Al menos 2,500 de cuentas del servicio de correo electrónico Prodigy, propiedad de Telmex, quedaron expuestas públicamente y sin restricciones para cualquier internauta. Dirección postal, números de tarjetas de crédito, acceso a servicios como iTunes, MercadoLibre, Facebook y Twitter, contactos entre familiares, amigos y colegas… Con una sencilla búsqueda en el motor de búsqueda de Google, esta información estuvo disponible y al alcance de todo el mundo. Delincuentes incluidos.
Antes de publicar este reportaje, y para proteger la seguridad de los clientes de Prodigy, El diario El Economista informó a Telmex el 30 de julio pasado sobre la vulneración encontrada por esta casa editorial. También se le solicitó una versión oficial sobre el tema.
El agujero de seguridad fue corregido el 31 de julio, de acuerdo con la oficina de prensa de la compañía, pero hasta el momento Telmex no ha definido una postura pública al respecto.
De manera extraoficial, se dice que la vulneración fue producto de un acto de sabotaje industrial en contra de los servidores de Prodigy, lo que puso en riesgo la seguridad de las cuentas vulneradas.
El 24 de julio, al realizar una búsqueda en Google sobre el espionaje en México, El Economista localizó en la primera página de resultados un hipervínculo a un documento de la bandeja de entrada de un usuario de Prodigy, una de las marcas de servicios digitales de la operadora Telmex.
Para ver el contenido no se requirió ningún tipo de autenticación, como nombre de usuario y contraseña. Mucho menos habilidades de hacker. Una casualidad fue suficiente para llegar a la bandeja de la cuenta comprometida. Por lo menos se detectaron otros 2,500 casos, con las repercusiones que eso significa: exposición de datos personales y sensibles de sus titulares.
“Comprometer cuentas de correo electrónico no sólo permite a cualquier internauta leer los correos electrónicos, sino enviarlos a nombre del titular de la cuenta utilizando la interfaz de usuario (de Prodigy)”, advirtió Ken Westin, experto en seguridad informática y en privacidad de datos.
El correo electrónico Prodigy es la plataforma que Telmex ofrecía gratuitamente a sus clientes residenciales hasta el 15 de septiembre del 2010, pero ya no es comercializado, según explica la compañía en los términos de uso del servicio. Hasta esa fecha, por cada servicio de internet contratado Telmex otorgaba una cuenta bajo el dominio “prodigy.net.mx”.
Funcionarios públicos, organismos empresariales, asociaciones civiles e instituciones gubernamentales como la Gaceta del Gobierno del Estado de México, el Instituto Guerrerense de la Infraestructura Física Educativa, la Dirección General de Profesiones de la Secretaría de Educación de San Luis Potosí, o el Centenario Hospital Miguel Hidalgo del Estado de Aguascalientes tienen direcciones de contacto y cuentas oficiales bajo el dominio prodigy.net.mx, de acuerdo con información disponible en sus sitios de internet.
El Economista consultó a Westin, fundador de la plataforma de seguridad móvil GadgetTrak, para analizar el caso y corroborar la existencia de una vulneración en los sistemas de Prodigy.
“Encontré al menos 2,500 cuentas comprometidas como resultado de este problema. Este número está basado en el número de resultados que arroja Google aunque podría suponer que el número puede ser más grande”, dijo Westin el 27 de julio pasado.
Para dimensionar el problema, el experto escribió un programa de prueba que, en 15 minutos, rastreó y localizó todos los hipervínculos a cuentas de Prodigy disponibles a través de Google.
Prodigy tiene la facultad de determinar que la información de las cuentas de sus usuarios debe omitirse de las búsquedas de Google, a través de un código de programación, así como pedir el retiro de contenido que represente una exposición a información confidencial que ponga el riesgo la privacidad de los usuarios.
De acuerdo con las políticas de indexación de Google, los administradores de los sitios web pueden establecer si quieren o no que su contenido esté indexado en la base de datos del buscador y que serán mostrados a los usuarios, pues únicamente indexa sitios que sean públicos y que no tengan restricciones de consulta por parte de sus administradores.
La vulneración de comunicaciones privadas puede dar pie a la comisión de distintos delitos, como la suplantación de identidad, extorsión, fraudes financieros y electrónicos hasta secuestros, advirtieron expertos consultados.
“El correo (electrónico) es una comunicación privada. Desde luego, lo que encuentren puede ser usado para hacerle daño al usuario (sobre todo) si hay números de cuenta bancarios o información personal”, dijo Alejandro Pisanty, de Internet Society (Isoc) en México y catedrático de la Universidad Nacional Autónoma de México (UNAM).
En su análisis, Westin encontró información comprometida en las versiones almacenadas en los sistemas de Google desde, por lo menos, el 9 de julio del 2013.
“El contenido del correo puede ser usado para molestar, para exhibir, para extorsionar o para robo de identidad”, agregó Pisanty.
En esto coincidió Cynthia Solís Arredondo, fundadora del despacho jurídico Lex Informática, con sede en la ciudad de México, y experta en derecho cibernético y protección de datos personales. La especialista observa que la exposición de esta información privada tiene el potencial de atentar contra la seguridad e integridad de los usuarios del servicio de correo electrónico ofrecido por Telmex.
Luego de que se informó a Telmex sobre esta violación a la seguridad y privacidad de los usuarios de Prodigy, el proveedor de servicios de Internet más grande del país confirmó la vulneración y el 31 de julio informó a El Economista que el problema fue solucionado, sin dar mayores detalles.
Via: El Economista
¡Ay Chamo! Agujero en Telmex expuso miles de correos de Prodigy: Al menos 2,500 de cuentas del servicio de cor… http://t.co/2PZ9dwF9fP