea posible identificar al titular de la misma, porque como la IP sea francesa (por ejemplo) la lleva clara la AEPD.

Como se comentó en el caso de que una persona suscribió a una lista de distribución a un tercero sin su consentimiento:

“en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda suplantar la identidad de un tercero. Esta identificación de un usuario que accede a la Red exige conocer la dirección o direcciones “IP” asignadas a la conexión, así como los datos de tráfico disponibles. El “TCP/IP” se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección “IP” numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección “IP” del emisor y del destinatario.”

“A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios de Internet a los que han asignado direcciones “IP”. Un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histórico con la dirección “IP” (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la asignación de la dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.”

“En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc).”

“Así, ha quedado probado que, en los cuatro casos mencionados, el formulario de alta para las suscripciones respectivas fue cumplimentado desde la dirección IP-01″, asociada a la línea telefónica número “12345678″, cuya titularidad corresponde a la entidad SIETE.
Por tanto, queda probado que dicha entidad trató los datos del denunciante sin su consentimiento, por lo que se considera infringido el artículo 6.1 de la LOPD”

Claro; el número de móvil es un dato personal, por tanto, si una persona hace un uso como el descrito en este artículo está realizando un tratamiento de datos personales, el cual necesita del consentimiento del titular del dato, esto es, del titular de la línea del móvil.

El artículo 6.1 de la Ley Orgánica de Protección de Datos establece:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

Consentimiento que no tiene el que ha puesto el número en esa casilla con la intención de suscribir a otra persona.

Ahora bien, también podría pasar que

B) Identificado al titular de la IP o no, en cualquier caso, quien también ha estado realizando un tratamiento de datos es la propia empresa que envía los SMS cuando estamos suscritos. La empresa nos ha estado enviando SMS a 0,30 a nuestro móvil, y eso desde luego es también un tratamiento de datos personales por un lado y de envío de spam por otro.
Como afirma la Resolución 00139/2008 de la AEPD:

“En el presente supuesto desde la IP de Iniciativas Virtuales se ha enviado un correo comercial a Don P.P.P. sin poder acreditar el consentimiento previo ni la existencia de una relación contractual anterior. Nunca pueden enviarse correos promocionales sin contar con estos requisitos. Iniciativas Virtuales ha ideado un sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (consentimiento previo e informado o que, previamente, haya habido una relación contractual entre el remitente del correo y el destinatario) al hacerse a través de personas que si mantienen una relación con dicha entidad, pero que lo único que han de hacer es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad.”

Este es el famoso caso de la sanción impuesta a una empresa que tenía en su web lo de “enviar a un amigo” o “share this”. En el caso, uno de los usuarios de la web utilizó ese mecanismo para reenviar un mensaje de contenido comercial (de la propia empresa) a un tercero desde, insisto, la propia plataforma de la empresa. Como se aprecia, la AEPD entendió como responsable no a la persona que puso la dirección de email del tercero y le dio a “enviar” sino a la propia empresa por disponer de esos mecanismos que no se ajustan a la ley (Ley de Servicios de la Sociedad de la Información y Ley Orgánica de Protección de Datos).

La LOPD define como “consentimiento”: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cabe preguntarse si con este mecanismo y esta facilidad en suplantar identidades que nos permite la propia plataforma de suscripción SMS, podría entenderse como responsable también a esta empresa.

Yo entendiendo que sí, que aquí hay 2 responsables por tratamiento de datos sin consentimiento:

1º Tenemos al usuario malicioso que da de alta al número. Este es responsable de tratar datos personales sin consentimiento.
2º Tenemos a la empresa que ha estado enviando los SMS a 0,30. La LOPD no permite eximir de responsabilidad por falta de culpa o dolo, en todo caso puede servir como atenuante a la hora de imponer la sanción. La empresa carece del consentimiento que define la LOPD para tratar el número de móvil del afectado para enviar los SMS promocionales, por tanto estaría vulnerando el artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI), que establece:
“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
El primero se estarían enfrentando a una multa de hasta 300.000 euros y el segundo de una multa de hasta 30.000 euros aunque seguramente terminaría quedándose en 6000 para los dos.

Por otra parte, yo entiendo que no es necesario que se llegue a consumir la suscripción para apreciar estas infracciones, el simple hecho de poner el número allí (por parte del usuario malicioso) y el simple hecho de enviar un SMS a ese número para darse de alta (por parte de la empresa) es suficiente para apreciar la falta de consentimiento.

Aquí cuelgo un vídeo demostrativo donde se utiliza una aplicación de creación propia para suscribir un número de teléfono cualquiera; se desconoce el PIN para activar la suscripción, pero en unos minutos se consigue dar con él y el teléfono queda suscrito.

Nota: Hoy hace 30 días que comuniqué este problema a Movilisto desde el formulario de contacto de su web. Al no recibir respuesta y observar como no se ha solucionado, lo publico para defensa de los usuarios.

El código fuente del programa se descarga de aquí.

26 comentarios en “Cualquiera puede suscribirte a Movilisto”

  1. Jo, y yo que tenía curiosidad por ver el código fuente jejeje. La verdad es que permitir un número ilimitado de intentos resulta totalmente absurdo y abre las puertas a cosas como ésta. Realmente se plantean las empresas las consecuencias que sus actos pueden tener? Pienso que demasiadas veces se hace lo “más barato”, contratando a gente que no conoce las leyes a que están sujetos (aunque parezca que Internet es el “país sin Ley”). En finx, ya pocas cosas me pueden sorprender a estas alturas…

    Un saludo

    Responder
  2. Hola:

    Enhorabuena por la investigación, realmente muy interesante.

    Por degracia veo dificil las sanciones en el primer supuesto, pero para la empresa son más probables.

    En el caso del usuario, si lo hace una persona física para fastidiar a un amigo, no creo que entre dentro del ámbito de aplicación de la LOPD.

    Y sobre obtener la IP, no se si sería muy legal que alguien sancione si la IP sólo puede obtenerse de los prestadores de servicios de telecomunicaciones en el caso de delitos graves.

    Un saludo.

    Responder
  3. Saludos Sergio y David.

    Ciertamente puede parecer asombroso que sanción al usuario, pero si lees la Resolución de la AEPD sobre la suscripción de una lista de correo sin consentimiento verás que el caso es igual al que yo planteo con la diferencia de que esto es una suscripción a contenidos para móviles y lo otro es una lista de distribución, pero lo demás es igual; también se utilizó la IP en el otro caso para identificar al que suscribió sin consentimiento…

    Responder
  4. Muy bueno el post y mucho mejor las evidencias de auditoría que proporcionas. Muchas veces no llego a entender cómo se establecen ciertos mecanismos de contratación de servicios, sobre todo a distancia con tanta ausencia de controles. A quien vende no le interesa poner dificultades, pero eso es una cosa y otra ganar dinero a costa de cualquier medio, incluyendo el engaño.
    No se quién sería el responsable de demostrar la contratación, si Movilisto o el usuario que se suscribe, porque el mecanismo no garantiza el repudio en origen.

    Responder
  5. Hola Javier. Me alegra verte por aquí. A mí también me sorprende y alarma que este tipo de actividades pululen impunemente por la red.

    Me hubiera gustado mostrar más información técnica pero por motivos obvios prefiero no dar más pistas a los “script kiddies”, no vaya a ser que algún gracioso se ponga manos a la obra de verdad y suscriba a miles de números…

    Responder
  6. Me parece muy razonable la discrección no de mostrar más información técnica para no dar pistas : Por la Red andan muchos “graciosos” que con tal de hacer la puñeta son capaces de cualqier barbaridad.

    Es realmente preocupante la falta de mecanismos minimamente garntistas en materia de contratación de algunos servicios .Desconozco a quién alcanzaria legalmente la responsabilidad de demostrar la presunta contratación,…¿ a Movilisto o al ” consumidor ” ..? ,pero lo que si es evidente es que los poderes correspondientes deberian tomar activamente cartas en el asunto para impedir la indefensiín de ciudadanos en casos como este .

    Responder
  7. Jeje, yo también tenía curiosidad de ver el código fuente… 🙂
    Por cierto, ¿está bien redactado el artículo 24 de la LOPD que aparece cuando accedes? Por la sentencia 292/2000 del Constitucional, debería haberse eliminado lo de las funciones de control y verificación de las administraciones públicas, ¿no?
    Un saludo.

    Responder
  8. Y en cuanto a lo sancionar al titular de la línea, por la dirección IP, ¿se le multa sin más, sin comprobar que realmente esa persona fue la que realizó la acción? ¿No le dan al menos la oportunidad de que identifique a la persona que lo hizo? Y si se accede desde un ordenador de acceso público (un “ciber” o una biblioteca, por ejemplo), ¿también asume la AEPD que la responsabilidad es del titular de la línea?

    Responder
  9. Bueno, sobre lo del 24, yo he puesto la Ley tal cual fue publicada en su día, respecto a las modificaciones que haya podido sufrir por las STC no aparece nada…

    Sobre lo otro, según se parece desprender de las Resoluciones es así, se sanciona directamente al titular de la linea sin mirar. En el caso de un ciber me imagino que no sancionarían al titular de linea porque ahí parece claro que el uso de la “IP” es compartido por cientos de personas, y digo yo que se investigaría con más profundidad… pero bueno, quien sabe…

    Responder
  10. Otra duda sobre datos facilitados por otros.
    En un modelo de advertencia legal indican al final: “En el caso de que en el formulario deban incluirse datos de carácter personal referentes a personas físicas distintas de la que cumplimenta el presente formulario deberá, con carácter previo a su inclusión, informarles de los extremos contenidos en los párrafos anteriores”.
    ¿Sirve esto de algo? Aunque se informe al titular de los datos, bien por la persona que dio sus datos o bien por el responsable del fichero, no se tiene su consentimiento para el tratamiento de los datos, ¿no?

    Responder
  11. Jejeje, esa es una parte de la cláusula que aparece en el formulario final para registrar un fichero en la AEPD 🙂 pregúntale a ellos a ver que te dicen, yo tampoco he entendido nunca la finalidad de esa cláusula.
    Podría darse el caso de que yo por ejemplo registrase un fichero a nombre de otra persona, y luego esa persona ¿podría denunciar a la propia AEPD porque está tratando sus datos sin su consentimiento?, no ya yo, sino la propia AEPD que tiene en sus ficheros datos personales de un tercero sin su consentimiento porque en realidad fue otro quien se hizo pasar por él…

    Responder
  12. Jajaja, no lo sabía! Parece que todo el mundo se limita a copiar lo que ve por ahí, y asume que la AEPD es la suprema sabiduría en protección de datos… 🙂

    Responder
  13. He sido uno de los muchos afectados por la manera mas que dudosa, hacerte ¿socio? del Club Zed, sin tener conocimiento de que mi cuenta de correo esta siendo saqueada por la empresa Zed Iberica, en complicidad de Telefónica, digo en complicidad ya dada las muchas quejas que han recibido por la manera de captar clientes muchos de ellos menores de edad, que estan siendo utilizados para su beneficio no hacen nada para atajar esta situación dejando a sus clientes con una sensación de desamparo e impotencia, ni tampoco las autoridades competentes que deberian de velar por la manera de actuar de estas empresas, espero que estas lineas sirvan para que los muchos afectados denuncien esta anomala situación y las empresas sean multadas y devuelvan el dinero timado.

    Responder
  14. Una corrección que considero muy importante con respecto al comentario anterior lo que me estan saqueando no es mi cuenta de correo sino la bancaria, una gran diferencia creo. un saludo y gracias por esta página que esta siendo de gran ayuda para muchos afectados.

    Responder
  15. Alguien me podría decir si consigo algo denunciando a movilisto en el OCU ???
    Acabo de recibir una factura de 65 mensajes cortos de estos malnacidos con un coste total a pagar de 17,10 euros.
    Muchas gracias de antemano y saludos.

    Responder
  16. armand dijo:

    Alguien me podría decir si consigo algo denunciando a movilisto en el OCU ???
    Acabo de recibir una factura de 65 mensajes cortos de estos malnacidos con un coste total a pagar de 17,10 euros.
    Muchas gracias de antemano y saludos.

    ¿pero te has dado de alta en sus servicios?. Es que si te has dado de alta (descargándote una melodía, enviando ALTA al número XXXX, etc, etc), esa factura es lógica. Si no es así, prueba con la OCU pero también con la Agencia de Protección de Datos, que tiene más fuerza.

    Responder
  17. Me gusta tu blog y normalmente escribes cosas sabiendo muy bien de lo que hablas. En cambio, en esta ocasion te dire que nadie en su sano juicio utilizaria la fuerza bruta para este caso. ¿el motivo? Las webs de este tipo de servicios estan hechas TAN mal, que no es necesario para nada. En menos de 1 minuto es posible engañar al sistema y registrar el movil deseado.

    PD: si quieres una demostracion con un numero que no exista (600000000 o similar) pon otro comentario.

    Responder
  18. Hola c4n0n. No es necesario que demuestres nada :). El tema lo ponía de manifiesto no como un fallo de seguridad sino de procedimiento; ya me imagino que este tipo de webs serán vulnerables a múltiples tipos de ataques, y seguramente será posible dar de alta saltándonos esos mecanismos de seguridad, pero no es esa la idea que pretendía transmitir, no la idea de falta de seguridad informática.

    Responder
  19. Yo tambien he sido estafado por Blinko. En mi caso me comentan que la suscripción se ha hecho por internet y no he mandado ningun mensaje para descargarme nada ni darme de alta.
    Lo primero que he hecho es dar de baja el servicio (desde vodafone asi sale gratis) y devolver el recibo.
    Que pasos deberia seguir para que no me cobren? Voy al OCU?

    Responder
  20. Hola, tambien cai. Di mi numero solamente en una web y me dieron el alta para enviarme sms que me cobraron, como dicen algno mas aqui.

    Hasta q me di cuenta han pasado 2 meses. He llamado a vodafon, me han hehco ellos mismos la baja del servicio ese, perono se hacen cargo de la reclamacion ni devolucion. Te remiten a blinko. Tambien reclamo a Vodafone por “compinches”

    No he conseguido hablar por telefono con ellos pero los estoy friendo a emails. A ver q pasa.

    Responder
  21. ¿qué puedo hacer para darme de baja en buongiorno, movilisto, dindo chat, y dadaneT?.Me están cobrando desde que puse internet por usb en Movistar. No soy consciente de haberme dado de alta y nadie ha usado mi número desde que yo lo he contratado.
    También quiero darme de baja en Movistar pues me obliga a pagar lo que yo no uso.
    ¿Puedes sacarme del lío con éxito, explicándome todos los pasos?

    Responder
  22. Esto figura en todas las páginas de contacto del grupo Buongiorno, y debe servir, también, para darse de baja:
     
    El interesado tiene la posibilidad de revocar su consentimiento u oponerse a la cesión de sus datos, así como tiene derecho de acceso, rectificación y cancelación de los mismos, pudiendo ejercitar cualquiera de estas acciones por escrito a través de correo físico o electrónico a la siguiente dirección: BUONGIORNO MYALERT, S.A.C/ Javier Ferrero, 13-15 28002 MADRIDTeléfono de Atención al Cliente: 902 01 01 50e-mail: clientes.es@buongiorno.com Fax: 91 745 05 49
    En la petición, deberá adjuntar la siguiente información: –       Nombre, apellidos y DNI, o empresa a la que pertenece en su caso.-       Derecho que desea solicitar y contenido de su petición-       Número de teléfono / email sobre el que quiere ejercer ese derecho-       Domicilio a efectos de notificaciones

    (suerte…)

    Responder
  23. Hola, para daros de baja de MOVILISTO, hay que enviarles un correo electrónico solicitando la baja junto al número asociado a clientes(punto)es(arroba)buongiorno(punto)com

    Responder

Responder a JUAN LOPEZ Cancelar la respuesta