Telmex, la mayor empresa de telecomunicaciones en México expuso la seguridad de más de dos mil 500 cuentas de correo electrónico de su servicio de Prodigy debido, en palabras de la empresa de Carlos Slim, a un proceso de mantenimiento y actualización.
Los datos comprometidos por este “agujero” en la seguridad, incluían contactos de los usuarios, información de tarjetas bancarias, accesos a cuentas de redes sociales como Facebook o Twitter, o a sistemas de compras en línea de los usuarios.
Estos accesos estuvieron disponibles y a merced de los delincuentes informáticos de todo el mundo debido a la existencia de una vulneración en los sistemas de seguridad del servicio de Telmex, al cual se podía ingresar con tan sólo realizar una simple búsqueda en Google.
Cynthia Solís Arredondo, experta en derecho cibernético y protección de datos personales, observó que esta vulneración puede generar atentados contra la seguridad e integridad de los usuarios del servicio de correo electrónico ofrecido por Telmex.
El hallazgo data del 24 de julio del 2013, cuando al realizar una búsqueda en Google, este reportero encontró que en la primera página de resultados, el buscador mostró el hipervínculo a un documento almacenado en la bandeja de entrada de un usuario de Prodigy.
A fin de constatar la existencia de una vulneración a los sistemas de seguridad del servicio proporcionado por Telmex y analizar este caso, se consultó a Ken Westin, quien es experto en ciberseguridad y fundador de la plataforma de seguridad móvil GadgetTrak.
“Encontré al menos 2,500 cuentas comprometidas como resultado de este problema. Este número está basado en el número de resultados que arroja Google aunque podría suponer que el número puede ser más grande”, aseguró Westin en su colaboración para esta investigación, cuya primera versión fue publicada en El Economista en línea el 6 de agosto.
“Comprometer cuentas de correo electrónico no sólo permite a cualquier internauta leer los correos electrónicos, sino enviarlos a nombre del titular de la cuenta utilizando la interfaz de usuario (de Prodigy)”, agregó el experto quien también es investigador para la firma de seguridad informática Tripwire.
El riesgo va más allá de los usuarios residenciales. Funcionarios públicos, cúpulas empresariales, asociaciones civiles e institutos del gobierno como la Dirección General de Profesiones de la Secretaría de Educación de San Luis Potosí, o el Centenario Hospital Miguel Hidalgo del Estado de Aguascalientes tienen direcciones de contacto y cuentas oficiales bajo el dominio prodigy.net.mx.
La vulneración de comunicaciones privadas puede dar pie a la comisión de delitos como la suplantación de la identidad, extorsión, fraudes bancarios y electrónicos, hasta secuestros, advirtieron expertos.
Antes de publicar este reportaje, y para proteger la información de las cuentas en riesgo y la seguridad de los clientes de Prodigy, se notificó Telmex de la vulneración. La firma reconoció la existencia de un problema de seguridad.
El 31 de julio, la vulneración fue corregida, de acuerdo con la oficina de Comunicación de Telmex, sin dar mayores detalles en ese entonces.
Se insistió a Telmex para que expusiera su versión sobre el caso, pero fue hasta el 6 de agosto cuando emitió un comunicado, tras la publicación en El Economista en su versión digital.
“La afectación a la que se refiere dicha nota fue producto de un proceso de mantenimiento y actualización de servidores, que al detectarse fue corregido inmediatamente, aplicándose todos los protocolos de seguridad”, escribió.
Al conocer esta respuesta, Ken Westin aclaró que en sus investigaciones, existen además otras 78 vulneraciones susceptibles de ser corregidas, 15 de ellas críticas, en el servidor que también atiende las cuentas de otros dominios de Telmex, como infinitummail.com o correoinfinitum.com.
Telmex , en su comunicación, sólo dice que “estará atenta a cualquier solicitud de apoyo que requieran” los afectados de la vulneración, a pesar de que está obligada por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) a comunicar la vulneración a los afectados.
“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento (de la información) que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos”, suscribe el Artículo 20 de esta Ley.
Hasta el cierre de esta edición, las autoridades aún no se han pronunciado acerca del caso.