El web de Telefónica deja al descubierto los datos personales de sus clientes

El diseño de la página www.telefonicaonline.com permite que cualquiera, usando el servicio de recordatorio de contraseñas y la lógica, acceda al espacio personal de los clientes de Telefónica, en el que se pueden consultar facturas, contratar servicios, realizar compras y enviar mensajes SMS con cargo a la factura telefónica del abonado. Telefónica afirmó en un primer momento que el sistema es seguro y descargó la culpa sobre los clientes por elegir preguntas secretas cuya respuesta es evidente. Esta tarde han desactivado el sistema de recordatorio de contraseñas.

Telefónica ofrece a sus clientes a través de esta página la posibilidad de gestionar online los servicios de la operadora. No todos los abonados de la empresa de telefonía están dados de alta en telefonicaonline.com, pues el servicio ha de ser solicitado por el titular de la línea.

Según ha podido comprobar ELPAIS.es a raíz de un error cometido por un cliente de Telefónica que accedió sin querer a los datos de otra persona, el sistema de telefonicaonline.com no es como el que está presente en otros sitios de Internet. La mayoría de servicios que piden a los usuarios el uso de contraseñas funcionan de la siguiente forma: cuando alguien olvida su contraseña, se le hace una pregunta secreta que él mismo eligió. Si responde adecuadamente, el sistema le enviará un correo electrónico a una dirección conocida especificando la vieja contraseña y ofreciendo la opción de cambiarla. Hay servicios que incluso regeneran la contraseña (crean una nueva) para dar más seguridad al proceso.

Una respuesta que sirve de contraseña

Pero en el caso de telefonicaonline.com las cosas funcionan de tal manera que no es necesario ser un experto informático para acceder a los datos de muchos usuarios sin conocer su contraseña.

Al intentar acceder a una cuenta, la página ofrece la posibilidad de fallar por tres veces la identificación de un usuario. Llegados a este punto es necesario dar con un nombre de usuario válido, algo relativamente sencillo si se prueba con nombres y apellidos comunes en España. Hecho esto, se nos propone recordarnos la contraseña. Al elegir esta opción la página muestra una ventana en la que debemos contestar a la pregunta secreta del usuario en cuya sesión intentamos entrar.

Cuando la respuesta a estas preguntas es evidente o puede resolverse probando varias posibilidades, la trampa está hecha. Porque, según ha podido comprobar ELPAIS.es, en el sistema de Telefónica la respuesta a la pregunta secreta puede ser utilizada como contraseña para el usuario en cuestión. Esto es, averiguando la respuesta a la pregunta secreta se accede, sin conocer la contraseña, a la zona privada de los clientes.

Todo tipo de información personal y financiera

Entre los datos a los que se puede acceder una vez dentro de la cuenta del usuario se encuentran los números bancarios de éste. También es posible servirse de los servicios contratados, modificarlos o cancelarlos.

Hay un servicio de consultas en el que podremos plantear dudas sobre facturas, por ejemplo, o retrasos en instalaciones pendientes, siempre en nombre del cliente a cuya cuenta hemos accedido. Quizás el servicio más utilizado sea la 'e-factura', por la que se accede a facturas pasadas y pendientes de pago, además de poder conocer lo que se lleva consumido en todos los servicios contratados. Una lista de ellos también puede consultarse en esta web.

Telefónica ofrece la posibilidad de realizar diversas gestiones, como la consulta y modificación de los datos que la operadora tiene del usuario, los que se contienen en la factura electrónica, y las preasignaciones (servicios que permiten realizar siempre las llamadas con la operadora que se desee sin tener que marcar antes del número un prefijo).

Telefónica culpa a los usuarios

Consultada por ELPAIS.es sobre este asunto, Telefónica afirma que "no hay fuga de datos" en el servicio que ofrece telefonicaonline.com y asegura que el procedimiento de autentificación de usuarios "cumple todas las auditorias" de seguridad.

Sobre la posibilidad de utilizar un sistema que notifique al usuario por correo su contraseña o le envíe una nueva, la operadora afirma que se trata de un procedimiento más inseguro, pues podría provocar que trabajadores de la empresa conocieran las claves de sus clientes, algo, afirma la operadora, prohibido por la ley.

Además, Telefónica asegura que cuando se ofrece a los usuarios la posibilidad de elegir una pregunta y una respuesta secretas para que recurra a ellas en caso de olvidar la contraseña, se les advierte que deben utilizar datos que sólo ellos conocen. El que no lo hagan, el hecho de que planteen preguntas cuya respuesta es evidente, permite que otras personas accedan a sus cuentas. Por eso, Telefónica achaca la responsabilidad del problema a los clientes.

Telefónica on line "desactiva" el recordatorio de contraseñas

En la tarde de hoy Telefónica on line ha "desactivado" el servicio de recordatorio de contraseña. El enlace ha desaparecido directamente de su portada y en la página de identificación se remite de nuevo al inicio del web. Telefónica on line descargaba ayer la responsabilidad sobre los usuarios pero ahora ha decidido modificar su página para "cerrar" este problema de seguridad.