Disclaimer 2: el post va a ser un tanto técnico, así que si no te enteras de algo de lo que he soltado, pregunta en los comentarios

Disclaimer 3: sí, hace siete meses de esto… ¿y? Es mi blog y escribo lo que me da la gana cuando me da la gana. Bueno, más bien cuando puedo. Vamos allá.

Todo empieza allá por junio o julio. Estaba en la ratonera de la EPS (también conocida como “laboratorio de prácticas libres”) haciendo a saber qué cuando entré a la web de Movistar a buscar no recuerdo qué (¿veis? esto es lo que pasa cuando escribes con mucha distancia temporal respecto a los hechos, si es que no aprendo…)

Total, llegué a una dirección tal que la siguiente:

http://www.movistar.es/on/pub/servicios/onTOEntrada/0,,entrada%2Bbuscador%2Bv_segmento%2BAHOG%2Bv_idioma%2Bes%2BambitoAcceso%2Bpub,00.html?uri=/on/pub/ServNav?servicio=redireccion&URLFinal=http://trololololololololololo.com

Obviamente, el parámetro GET “URLFinal” no estaba asociado a http://trololololololololololo.com, sino a una URL interna (relativa) de movistar.es

Pero se me ocurrió meter ahí una dirección externa, concretamente http://www.this-page-intentionally-left-blank.org (por rapidez de carga más que nada ). Y cargó. Dentro de la cabecera y el menú lateral de movistar.es. Vamos, que la web “insertaba” la URL que le pasaras por parámetro sin verificar si era una local (propia de la compañía) o una remota. Ahí está la gracia.

Para los profanos, básicamente la vulnerabilidad consistía en que yo podía introducir mediante una URL lo que me diera la gana “dentro” de la web de Movistar, concretamente en el área amarilla de la siguiente imagen:

Hablando más técnicamente, esto significa que la web de Movistar tenía un problema de seguridad bastante gordo, pese a su trivial explotación y a que la vulnerabilidad no permitía que se modificaran realmente los contenidos de su servidor. Yo lo califiqué como XSS indirecto, pero por lo visto, según me indicaron después, esto particularmente recibe el nombre de iframe injection.

Como me tenía que ir de la universidad, apunté en un hueco libre de mi Google Calendar que debía mirar aquello más a fondo para explotarlo con el escarnio que Movistar merecía (podéis buscar en el blog todas las peleas que he tenido con ellos) y me largué. Dio la casualidad de que me puse con ello de nuevo precisamente el día 30 de julio.

La tarde de ese sábado, una risa maléfica me invadió, ya que conmigo habían dado en hueso. Tanta gente que podía haber encontrado el fallo de seguridad… y lo había hallado yo. Así que, para echarme unas risas a su costa, abrí una sección arbitraria de la web de Movistar, cogí su código fuente, le quité la cabecera y escribí un manifiesto resumiendo mis quejas:

Por si no ha quedado claro, no busqué expresamente el bug para dejarles en evidencia. Lo encontré por casualidad y decidí usarlo para someterles a escarnio público doblemente (por la vulnerabilidad y por mi lamentable historial con ellos).

En fin, como dije antes, ya tenía listo el manifiesto y lo había subido a:

http://www.gatovolador.net/arx/failmovistar.php

Con lo cual debería invocarlo mediante una URL tal que:

http://www.movistar.es/on/pub/servicios/onTOEntrada/0,,entrada%2Bbuscador%2Bv_segmento%2BAHOG%2Bv_idioma%2Bes%2BambitoAcceso%2Bpub,00.html?uri=/on/pub/ServNav?servicio=redireccion&URLFinal=http://www.gatovolador.net/arx/failmovistar.php

Estéticamente quedaba realmente estupendo e integrado de forma transparente con la web de Movistar, al menos con Firefox…

…pero de cara a que la gente se creyera el invento, resultaba ligeramente cantosa la aparición del dominio de mi blog de forma explícita en la URL, así que la “camuflé ligeramente” y de paso colé un easter egg (fácilmente visible… bueno, no adelantemos acontecimientos):

http://www.movistar.es/on/pub/servicios/onTOEntrada/0,,entrada%2Bbuscador%2Bv_segmento%2BAHOG%2Bv_idioma%2Bes%2BambitoAcceso%2Bpub,00.html?uri=/on/pub/ServNav?servicio=redireccion&area=particulares-internet-adsl-movistar&cliente=0&URLFinal=http://qr.net/eplh&epicfail=1

Finalmente, lo twiteé sin esperar la que se me venía encima:

Nótese que menciono al Twitter de Movistar para que arreglen el clamoroso boquete de seguridad que tiene su página y que, como comentaré más abajo, podría haber sido explotado con fines bastante menos inocentes que los míos.

Esa misma noche cayó algún que otro RT y algún comentario jocoso. Al día siguiente, domingo, veo que me han hecho RT desde la cuenta del blog Security by Default…

…con lo que el asunto gana notoriedad, para desgracia de mis queridos amigos de Movistar.

Por la tarde, mientras RT de “twitteros de peso” como @julioalonso o @benjami me hacían sospechar que se iba a liar una buena, @Conejo_Blanco envía el ataque “tal cual” a menéame. Como era de esperar, la noticia acaba cosida a puñaladas a votos negativos por microblogging (creo que es algo así como “enviar el suceso en sí y no un artículo que lo explique”).

Es hilarante ver a los comentaristas diciendo que Movistar me va a pillar y me va a crujir (como si me hubiera ocultado…). Encima dan ideas para que me rastreen (¡pero serán hijos de puta!). Hay que destacar este comentario, especialmente un fragmento:

No creo que sea tan tan tan tonto… seguramente el nombre es inventado

Se refiere a la firma del “manifiesto”, en la que se indica mi nombre real (Juan Rodríguez), y provocó risas en Twitter:

Otro comentario para la historia, valga la redundancia:

Joder, no votéis microblogging. Juan Rodriguez está pasando a la historia, haced una excepción.

Y otro que da bastante en el clavo aunque me quiera condenar por a saber qué:

El error es grave de cojones y más en una empresa que se supone seria y que todos los días se hacen transacciones con tarjetas de crédito. Un xss pero de los gordos. Para que los que vean solo una payasada, básicamente el gestor de contenidos de Movistar está metiendo un trozo de página (iframe) que está alojado en otro servidor. El posible atacante solo tendría que escribir en su servidor una página como la de pago y mandar spam o abrir un blog y enviarlo a meneame diciendo que Movistar hoy si haces recargas de 10 euros recibes 100 y ponerse a recoger tarjetas de crédito…

El error es bastante grave, pero el chico este yo creo que no sabe donde se está metiendo, y como mínimo yo creo que movistar le meterá el miedo en el cuerpo (se está jactando de ello en twitter, el iframe está en su servidor… va con firma…)

El segundo párrafo carece de sentido (a no ser que lo hubiera leído Pedro Piqueras), pero el primero es muy acertado y ahí reside la gracia del problema de seguridad. Aprovechando la vulnerabilidad, yo metí mi carta, con un diseño cuidadosamente calcado al de cualquier sección de la página de Movistar. Pero pongamos que en vez de servidor, explota el bug alguien un “poco” cabrón.

Podría haber hecho phishing (y encima “dentro” de la propia web y dominio de Movistar, sin tener que recurrir a ingeniería social ni comprar un nombre de dominio parecido) colando un bonito formulario para robar datos de tarjetas de crédito. Para más risas, si entrabas a la página de “ataque” mediante HTTPS todo funcionaba igualmente bien. Ni avisos del navegador ni leches en vinagre.

A las diez y media de la noche, Movilonia publica un artículo titulado “Un cliente indignado hackea la web de movistar“. No se enteran de absolutamente nada ya que, además de decir “hackea” (venga ya), escriben:

Critica la escasa velocidad de su conexión ADSL
[...]
Un abonado de movistar, cansado de soportar una línea ADSL con una velocidad ínfima, según su versión, ha decidido aprovechar un agujero de seguridad de la web de la operadora para hacer públicas sus quejas.

¿Ho-la? Si mi carta se titula “súplicas de cobertura ADSL”, obviamente es que no dispongo de ese tipo de conexión. En el artículo que publicaron en FayerWayer pecaron de algo parecido. En fin…

@Benjamin_Rosa envió a menéame el artículo de Movilonia y… aquí se lía, ya que un par de horas después estaba en la portada de la página.

Mientras, en Twitter se especulaba sobre si Movistar diría algo del tema mediante su cuenta en el servicio (os recuerdo que les hice mención cuando publiqué la vulnerabilidad para que no dijeran que no les avisé):

BandaAncha sí entendió perfectamente el asunto y publicó un post al respecto esa misma noche. Sobre ese artículo sólo puedo decir que los comentaristas que dicen que pida cobertura a los operadores alternativos y, especialmente, el que dice…

No es manera de protestar, y si dependiese de mí éste listillo entraba de cabeza en la lista de peticiones que no se cumplirán jamás. Vivir en según qué zonas tiene ventajas e inconvenientes, si le parece que tiene más de lo segundo que de lo primero que se mude.

…son UNOS CRETINOS DE CUIDADO.

Bueno, y así llegamos al lunes 1 de agosto. Cuando abro Twitter esa mañana, veo varias menciones avisándome de que el asunto está en la portada de El Mundo. No me lo podía creer, pero… era absolutamente cierto:

(nótese que para más inri el artículo era el tercero más leído de la web a la hora de la captura )

A partir de aquí la cosa se desmadra (más), con titulares (muchos sensacionalistas en tanto que no hackeé nada) como los siguientes:

- Un cliente alicantino enfadado hackea la web de Movistar (Las Provincias) (impagable que transcriban el “a tomar por culo” del manifiesto xDDDD)

- Usuario de Movistar hackea su web para mostrar su descontento (La Verdad)

- Un usuario ataca la web de Movistar y cuelga una crítica hacia la compañía (Nación Red)

- Un cliente de Movistar hackea su web para “ponerles las pilas” (Hechos de Hoy)

- Un cliente protesta colándose y secuestrando la web de Movistar (Baquia)

- Un usuario enfadado con Movistar aprovecha un agujero de seguridad XSS en la web de la operadora para protestar (Xataka ON)

- Un ilicitano logra publicar su queja en la página web de Movistar (Infoexprés)

Si dejo para el final Infoexprés (el periódico digital de Tele Elx y Radio Exprés) es por algo. Pero antes, debo decir que Movistar arregló la vulnerabilidad durante la mañana de ese día. Eso sí, lo hizo de forma chapucera. En el área que yo utilicé para colar mi “amigable carta”, cargaba la home de la página de Movistar le pasaras la “URLFinal” que le pasaras:

En fin… qué esperar de esta empresa…

Antes dije que me dejaba Infoexprés al final con motivo. Resulta que no fue el único medio del grupo local de comunicación en el que dieron la noticia. En “TeleNit”, el informativo de TeleElx, también la sacaron…

Lo peor es que suelo ver las noticias locales pero ese día precisamente no lo hice. Me tuvieron que avisar de la aparición por MSN, en una conversación que empezó dándome una hostia de realidad:

22:37:43 menudo crack estas hecho
22:37:44 jajajajajajjaja
22:37:58 hosti
22:38:01 ha llegado a tus oídos
22:38:08 lo de la web de Movistar? jajaja
22:38:11 pero si lo sabe toda españa

Y eso que todo esto tenía que haberse quedado en una trolleada barra pataleo por Twitter, lo que son las cosas y las bolas de nieve que genera Internet…

En fin, en este chat me enteré de que lo habían sacado en la tele local (y en el informativo de RadioExprés de regalo), así que saqué mi flamante sintonizadora TDT USB y me dispuse a hacer la primera grabación “real” con ella: una de las 1488 redifusiones del informativo (al final que TeleElx repita tanto las cosas tiene su lado bueno y todo):

Me encantan varias cosas del vídeo: que se refieran a la explotación de la vulnerabilidad como una “proeza”, lo de “burlando todos los sistemas de seguridad” (como si fuera un hacker élite que se ha saltado 600.000 firewalls y ha accedido al Pentágono o algo así) y, especialmente, que ante la falta de imágenes de archivo relacionadas con Internet o la informática, ilustraran la pieza con secuencias de la Lan Party Elx xDDDDDDDD

Pero la cosa no quedó aquí. Un chivatazo de la persona con la que hablé a un contacto suyo y, al día siguiente, martes 2, me despertaba por una llamada en el móvil. Llamada de Rosmari Alonso, la directora de informativos de TeleElx. Les interesaba sacarme en el TeleNit. Esto… ¿quién es el guapo que pudiendo cooperar para dejar mal a Movistar en la tele no lo hace? Y eso que a mí, cuanto menos se me exponga públicamente, mejor…

Entonces me preguntó si quedaba con ellos en algún lado o venían a mi casa. De haber elegido la segunda opción, probablemente aún estarían intentando ubicar mi domicilio, así que a las 12.30 de ese día me cité en el arco del Ayuntamiento con un cámara y una redactora (me dijeron que era la chica que presentaba el TeleNit en ese momento aka la que sale en el vídeo de más arriba, con lo que la fiché rápidamente).

Con esto ya veis que en TeleElx los trabajadores realizan múltiples funciones haciendo un poco de todo, y más abajo saldrán más ejemplos. Total, con un ligero retraso (creo que ese día había rueda de prensa en el consistorio) aparecieron allí los dos. La redactora/presentadora (luego me enteré de que estaba de prácticas) se llama Laura Fernández, y (si no lo digo reviento) en persona imponía más que por la tele. Aún así tuve que presentarme yo ante ellos porque se ve que, pese a la poca gente que había en el arco, no pensaron que podría ser un pringao como yo a quien buscaban xDDDDD

Cuando se presentó el cámara, su voz me sonó muchísimo. Creo que es el mismo que locuta las noticias del TeleNit (¿veis lo que os decía de la pluriocupación?). Acto seguido, bajamos a la plaza de Baix y allí la redactora empezó a preguntarme cosas y a tomar notas mientra el cámara grababa planos de relleno. Luego me tocó hablar delante del micrófono (d’oh!).

Cuando acabamos, le di a Laura un par de URL por si quería usar alguna captura para ilustrar la pieza. A petición suya, en lugar de eso lo que hicimos fue subir a Tele Elx (que está a cinco minutos) y que me grabaran haciendo el manta con el ordenador. En lo que íbamos hasta la emisora, les pararon como tres personas para saludarles. TeleElx no tendrá licencia, pero está arraigada como ninguna en Elche.

Cuando entramos a los estudios, la recepcionista me sonaba de algo y no sabía de qué. Subimos a la primera planta, donde están las redacciones. La de TeleElx, donde grabamos, estaba al fondo.

Allí estaban otra chica en prácticas, la directora de informativos con la que había hablado por la mañana y a la que había visto en la tele cienes de veces y Esther Navarro (presentadora de “Revista universitaria” y del informativo de RadioExprés Marca entre otros). Nada más llegar la redactora me presentó ante todos los presentes, para evidente sonrojo por mi parte.

Luego me señaló un ordenador con Windows (llega a tener Mac OS como los de Diario Información y les cae un “venga, hasta luego”) y me suelta “no creas que aquí Internet va muy allá, pero vamos…” Yo me reí y dijo: “ya, ya imagino que es imposible que vaya peor que en tu casa”. Enorme xDDDDDDDDD

Mientras yo abría Twitter y la captura de mi manifiesto en el ordenador, el cámara grababa más planos de relleno. Cuando acabamos, la otra chica en prácticas me preguntó algunas cosas sobre el fallo de seguridad y, antes de irme, le eché (todavía no sé cómo, los que me conocéis sabréis por qué digo esto) un piropo a la redactora/presentadora sustituta…

Finalmente bajé a recepción con el cámara y en ese momento caí en que la recepcionista era otra colaboradora habitual con intervenciones en los programas de TeleElx. Nada nuevo bajo el sol: multidisciplina extrema. Me despedí (con alguna coña barra insinuación de que me contrataran en la emisora como informático) y me fui a casa.

Esa tarde, aparte de trollear nuevamente a Movistar y asumir que había estado en TeleElx cuando publicaron un nuevo artículo en Infoexprés con mi jeta, vi que la noticia de El Mundo seguía en el top ten de lo más leído, concretamente en el quinto puesto:

Fascinante.

Entre pitos y flautas, se hicieron las 21.30 y llegó la emisión del TeleNit con mi aparición estrellada estelar:

Si me veis la cara más deformada de lo habitual, es que estaba con un flemón infame por un empaste reciente xDDDDDDD

En fin, hasta aquí llegó el asunto Movistar. Las repercusiones no han llegado más allá de que la cuenta de Twitter pase de mí olímpicamente desde ese día

Antes de terminar, no puedo dejar de mencionar algunos comentarios a distintos artículos de los que enlacé más arriba:

Muy bien hecho. Sería muy curioso saber cómo lo has hecho (el ataque XXS).

XSS, se dice XSS (y al final ni siquiera era eso). En todo caso, explicado queda. Fácil, sencillo y para toda la familia.

jajajajaja lo que más mérito tiene de todo, es que con el modem de 56k consiguió cargar la página de movistar xD que paciencia!!

Tiene razón. La web de Movistar es de lo más recargado y tortuoso que se puede ver por Internet. Eso por no hablar de las secciones que sólo funcionan en Internet Explorer…

Pero bueno, la ocasión merecía el despliegue de paciencia

ke tio mas grande darle 100mg y este cambia el mundo

si, con una red de 56k hace eso, esperar a que le den una de 20 megas….

Bueno, dadme un ADSL de una p*ta vez y dejadme demostrarlo xDDDDD

PD1: esto sigue dando para chistes hasta ocho meses después. Incluso entre mi familia.

PD2: aparte de para que el CM de Movistar pase de mi estampa, esta historia magnificada hasta la saciedad por los medios también me sirvió como tema para hacer una exposición oral en la EOI (obviamente explicándolo en plan fácil, no técnico).

PD3: este post va dedicado a @mmoroca, que fue el primero en pedirlo. Aquí está, aunque sea 231 días después

Así lo cuenta hoy el Diario Información:

La imagen de marca turística, junto con la la web (www.visitelche.com) sobre la que va a girar la estrategia turística de la ciudad, y que estará operativa con motivo de la apertura la próxima semana de la Feria Internacional de Turismo (Fitur) en Madrid, son la punta de lanza de un Plan Director de Turismo [...]

Si entramos ahora mismo a la página, veremos únicamente una cuenta atrás en la que se nos indica el tiempo que falta para que dé inicio FITUR:

Yo tenía la web controlada ya hace unos días, pero hasta ayer no se me ocurrió intentar ver si, aparte del cronómetro, había algo más. Y, con un poco de pillería, vi que efectivamente el cronómetro no era lo único que había en el dominio. Aunque me encontré las secciones vacías de contenido, aquí tenéis en primicia (supongo xD) los que serán los menús y la interfaz de visitelche.com:

Me hizo gracia semejante “pillada” y se la pasé a Sergio, el cual, en cerocoma, me respondió con un enlace a un fallo de seguridad de la web. Esto es, había petado visitelche.com antes incluso de que funcionara oficialmente. Cómo la liamos…

La vulnerabilidad es del tipo XSS y permite “insertar” lo que queramos en la página. Por ejemplo, a modo de demostración, aquí podéis ver una muestra de aprecio hacia la actual alcaldesa (y en un hilarante combo, precisamente también encargada de Turismo local) en forma de carta en la flamante web municipal:

Actualización 14 de enero: me comentan que el bug ya ha sido solventado. Lo peor es que no han arreglado el XSS (o al menos, no se puede comprobar si lo han hecho) ya que ahora cualquier URL del dominio visitelche.com muestra la cuenta atrás de la captura del principio

El titular de La Verdad lo dice todo: La Generalitat no podría pagar lo que debe ni con la venta de todo lo que tiene. A tope. Las posesiones de la Cheneralitat valen 2.867 millones pero los números rojos llegan a la friolera de 4779 millones. Ahí queda eso.

Canal 9, uno de los grandes agujeros, con una audiencia pésima y una programación (salvo escasas y honrosas excepciones) peor si cabe, tiró 26 millones de euros en los derechos de la Fórmula 1 para cuatro años (derechos que no le están dando un rédito nada beneficioso y que encima no son exclusivos, ya que la F1 también es emitida por La Sexta). Con dos… eso.

Globalmente, los números rojos de RTVV alcanzan los 1157 millones. Si fuera una empresa privada, estaría en quiebra. Comentar el detalle, pese a lo irrisorio de la deuda en comparación con la de Canal 9, de que Las Provincias TV (ahora Metropolitan TV) y Popular TV Mediterráneo (ahora TV Mediterráneo) deben a RTVV algo más de 900000 euros por la codificación y transporte de sus señales en el mismo multiplex que la radiotelevisión autonómica. Seguro que ser afines al Consell (al menos en sus concesiones originales) no tiene nada que ver para que vengan usando espectro radioeléctrico público por la cara

Volviendo a la Fórmula 1, la entidad pública “Sociedad Proyectos Temáticos de la Comunidad Valenciana” abonó 20 millones de euros como copromotora del evento hasta dentro de dos años. Pero en su memoria de actividades sólo declaró 17,6 millones. Estos políticos nuestros, mira que son despistados… anda que olvidar 2,4 millones de IVA…

Y mientras, las farmacias cerrando en protesta ante su asfixia económica por los repetidos impagos de la Generalitat, los abogados de oficio (cuyas retribuciones están congeladas desde 2005) verán recortados los pagos del Consell un 35% y la red de institutos de Secundaria no recibe ni un solo pago desde junio.

Como narra el Diario Información, no hay ni para encender la calefacción. Hay institutos en los que el único efectivo que se maneja es el de la fotocopiadora, y otros con menos dinero en sus cuentas que quien escribe esto (y creedme que es complicado).

El Consell adeuda unos 60000 euros por centro, lo que supone en nuestra provincia unos 8 millones y unos 24 millones en el total de la Comunidad. ¡Hostia! ¡24 millones! ¡Dos millones menos de lo que costaron los derechos de la Fórmula 1 para Canal 9, que han dado una rentabilidad ruinosa al ente público! (y aunque hubieran proporcionado ingresos extraordinarios, va antes la educación pública que semejantes gilipolleces). Tócate los esos que cuelgan…

Y como puntilla, mientras la Fórmula 1 se paga a tocateja, el conseller de Educación, José Císcar, condiciona los pagos a los institutos antes de fin de año a cómo vaya la venta de bonos patrióticos. Sí, bonos de deuda que son basura según la mayoría de agencias de calificación (que tampoco es que me fíe de ellas más que de la Generalitat, pero los datos que he expuesto más arriba son incontestables…)

Hala, felices fiestas.

…el concepto de “reciclaje” de Vodafone.

Por motivos relacionados con TenCuidado que no vienen a cuento, hace unos días decidí comprar una tarjeta SIM de Vodafone. La compra se materializó ayer en un distribuidor que hay en el centro comercial pegado a la universidad.

Cuando anoche llegué a casa, me dispuse a probar la tarjeta. Primero llamé desde ella a mi móvil habitual sin problema alguno. Ya sólo me queda llamar “de vuelta” al Vodafone, a ver si éste recibe bien la llamada. Llamo, da tono…

…pero el móvil con la tarjeta Vodafone no está sonando. WTF???!

Pero esto no es todo. Tras dejar sonar unos tonos, no sea que la red de Vodafone lleve lag cual vulgar conversación de IRC, alguien descuelga el teléfono. Alguien que no soy yo, obviamente, puesto que si el móvil en el que puse la tarjeta Vodafone no ha sonado ni una sola vez… ¿cómo voy a descolgarlo?

Ante la inesperada situación, le cuelgo al desconocido. Pienso que, aunque raro en estos tiempos, no sería imposible un cruce de líneas. También, por si acaso, marco en el teléfono Vodafone la secuencia ##002#, que sirve para cancelar todos los desvíos activos, por si viniera de ahí el problema.

Tras esto, llamo a Sergio desde mi móvil de siempre para contarle la historia y que verifique lo que me acababa de suceder. Él llama con otro teléfono a mi número Vodafone, mientras yo, mediante su manos libres, escucho lo que pasa: mantiene una breve conversación con la misma persona a la que colgué sorprendido, que le indica que es cliente de Yoigo. Tras esto, le doy un toque a Sergio desde “mi” flamante Vodafone y ve sorprendido como poseo el mismo número con el que acaba de hablar… pero no habló conmigo precisamente…

La comprobación definitiva del “¿¿pero qué coj**** está pasando aquí??” llegó cuando fui a la página de consulta de operador de la CMT (Comisión del Mercado de las Telecomunicaciones), metí el número* que me ha asignado Vodafone y me encontré con la confirmación del absurdo:

Viendo esto, ya no cabe duda alguna:

Sí, Vodafone me vendió ayer una tarjeta SIM que tiene el mismo número de teléfono que otra en servicio, de Yoigo. Exactamente el mismo*, como se puede ver en la etiqueta de la tarjeta Vodafone:

Le pregunté a Rubén, ducho en estos asuntos, lo que podría estar pasando. Me explica que probablemente ese número fuera Vodafone en origen pero fue portado a Yoigo. El problema viene cuando, presuntamente, Vodafone marca el número como dado de baja en lugar de como portado a otro operador, con lo que puede ser asignado a otro cliente… que he resultado ser yo. Peor que el juego del teléfono roto.

Y así, en estado cuasi catatónico, me fui a dormir anoche. Esta mañana he llamado desde la tarjeta Vodafone a su propio número. Lo normal sería que me diera comunicando o saltara el buzón de voz, pero en una especie de omnipresencia, he hablado con mi “otro yo telefónico”, que ha resultado ser un chico de Madrid. Impactado tras recibir una llamada desde su propio número de teléfono, le he explicado el percal y se ha puesto a mi disposición para reclamar contra Vodafone por su parte si fuera necesario.

Asimismo, me ha confirmado la teoría de Rubén, ya que me ha dicho que llevaba siete años siendo cliente Vodafone y hace ahora un año portó su número a Yoigo. Pero, por lo visto, para Vodafone lo que hizo fue dar de baja el número, con lo que vieron la posibilidad (errónea) de reutilizarlo. Nunca tuve ningún interés en ser cliente de Vodafone más allá del asunto de TenCuidado que mencioné al principio, pero tras este la primera en la frente, menos todavía.

Me pregunto qué nivel de caos debe haber en las operadoras y redes móviles españolas como para que este tipo de situaciones irreales puedan suceder. ¿No existen controles tan básicos como comprobar que el número no exista ya cuando se da de alta una tarjeta nueva? ¿Qué clase de inútiles trabajan en Vodafone como para que marquen como dado de baja un número que lo único que ha hecho es cambiar de compañía? ¿Cómo es posible que, a nivel técnico, puedan coexistir dos SIM con el mismo número de teléfono?

En fin, espero que alguien de Vodafone o Yoigo me aclare y arregle el asunto antes de que empiece a ser supersticioso, creer que me ha mirado un tuerto y echar espuma por la boca. Todo a la vez.

* PD: si he censurado el número, no es por mí, sino por el propietario “real” del número, que ya bastante frito a llamadas de prueba por mi parte está…

Actualizado 19 de diciembre: no me pilla de sorpresa, pero no deja de ser lamentable que el Twitter de Vodafone haya ignorado vilmente mis quejas. Peor aún: en Facebook directamente me las han borrado. Chocante cuanto menos, puesto que mensajes similares a “¡por fin se me acaba la permanencia y me podré ir a Movistar!” (con promoción de otros operadores) son mantenidos en su muro, y el mío que era una queja sin más es eliminado.

Yoigo, en cambio, parece haber mostrado más interés. Seguiremos informando…

Actualizado 21 de diciembre: tras intercambiar la tarde del lunes mensajes privados con el CM de Vodafone en Twitter, ayer me llamaron desde atención al cliente de la compañía. Me remitirán una tarjeta nueva con otro número (espero que no reciclado ) y, cuando la reciba, anularán la “duplicada” que poseo.

Por otro lado, Yoigo parece que va a investigar el origen de todos estos extraños sucesos.

Actualizado 26 de diciembre: me ha llegado la nueva tarjeta:

La cosa es que creía que me la podrían activar “a distancia”, pero no, tengo que ir a un distribuidor a dar mi DNI otra vez para que funcione y la pueda usar. Meh.

Ya que están tan de moda las viñetas de webs como “¡Cuánto cabrón!”, he hecho un cómic de ese estilo narrando la vergonzante situación para que de paso apreciéis mi nulo arte incluso con personajes tipo palo:

Aparte de la llave también han resultado damnificadas en mis vanos esfuerzos por abrir una tarjeta Travel Club, varias radiografías, una botella de agua, otra de Coca Cola o de otra bebida gaseosa y una placa metálica con la que me he jodido las manos.

Resultado: 6 horas perdidas para acabar llamando igual al cerrajero, salvo que se me ocurran otras brillanteces