SEGURIDAD

Expertos alertan sobre el peligro de no borrar cuentas inactivas en Internet

La revista AuctionBytes ha descubierto un nuevo y curioso riesgo de seguridad: la empresa A tiene un dominio, cierra y éste expira. La persona B lo compra y recibe el correo basura y mensajes dirigidos a usuarios del antiguo dominio.

Recolecta sus direcciones electrónicas. Va a un sitio como un servicio de subastas. Introduce las direcciones, dice que ha olvidado las contraseñas y pide que se las envíen. Cuando las recibe, puede acceder a las cuentas y datos personales, incluida información financiera, como usuario legítimo.

Cuenta AuctionBytes: "Recientemente, compramos un nombre de dominio que su propietario original dejó expirar. Después de reactivarlo y poner en marcha el correo, empezamos a recibir cientos de mensajes basura dirigidos a empleados del sitio anterior, unas 20 direcciones en total. Introdujimos algunas en el servicio Buscar por vendedor de eBay y así tuvimos sus nombres de identificación en este sitio. Eran empleados que no se habían molestado en cambiar la dirección de correo de contacto, después de que la compañía cerrase".

Más información

EXPIRED DOMAINS EXPOSE EBAY SECURITY GLITCH::

Alerta

Aunque la revista afirma no haber intentado explotar la vulnerabilidad, reconoce que "es evidente que habría sido fácil ganar acceso a estas cuentas, usando el servicio Mándeme una nueva contraseña, ya que éramos ahora los propietarios del dominio donde se enviarían los mensajes. Con la nueva contraseña, podríamos tener acceso a todas las áreas de la cuenta secuestrada. ¿Cuán simple es hacer eso? Se puede comprar un dominio expirado por menos de 10 dólares y montar un servidor que coja todo el correo que se envíe a este dominio. Podríamos haber accedido rápidamente a media docena de cuentas de eBay, que no tenían movimientos desde julio de 2000".

La revista ha avisado del problema a eBay, pero al cierre de esta edición la compañía no ha respondido y siguen activos los servicios comprometidos. Según Chris Hoofnagle, del Electronic Privacy Information Center, eBay debería tener la política de cancelar las cuentas, después de determinado tiempo de inactividad, lo que disminuiría sus estadísticas de usuarios activos.

El consultor de seguridad Richard Smith, entrevistado por la revista, ve el fallo descubierto como una muestra más de que "toda la idea en torno a la recuperación de contraseñas está plagada de problemas". Según el consultor, lo mismo podría hacerse con cuentas de Hotmail o Yahoo!, que tienen un nombre de identificación conectado con la dirección de correo. La moraleja de la cuestión para las víctimas, según los expertos, es que los cambios o abandonos de dominios deben planearse con escrupulosidad, sin dejar cabos sueltos.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Añadir usuario Continuar leyendo aquí

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

¿Tienes una suscripción de empresa? Accede aquí para contratar más cuentas.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.