FACUA denuncia a Google, Yahoo y Microsoft
La Asociación de consumidores FACUA denuncia a Google, Yahoo y Microsoft por un problema de seguridad en sus servicios de correo electrónico ante la AEPD.
FACUA considera que este problema de seguridad implica una vulneración del artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal
Según FACUA cualquiera puede acceder a la cuenta de correo de otro usuario si conoce la respuesta a una pregunta de seguridad, que el usuario ha establecido en el momento de dar de alta la cuenta de correo.
Esta pregunta puede ser fácil de averiguar si el usuario ha establecido como pregunta a la respuesta el nombre de su mascota o de su cantante favorito por ejemplo.
En concreto al dar de alta una cuenta de Hotmail (Microsoft), se ofrece la opción de elegir una pregunta de entre una lista cerrada de seis para poder modificar la contraseña si alguna vez es olvidada por el usuario. Con Yahoo y Gmail la inclusión de la «pregunta de seguridad» no es opcional, sino obligatoria y se ofrece al usuario tanto una lista de propuestas (nueve y cuatro, respectivamente) como la posibilidad de escribirla él mismo.
Para acceder a una cuenta de Hotmail o Yahoo, se pide indicar el país, provincia y código postal y contestar correctamente a una pregunta que éste seleccionó al activarla o modificarla. Gmail (Google) utiliza el mismo sistema pero establece un plazo de cinco días desde el olvido de la contraseña hasta que puede recurrirse a la «pregunta de seguridad». Al contestar correctamente se brinda la posibilidad de modificar la contraseña, con lo cual el usuario podrá hacerse con el total dominio de todos los servicios.
Al contestar correctamente se ofrece la posibilidad de modificar la contraseña, de esta manera la persona que ha conseguido entrar en la cuenta de correo se hará con el total dominio de todos los servicios e incluso podrá modificar la pregunta, lo que podría hacer imposible para el auténtico propietario de la cuenta de correo volver a acceder a la misma.
FACUA ya había reclamado a Microsoft que eliminase el sistema de la «pregunta de seguridad» en el 2004 pero tras una reunión con la compañía en la que su departamento legal se comprometió a analizar el asunto, no volvió a recibir respuesta alguna.
Desde FACUA opinan que aunque los usuarios sean advertidos del peligro que supone introducir respuestas que puedan ser conocidas por otras personas, este sistema continuará siendo demasiado inseguro para un alto porcentaje de internautas.
Hasta que las compañías modifiquen sus protocolos de seguridad, FACUA recomienda a sus usuarios que eliminen la «pregunta de seguridad» si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta, de forma que no sea posible averiguarla por un tercero.
La asociación cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta, algo que también hacen los proveedores en paralelo al sistema denunciado, así como mediante otras opciones seguras como un SMS al teléfono del usuario o por correo postal con acuse de recibo.
Esta denuncia parece tener su base en la noticia que se ha conocido la semana pasada, el cantante David Bisbal fue extorsionado por cuatro personas que accedieron a su cuenta de correo electrónico de Hotmail, en la que tenía maquetas de su nuevo disco por lo que le pedían una elevada suma de dinero. Parece ser que una de las arrestadas era psicóloga y tras un estudio del perfil del cantante adivinó la respuesta a la pregunta secreta.
Áudea Seguridad de la Información
Departamento de comunicación