Pepephone parece compartir el número de teléfono con anunciantes poco claros (y no lo arregla)

El viernes de la semana pasada pulsé por error un anuncio en un dispositivo Android, actualizado, aparentemente libre de malware, conectado por 4G mediante la operadora Pepephone.

Anuncio en la aplicación News+ de Android, que me llevó hacia una URL que mostraba mi número de teléfono

Eso me llevó a una web que indicaba que estaba a punto de “contratar” una “suscripción semanal” (sic) a dos 2,99€ “autorenovable cada semana en la factura del <número de teléfono>”, donde <número de teléfono> el número de teléfono real de la SIM que estaba usando. Este contenido se servía desde el subdominio pagos.movistar.com y mediante HTTP.

Anuncio alojado en el subdominio de pagos de movistar, que muestra mi número de teléfono

Las aplicaciones de Android no pueden acceder directamente al número de teléfono y yo, desde luego, no lo he proporcionado. La aplicación en la que se servía el anuncio es News+ y el servicio que consume es The Old Reader. Ninguno de los dos pide proporcionar el número de teléfono, por lo que no pueden haberlo pasado a la web.

Aunque esto no debería importar, Chrome no tiene la sesión iniciada en los servicios de Google, ni mediante cookies ni mediante el login general de la aplicación.

Al intentar reproducir la situación ese día con el teléfono conectado al ordenador para inspeccionar las cabeceras con herramientas de debugging ya no fue posible hacerlo porque la misma URL que mostraba el teléfono pasó a mostrar un aviso de “El contenido no está disponible”.

Captura de pantalla de la URL del anuncio mostrando No disponible

Al cabo de un rato, la URL volvía a cargar el contenido original. Y aquí viene lo significativo. Cuando la URL carga el contenido que muestra el número de teléfono, los request headers muestran que se ha llegado a la URL de destino mediante una URL del dominio oficial de movistar que, por los nombres de los subdirectorios, parece consistir en un IdP Redirect Artifact del estándar SAML que se usa precisamente para autenticación (identificación).

Captura de pantalla que muestra la redirección de IdP Redirect Artifact

Me puse en contacto el mismo viernes con Pepephone para trasladarles esta información, tanto por teléfono como por escrito. La respuesta también por escrito incluía la siguiente frase: “Le recordamos que Pepephone, no tiene acuerdos con terceros para facilitar su número de móvil”. Les recomendé que trasladaran la información a algún responsable de seguridad, pero no he obtenido respuesta desde entonces.

Pepephone usa la red de Movistar para mejorar su cobertura en algunas circunstancias. Una hipótesis es que la versión de la web que muestra el número de teléfono solo sea accesible cuando se está utilizando efectivamente la red de Movistar. Esto sería coherente con la explicación que da Movistar sobre su “servicio” Movistar Pagos, que tal como se indica en la sección de ayuda “Todos los clientes movistar tienen activado este servicio por defecto”. Esta posibilidad en todo caso no debería aplicar a los clientes de Pepephone que no tenemos relación contractual alguna con Movistar.

Esta misma mañana he podido reproducir el mismo comportamiento, también desde News+ y hacia aparentemente el mismo contenido del anuncio.

  • 18.01.2018