Asociación de Internautas - Tras varias reclamaciones de clientes de
Vodafone sobre este asunto, la Asociación de Internautas se dispuso a
comprobar este problema de seguridad.
Recordamos que esta clave junto al numero telefónico del cliente es
para operar con servicios como; -Consultar tu factura, -Consulta de consumo,
-Detalle de llamadas, -Recargar tu Tarjeta, -Configurar tu teléfono, -Activar
tus promociones y mucho más...
Después de comprobar que la clave de acceso es realmente muy débil y además
no deja al usuario ninguna otra opción, tan solo una simple clave de 4
dígitos. Nos pusimos en contacto con el servicio de atención al cliente de
Vodafone, la persona que nos atendió nos aseguro que la clave puede ser
superior a 4 dígitos y nos insta a teclear en el campo de contraseña para
realizar la comprobación de que este campo deja mas de 4 dígitos.
Efectivamente te deja teclear mas de 4 caracteres en el campo destinado a la
contraseña pero al ser mayor de 4 caracteres no la valida. A continuación le
comentamos que entre en las opciones de cambiar contraseña y nos diga qué
pone:
*
La contraseña debe tener 4 caracteres numéricos y no puede estar contenida en
el nombre de usuario.
Después de leer el texto de su propia web, nos dice que si deseamos hacer otra
sugerencia, le comentamos que si van a realizar algún cambio ya que la
contraseña es muy débil y fácil de obtener con programas y puede poner en
peligro la privacidad de los clientes de Vodafone. Tras reflexionar un
instante, nos quiere pasar con el departamento de DATOS, tras varios intentos,
nos comunica que es imposible contactar con este departamento y que esperemos
un poco mas, lo hacemos, hasta que por sorpresa nos cuelgan o se pierde la
comunicación.
Realizamos algunas pruebas más y vemos que si tecleas una clave inferior a 4
dígitos nos salta una ventana de JavaScript con el siguiente mensaje;
alert("La contraseña debe tener entre 3 y 30 caracteres”
Algo paradójico cuando realmente no deja cambiar la clave de acceso si no son
4 dígitos.
..."Lamentamos si no le parece lo suficientemente seguro 10000 posibles
variaciones"....”
Abel Miranda, cliente de Vodafone preocupado por este
problema de seguridad se puso varias veces en contacto con la Asociación de
Internautas al no conseguir ninguna contestación “lógica” por parte de
Vodafone. La preocupación de Abel es legítima. Lo único que solicita es que la
contraseña de acceso a sus servicios Vodafone sea con una clave mas fuerte en
seguridad; “Solo me gustaría que al menos la contraseña fuera de 6 cifras y
fuera con números y letras”
Tras varios intentos de comunicarse con el servicio Vodafone al final obtuvo
esta contestación;
-Cliente, ”Con este e-mail les quiero expresar mi
desconfianza de la seguridad que ofrece el acceso a Mi Vodafone, ya que no
permite cambiar el nombre de usuario y la contraseña de 4 dígitos es bastante
vulnerable, ya que solo permite 10000 variaciones, algo bastante sencillo si
tienes tiempo y ganas de jorobar a los demás, a parte que accediendo ahí se
pueden ver datos confidenciales con un acceso relativamente fácil, les pediría
que o bien modificaran el acceso o quitaran este tipo de datos de Mi Vodafone”
- Departamento de Atención al Cliente, ” Queremos informarle
que para nuestra Compañía es primordial el trato y la información que se
ofrece a nuestros clientes desde cualquiera de nuestros Departamentos de
Atención, asi como la seguridad de todos sus datos. Por este motivo,
lamentamos si no le parece lo suficientemente seguro 10000 posibles
variaciones.”
MOVISTAR Y AMENA ofrecen claves mas seguras
Por otra parte las compañías Movistar y Amena que también cuentan con este
servicio web para sus clientes de telefonía móvil, sí que ofrecen una
contraseña más segura al cliente. En el caso de Movistar la clave es de
4
dígitos diferentes a 0000 seguidos de 6 letras, como se puede comprobar
este tipo de clave es de las consideradas “fuertes”. La clave de Amena es de
entre 6 y 8 dígitos, lo que ofrece más seguridad que los 4 dígitos sólo
numéricos de Vodafone.
Contraseñas de ocho caracteres.
La Asociación de Internautas (AI) reclama que se implanten de forma
generalizada sistemas cifrados en las páginas web que contengan datos de
carácter personal, y de contraseñas de al menos ocho caracteres alfanuméricos
para el acceso a la información personal o la transmisión de datos por
Internet.
http://www.internautas.org/html/1/2893.html
Agradecemos Abel Miranda por datos facilitados y a
Jabema Telecomunicaciones por la
información facilitada de Movistar.
Realizado por;
José María Luque Guerrero
Comisión de seguridad en la red.
http://seguridad.internautas.org
/
www.seguridadenlared.org
Asociación de Internautas.
www.internautas.org