Vulnerando la LOPD con un simple “referer”

Diversos servicios de correo electrónico online, como el ofrecido por ONO o Movistar, estarían revelando las cuentas de correo electrónico de sus clientes al ser enviadas en la cadena “referer” cada vez que desde dicha plataforma se hiciera click en algún enlace externo. Esta circunstancia supone vulnerar el deber de secreto que impone el artículo 10 de la Ley Orgánica de Protección de Datos.

Conviene definir algunos conceptos para aquellos lectores que no estén acostumbrados al argot informático, partiendo en primer lugar de ¿qué es el “referer“?

Cuando hablamos aquí de “referer” nos referimos a un campo específico de la cabecera del protocolo HTTP… lo cual aclarará poco para los que no conocieran de primeras el “referer”; pero más que saber lo que es, lo importante es saber qué hace. Este campo sirve para informar “de dónde vienes” cuando vas saltando de una página web a otra; sería como preguntarle al navegador cuando nos visita ¿desde dónde has llegado hasta aquí? y el navegador nos diría la página web (URL) de origen, desde la que venimos, desde la que hemos hecho click en ese enlace.

Veamos un ejemplo muy sencillo. Imagina que estás viendo un vídeo en Youtube (este por ejemplo), fíjate que la URL de ese vídeo es: http://www.youtube.com/watch?v=oHg5SJYRHA0

Bien, si ahora hicieras click en algún enlace de los que allí tenemos (los enlaces existentes en esa página web de Youtube), el protocolo HTTP permite (y lo hace por defecto) enviar la URL desde la que has hecho click, en este caso, enviaría a la página de destino (que puede no ser Youtube) que vienes de http://www.youtube.com/watch?v=oHg5SJYRHA0 e insisto, esa información la recibe la página web de destino por defecto.

Cualquier utilidad que guarde estadísticas sobre los visitantes de una página web, almacenarán, en mayor o menor medida, esta información de los “referers”, de forma que podremos saber cuánta gente nos visita desde búsquedas en Google (y qué buscaba), o desde una página cualquier que nos haya enlazado, en definitiva saber las fuentes de origen del tráfico hacia nuestra página web.

Ahora que ya sabemos qué es esto del “referer” y para qué sirve, vayamos con el problema.

Algunas aplicaciones de gestión de correo electrónico vía web generan cierta información personal en sus URLs mientras vas leyendo tus correos electrónicos; esto significa que si haces click en algún enlace que por ejemplo te hayan enviado por email, vas a enviar esa URL generada por la aplicación de correo electrónico a la página web que te dispones a visitar.

En muchos casos esto no debe suponer ningún problema ya que esas URLs de referencia (el referer) que envías no le va a decir gran cosa al destinatario (a lo sumo que vienes de Gmail o Yahoo, pero nada más); sin embargo he detectado 2 entornos de gestión de correo electrónico que sí que incluyen información personal en sus referers, me refiero a Movistar y a ONO.

Fijáos cómo es un referer típico de Movistar:

  • http://wmail14.movistar.es/cp/ps/Mail/widgets/MailMessageBody?d=telefonica.net&u=XXXXXXXXXXX&contentSeed=d73d9&pct=d109d

En lugar de las “XXXXXXXX” ahi va el nombre de usuario (su dirección de correo electrónico) de la persona que estaba visualizando el email y desde allí saltó a mi blog.

Y mirad el de ONO:

  • http://webmailcpr03.ono.com/cp/ps/Mail/ViewMsgController?d=ono.com&sh=&listPositionNextForSearch=11&sc=&sd=Desc&u=YYYYYYYY&an=ZZZZZZZZZ@ono.com&t=4582d&fpOrigin=
    INBOX&ss=&listPositionPrevForSearch=0&fp=INBOX&uid=NNNNNNN&sl=1&fi=1&dblclick=false

En este caso envía hasta 3 campos sensibles: por un lado el nombre de usuario de esta persona (u=YYYYYY), por otro su dirección de correo electrónico (an=ZZZZZZZZ) y por último, menos importante, el identificador numérico de ese cliente en el sistema de ONO (uid=NNNNNN).

De hecho, haciendo algunas búsquedas en Google podemos encontrar webs de estadísticas que nos van a mostrar cientos de ejemplos con estos datos personales visibles…

¿Y cómo encaja esto en la Ley Orgánica de Protección de Datos?

Veamos, el artículo 10 de la LOPD dice: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El “responsable del fichero” en este caso concreto será tanto Movistar como ONO respectivamente, y los datos personales en juego serán esencialmente la dirección de correo electrónico (que se considera dato de carácter personal según nuestra normativa de protección de datos).

Por tanto nos encontraríamos que los sistema de gestión de correo electrónico online de Movistar y ONO estarían revelando las direcciones de correo electrónico de sus clientes (información que deben guardar de forma confidencial); sería eso sí una revelación a sujetos indeterminados pero determinables: todos aquellos que en los referers de entrada de la gente que le visite vengan desde Movistar o desde ONO.

Esta situación, de constatarse por la Agencia Española de Protección de Datos, podría suponer la imputación de una infracción grave, con multa de entre 40000 y 300000 euros.

15 comentarios en “Vulnerando la LOPD con un simple “referer””

  1. Buenos días Samuel. Fenomenal el artículo, sobre todo por la puesta en escena de una situación ante la que veremos como reaccionan los intervinientes ante una clara vulneración del artículo 10 de la LOPD. Un saludo.

    Responder
  2. Buenos días Samuel,

    discrepo sobre tu artículo completamente, y puedo explicar por qué.

    Para que alguien pueda conseguir mi referer, primero tiene que saber mi dirección de correo, segundo tiene que mandarme un mail, y tercero yo tengo que hacer click en el enlace que se incorpore a ese correo.

    Para que alguien pueda mandarme un correo, previamente tendría que dárselo, como es el caso de la gente que escribe comentarios en tu blog, por lo que si esa persona me manda un mail con un enlace hacia algún sitio donde pueda recoger el refer, como bien comentas, podría llegar a ver mi dirección de correo, pero ¿qué sentido tiene que mire si está ahí mi correo o no? si ya lo tiene… se lo he dado yo.

    Por otro lado, si alguien quisiera probar suerte, me mandaría un correo sin saber si la cuenta existe o no, incorporando un enlace, y en este caso el único fin sería ¿ver la cuenta en el referer? Para eso, no solo tendría que abrir el correo, sino además pulsar el enlace, pero hay métodos más sencillos de conseguir cuentas de correo, y que prácticamente son vulnerables en mayor o menor medida a “todos” los servicios de correo.

    Luego, sigo sin ver dónde está la bulneración de la LOPD con un Referer.

    Por cierto, ¿me puedes indicar los datos para consultar el registro donde a buen seguro estarás guardando todos estos mails que recoges para poder comentar en tu blog?

    https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

    Un saludo.

    Responder
    • Hola “Anónimo”.
      En primer lugar, sobre lo del registro, veo que ni has probado a poner “Samuel Parra” en el buscador que tú mismo enlazas. Y eso que en realidad pienso que mi blog encajaría en la excepción de “ámbito doméstico” y no necesitaría ni registrar fichero alguno, pero mira, ahí lo tienes de todas formas.

      Sobre la otra cuestión, no estoy diciendo que esta sea una manera de recopilar direcciones de correo electrónico, estoy diciendo que una mala implementación de una aplicación informática, ENVÍA el dato personal relativo al email cuando haces click en ella. En mi caso me suelen llegar emails con enlaces de gente conocida para que visite y lea un artículo o un comentario, de forma que si utilizara Movistar o ONO vía web, el autor de ese artículo sabría que yo en concreto (Samuel Parra) lo he visitado, eso a todas luces una vulneración del deber de secreto de la LOPD fruto de una mala implementación del aplicativo.

      Responder
      • Pues perdona que sea tan obtuso, pero sigo sin tenerlo claro… si el que me manda el mail es un conocido, que por ende ya sabe de mi correo, y me invita a acceder a un contenido que él mismo ha publicado, ¿no está en su pleno derecho de saber que tú has accedido a ver un artículo que es de su propiedad mediante una invitación que el mismo te ha enviado? Otra cosa es que tú pasaras por allí… pero lo cierto es que has usado su invitación para ir a verlo.

        Con esto no estoy defendiendo a Movista u ONO, lo que pretendo es entender dónde está la vulneración que comentas, por que el secreto que afirmas debe mantenerse, para este caso, entiendo que queda roto en el momento en que yo facilito mi dirección de correo, en este caso, para que me lleguen este tipo de invitaciones.

        Respecto de lo del registro del fichero, en efecto, justo después de mandarte el comentario comprobé que efectivamente lo tenías registrado… 😀

        Un saludo.

        Responder
        • Nada que disculpar Anónimo. Voy a intentar explicarte un escenario posible para que veas dónde está la vulneración:

          Tú recibes de tu amigo Euclides un correo electrónico en el que comparte precisamente esta entrada contigo, y te dice: “Mira Anónimo, soy Euclides, lee este artículo tan chorra que ha escrito Samuel Parra en http://www.etcetcetc“.
          Ahora tú vas y haces click en el enlace que te enviaba tu amigo.
          Al hacer eso, Movistar/ONO me envía (a mí), sin tu consentimiento, tu dirección de correo electrónico, de forma que puedo saber (normalmente) el nombre y apellidos o como poco el email del visitante inicialmente anónimo. No ya solo conozco su IP (que eso me dice nada sobre la persona) sino que ahora tengo el email del visitante (el tuyo en este caso, sin que nos conozcamos de nada).

          Imagina que esto ocurriera cada vez que navegas por Internet, esto es, que en cada página que entras se enviara tu dirección de email al propietario de esa web ¿lo verías adecuado? 🙂

          Responder
          • Espero que esta vez capte LA IDEA el amigo anónimo, que yo creo que es bien simple.

            Se resume en que desde la aplicación de correo web de esas empresas, la navegación pulsando a links que haya en dichos mensajes NO ES ANONIMA, te PUEDEN IDENTIFICAR.

            Por ejemplo un amigo te dice en su correo mira la perfumería tal tiene una oferta muy buena, y vas tú y pinchas el link, los de esa perfumería online podrían obtener de sus logs de visitas los mails de los usuarios y podrías empezar a recibir publicidad no deseada. Entre otras posibilidades.

          • Creo que voy captando el mensaje, pero en este caso, ¿quién es el que viola la ley, el que desconoce la circunstancia y por ende no pone remedio o el que conociendo la vulnerabilidad la explota para conseguir beneficio de una mala práctica de otro?

            Quiero decir, si roban mi coche, roban mi coche, y ese delito es robo, independientemente de que yo dejase las llaves olvidadas en el mismo o me forzasen las cerraduras no?

            Es decir que entiendo que en este caso, el delito estaría en hacer un uso inadecuado de esa vulnerabilidad, que debería ser puesta en conocimiento de la persona (en este caso empresas) para que lo corrijan, y el delito en cuestión sería para la empresa de perfumes, que empieza a hacer envíos de publicidad no solicitada por el usuario, o de samuel parra en el caso del ejemplo indicado por el propio Samuel ¿no?

          • En ese caso nos encontraríamos en 2 supuestos distintos, con 2 infracciones diferenciadas: por un lado la perfumería que hace un tratamiento de esos datos sin el consentimiento del titular (en el caso de que enviara publicidad por ejemplo), y por otro el responsable de la plataforma que no tiene adoptadas medidas que eviten la difusión de esa información personal a terceros.
            La infracción que comete uno y otro son distintas.

      • Al hilo del ámbito doméstico -que quizás si en ámbito LSSI- , entiendo Samuel que no compartes -aunque registres fichero- que “… la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente automatizado de datos personales en el sentido del artículo 3, apartado 1, de la Directiva 95/46.”según dijo el Tribunal de Justicia de la Unión Europea, en la Sentencia de 6 de noviembre de 2003 (caso Lindqvist. Asunto C-101/01) y viene aplicando la AEPD y la Audiencia Nacional con carácter general sobre páginas web y otras plataformas -blogs, etc-.

        Responder
        • Yo sí considero que esa conducta constituya un “tratamiento” de datos según la normativa; pero también pienso que un blog personal (personal, sin ánimo comercial o promocional), en el que el autor publicar artículos y las personas eventualmente pueden suscribirse para recibir en su email los nuevos contenidos, encajaría dentro del “ámbito doméstico” de la LOPD.

          Otra cosa es que el autor publique información de carácter personal sujeta a la LOPD, por ejemplo, en sus artículos.

          Responder
          • Comparto contigo que las características de tu blog permiten excluirla de la LSSI. Pero lo que es tratar, tratas datos de carácter personal, como mi dirección de correo electrónico (y consiento ;)). Publicar datos en el blog no es sino otra operación que entra dentro de lo que es tratamiento, pero lo es también recopilar datos y conservarlos. Una página web al final es un fichero. Como sabrás, a la pobre Sra. Lindqvist le cayó una buena encima…aunque también es más cierto que en su web publicaba (cedía) datos personales a toda la www. sin consentimiento de los titulares. Gracias por responder y no sigo que se sale del hilo.

          • No me importa que se salga de hilo :). En España la AEPD también ha sancionado en varias ocasiones a personas que han colgado en blog o foro algún dato personal que no debían; yo en esos casos comparto la postura de la AEPD.

            No lo compartiría si por ejemplo la AEPD me sanciona porque en mi blog no tengo puesta la cláusula del artículo 5.1 cuando alguien quiere dejar un comentario…

  3. Enhorabuena Samuel, gracias a su excelente trabajo demuestra la enorme urgencia de implantar en la programación oficial de Desarrollo de Aplicaciones Informáticas, así como en Desarrollo de Sistemas Informáticos (FP II de informática), un apartado actualmente no reconocido para la aplicación de la LOPD. Ya que este asunto habría sido trivial de corregir si “el becario” se hubiera percatado.

    Responder

Deja un comentario