Telecomunicaciones

El día que Pepephone hackeo a sus clientes para robarles las contraseñas

La compañía perdió los datos de todos sus usuarios un puente de mayo. Estuvo tres días sin existir. Años después se vendió por 168 millones de euros

  • Pepephone

Siete personas y tres millones de euros. Eso fue todo lo que necesitó la familia Hidalgo para lanzar Pepephone, uno de los primeros operadores españoles de bajo coste allá por 2007. Años después fue vendido por 168 millones de euros a MásMóvil. Su plantilla entonces estaba formada por 23 empleados que gestionaban 450.000 clientes. Fue un negocio redondo para una compañía centrada principalmente en el mundo de los viajes que dio un salto al vacío apostando por el sector de las telecomunicaciones. La jugada fue redonda, pero hubo que sortear obstáculos.

El más grande de ellos se produjo en el puente de mayo de 2009. Pepephone despareció. Literalmente. Todos sus datos fueron eliminados por la subcontrata encargada de realizar un proceso de migración. Uno de los técnicos borró por error todos los datos del operador. Todos. Tanto el software con el que se gestionaba la operativa de los clientes como los datos de los usuarios.

Pedro Serrahima, el director general de la compañía, convocó a sus nueve empleados a un gabinete de crisis para afrontar la situación. Dentro de lo malo, era época de puente y contaban con tres días por delante para tratar de solucionar lo que parecía un imposible.

Lo primero era recuperar los sistemas informáticos que permitían tramitar la operativa con clientes. Todo eran soluciones propias hechas con código abierto. La opción más lógica hubiera sido picar código informático desde cero, pero David Tejedor, entonces director técnico de la compañía, tenía una copia de seguridad anterior. ¿Por qué la tenía? No se fiaba del proveedor encargado de realizar las copias de seguridad.

En paralelo, Pepephone pidió ayuda a Vodafone, el operador al que alquilaba la red para dar servicio a sus clientes. La corporación roja tenía los registros de llamadas de los clientes, algo crítico para saber lo que habían consumido, cobrarles en consecuencia y abonar lo pertinente a Vodafone por los minutos consumidos.

Vodafone no tuvo problemas en facilitar todos los datos que necesitaban, recogiéndolos desde Italia, país en el que registraban la operativa.

Pepephone había desaparecido del todo, también de los cajeros. Los bancos en los que los usuarios recargaban las tarjetas de prepago no reconocían al operador de la familia Hidalgo. Los empleados del call center tuvieron que realizar las recargas a mano cuando los clientes llamaban para añadir saldo.

Todo era un galimatías. Por no tener, no tenían ni los números de teléfono de sus usuarios.

Sin embargo, el hecho de estar bajo el paraguas de Globalia les permitió acceder a los datos que se volcaban regularmente desde Pepephone al grupo. Mientras se reordenaba la información de los clientes el equipo de Pedro Serrahima trabajaba a contrarreloj. Volver a montar el sistema en Linux daba errores y tuvieron que remangarse y picar código. Serrahima, el director general, también.

El hackeo de Pepephone a sus clientes

Uno de los problemas más tediosos a los que se enfrentó el equipo de Pepephone fue la imposibilidad de los clientes de acceder al sitio web en el que se autogestionaban las líneas. Sí, los datos de usuario y contraseñas también fueron borrados.

¿Cómo solucionarlo? No les quedó más remedio que generar un troyano que infiltraron en la página web oficial. Cada vez que un usuario trataba de entrar, el programa malicioso -en este caso beneficioso- solicitaba el cambio de clave por "motivos de seguridad". El cliente debía introducir su correo y un nuevo password. Pepephone se hizo así con los datos para tramitar los accesos de los clientes a la web.

Mientras tanto, los empleados siguieron picando código y afinando los sistemas. Fueron días sin dormir regados de cruasanes y porras al alba. Hasta que pasó el puente y se apretó el interruptor para iniciar todos los sistemas. Voilà, todo funcionó. Lo mejor de todo para Pepephone es que ninguno de sus entonces veintemil clientes se dio cuenta de nada.

Desde entonces hasta 2016 Pepephone no dejó de ganar usuarios. Se convirtió en una amenaza para sus competidores (Telefónica, Vodafone, Orange...), pero sobre todo para MásMóvil, centrada en el mismo tipo de usuario. La táctica de Pepephone era sencilla: tratar al cliente como si fuera una persona. A los de Meinrad Spenger no les quedó más remedio que desembolsar 168 millones para adquirir la compañía, en la actualidad integrada en el Grupo MásMóvil. Fue un negocio redondo para los Hidalgo.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli