Denuncian a Microsoft, Google y Yahoo por las preguntas de seguridad en el correo

20minutos.es NOTICIA20.01.2009 - 09:18h
  • FACUA considera que este sistema para recuperar la contraseña de las cuentas de correo electrónico es inseguro para el usuario.
  • Ha pedido a los proveedores del servicio que eliminen la pregunta de seguridad al tiempo que denuncia ante Protección de Datos.
Un internauta revisa su buzón de correo.
Un internauta revisa su buzón de correo.
BASYKES
Un internauta revisa su buzón de correo.

La asociación de consumidores FACUA considera que los servicios de correo electrónico más populares no ofrecen a sus usuarios las garantías de seguridad necesarias, por lo que ha denunciado ante la Agencia Española de Protección de Datos a Microsoft, Yahoo y Google. En el origen de la demanda está el uso de preguntas de seguridad, un sistema que permite recuperar el acceso a una cuenta de correo cuando olvidas la contraseña y que segú FACUA es completamente inseguro.

Cuando un internauta crea una cuenta de coreo en cualquiera de los servicios más populares, se le pide que elija una contraseña. Además de ésta, y por si el internauta la olvida, se establece un sistema de preguntas de seguridad, que funciona de la siguiente manera: El internauta debe elegir una pregunta y una respuesta correcta, que se le plantearán en el caso de que desee recuperar el acceso a su cuenta de correo cuando pierda u olvide la contraseña.

Según FACUA, este sistema es inseguro, pues en lugar de inventarse una combinación de pregunta-respuesta, el internauta puede elegir de una lista cuestiones sencillas como "¿En qué piso vives?" o "¿Cuál es tu número de teléfono?". La asociación de consumidores asegura que este sistema es inseguro, y que puede dejar al descubierto los mensajes enviados y recibidos por el afectado, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Y recuerda que esta misma semana ha trascendido a los medios de comunicación que el cantante David Bisbal fue extorsionado por cuatro personas que entraron en su cuenta de correo de Hotmail a través del sistema que FACUA plantea en sus denuncias.

Recuperación de contraseña por SMS

La asociación explica por ejemplo que al abrir una cuenta de Hotmail se ofrece al internauta la opción de elegir una pregunta de entre una lista cerrada de seis para poder modificar la contraseña si alguna vez es olvidada por el usuario. Con Yahoo y Gmail la inclusión de la "pregunta de seguridad" no es opcional, sino obligatoria y se ofrece al usuario tanto una lista de propuestas (nueve y cuatro, respectivamente) como la posibilidad de escribirla él mismo.

FACUA considera que aunque los usuarios sean advertidos del peligro que supone introducir respuestas que puedan ser conocidas por otras personas, este sistema continuará siendo demasiado inseguro para un alto porcentaje de internautas.

Por ello, la asociación cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta, algo que también hacen los proveedores en paralelo al sistema denunciado, así como mediante otras opciones seguras como un SMS al teléfono del usuario o por correo postal con acuse de recibo.

Eliminar la pregunta de seguridad

Para apoderarse de una cuenta de Hotmail (Microsoft) o Yahoo, según esta denuncia, sólo es necesario entrar en sus respectivas webs, teclear la dirección de correo electrónico indicando que su contraseña ha sido olvidada, indicar el país, provincia y código postal de su propietario y contestar correctamente a una pregunta que éste seleccionó al activarla o modificarla.

Con Gmail, de Google, ocurre lo mismo, aunque establece un plazo de cinco días desde que se indica el olvido de la contraseña hasta que puede recurrirse a la contestación de la "pregunta de seguridad" si la cuenta de correo sigue sin abrirse desde entonces. Al contestar correctamente se brinda la posibilidad de modificar la contraseña, con lo cual el usuario se hará con el total dominio de todos los servicios e incluso podrá modificar la pregunta, lo que podría llegar a hacer imposible para el auténtico propietario de la cuenta de correo volver a acceder a la misma.

Hasta que las compañías modifiquen sus protocolos de seguridad, FACUA recomienda a sus usuarios que eliminen la "pregunta de seguridad" si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta, de forma que no sea posible averiguarla por un tercero.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.