Un fallo en Holaluz permitiría «saber muy bien cómo es tu casa»

Holaluz./Holaluz
Holaluz. / Holaluz

Facua denuncia un problema en la seguridad de la comercializadora eléctrica que deja al descubierto los contratos de los usuarios

JOSÉ A. GONZÁLEZMadrid

«Con el Código Universal de Punto de Suministro (CUPS) podría hacerme una imagen muy bien diseñada de una casa y de su consumo eléctrico». Así de contundente se muestra con Innova+ Rubén Sánchez, portavoz de Facua.

Esta semana, la asociación de consumidores ha denunciado un grave problema de seguridad en la página web de la comercializadora HolaLuz. «Los datos están expuestos y lo sabemos desde hace más de dos semanas», añade Sánchez. «Lo que viene a decir Facua no es verdad», confirma HolaLuz a Innova+.

El error se ha generado con la «Tarifa Justa» de la comercializadora que asegura que no hay que «preocuparnos de cuánto consumimos ni cuándo usamos la energía contratada». Para ello y para demostrar la veracidad de su apuesta permite el cálculo de la futura factura de la luz con una serie de datos personales. «Cocinamos esos datos a oscuras, el usuario no ve de dónde los sacamos», concretan fuentes de HolaLuz.

Tarifa Justa Holaluz. / Holaluz

Un argumento que rebate Facua, «el funcionamiento del fallo es sencillo». «Si visualizas lo que se hace detrás de la interfaz de usuario se ve el error», añade. El problema está en la API, comandos usados por programadores que suelen estar protegidos. Sin embargo, la petición al servidor «se hace en abierto», denuncia Sánchez.

«Estamos en mejora continua, evidentemente tenemos fallos, pero siempre hay gente trabajando. Estamos abiertos a que nos comenten errores, es una prioridad y estamos siempre trabajando en ello», reconoce la comercializadora a Innova+.

DNi eléctrico

Sin embargo, la compañía resta importancia a la obtención del Código Universal de Punto de Suministro, «no puedes hacer nada». Sánchez alerta «con esa información podría ir a otra eléctrica y obtener más información».

El problema está en manos de la Agencia Española de Protección de Datos, según Facua. De momento, el organismo estatal aún no se ha pronunciado, «es pronto», aseguran a Innova+. Por su parte, Holaluz niega haber recibido ningún requerimiento de la AEPD.

En la mano del departamento presidido por Mar España está el determinar si el acceso a esos datos son de carácter personal y por lo tanto vulnerarían el Reglamento General de Protección de Datos. «Si la AEPD interpreta esta vulneración, Holaluz tendría 72 para comunicar el problema de seguridad a sus clientes. Pero los implicados no son solo sus clientes, porque manejan una base de datos con multitud de ellos», añade el portavoz de la asociación de consumidores.

Esa base de datos, confirma Holaluz, es el SIPS, donde las distribuidoras, las comercializadoras, las entidades competentes y el titular del contrato pueden consultar la información relacionada con su sistema eléctrico.

Si la Agencia Española de Protección de Datos confirma la escasa protección de esta información y la considera datos personales, la comercializadora se expone a fuertes multas por incumplimiento del Reglamento General de Protección de Datos, cuyo cumplimiento es obligatorio desde el pasado 25 de mayo.

No obstante, Holaluz defiende su trabajo y «no hay incumplimiento». «Se puede sacar cierta información, pero no son datos personales y no se pueden hacer nada con ellos», aseguran fuentes de la compañía. «En el apartado de la web de Holaluz donde facilita información sobre sus tarifas, la página invita a los usuarios a introducir una dirección postal para indicarle qué oferta le recomienda. La compañía muestra la tarifa que propone para el inmueble introducido y la potencia contratada actualmente en el mismo», asegura Facua.

«Queremos que la Agencia de Protección de Datos (AEPD) evalúe las prácticas de Holaluz porque nos parece que se da acceso libre a una información privada, y no solo eso, sino que esos datos pueden ser utilizados por usuarios malintencionados».