Agujero en Telmex expuso miles de correos de Prodigy
Datos privados y sensibles de miles de usuarios del servicio de correo de Telmex estuvieron disponibles a través del buscador de Google. Fuentes de la compañía consideran que la vulneración se produjo por un sabotaje industrial.


Untitled Document

Al menos 2,500 de cuentas del servicio de correo electrónico Prodigy, propiedad de Telmex, quedaron expuestas públicamente y sin restricciones para cualquier internauta. Dirección postal, números de tarjetas de crédito, acceso a servicios como iTunes, MercadoLibre, Facebook y Twitter, contactos entre familiares, amigos y colegas... Con una sencilla búsqueda en el motor de búsqueda de Google, esta información estuvo disponible y al alcance de todo el mundo. Delincuentes incluidos.

Antes de publicar este reportaje, y para proteger la seguridad de los clientes de Prodigy, El Economista informó a Telmex el 30 de julio pasado sobre la vulneración encontrada por esta casa editorial. También se le solicitó una versión oficial sobre el tema.

El agujero de seguridad fue corregido el 31 de julio, de acuerdo con la oficina de prensa de la compañía, pero hasta el momento Telmex no ha definido una postura pública al respecto.

ACTUALIZACIÓN 06/08/2013 16:34: Telmex envió un comunicado a El Economista en el que asegura que la exposición de las cuentas se debió a un proceso de mantenimiento y actualización de servidores. Ir a nota

De manera extraoficial, se dice que la vulneración fue producto de un acto de sabotaje industrial en contra de los servidores de Prodigy, lo que puso en riesgo la seguridad de las cuentas vulneradas.

El 24 de julio, al realizar una búsqueda en Google sobre el espionaje en México, El Economista localizó en la primera página de resultados un hipervínculo a un documento de la bandeja de entrada de un usuario de Prodigy, una de las marcas de servicios digitales de la operadora Telmex.

ANÁLISIS: Por qué importa Prodigy

Para ver el contenido no se requirió ningún tipo de autenticación, como nombre de usuario y contraseña. Mucho menos habilidades de hacker. Una casualidad fue suficiente para llegar a la bandeja de la cuenta comprometida. Por lo menos se detectaron otros 2,500 casos, con las repercusiones que eso significa: exposición de datos personales y sensibles de sus titulares.

“Comprometer cuentas de correo electrónico no sólo permite a cualquier internauta leer los correos electrónicos, sino enviarlos a nombre del titular de la cuenta utilizando la interfaz de usuario (de Prodigy)”, advirtió Ken Westin, experto en seguridad informática y en privacidad de datos.

El correo electrónico Prodigy es la plataforma que Telmex ofrecía gratuitamente a sus clientes residenciales hasta el 15 de septiembre del 2010, pero ya no es comercializado, según explica la compañía en los términos de uso del servicio. Hasta esa fecha, por cada servicio de internet contratado Telmex otorgaba una cuenta bajo el dominio “prodigy.net.mx”.

Funcionarios públicos, organismos empresariales, asociaciones civiles e instituciones gubernamentales como la Gaceta del Gobierno del Estado de México, el Instituto Guerrerense de la Infraestructura Física Educativa, la Dirección General de Profesiones de la Secretaría de Educación de San Luis Potosí, o el Centenario Hospital Miguel Hidalgo del Estado de Aguascalientes tienen direcciones de contacto y cuentas oficiales bajo el dominio prodigy.net.mx, de acuerdo con información disponible en sus sitios de internet.

El Economista consultó a Westin, fundador de la plataforma de seguridad móvil GadgetTrak, para analizar el caso y corroborar la existencia de una vulneración en los sistemas de Prodigy.

“Encontré al menos 2,500 cuentas comprometidas como resultado de este problema. Este número está basado en el número de resultados que arroja Google aunque podría suponer que el número puede ser más grande”, dijo Westin el 27 de julio pasado.

Para dimensionar el problema, el experto escribió un programa de prueba que, en 15 minutos, rastreó y localizó todos los hipervínculos a cuentas de Prodigy disponibles a través de Google.

Prodigy tiene la facultad de determinar que la información de las cuentas de sus usuarios debe omitirse de las búsquedas de Google, a través de un código de programación, así como pedir el retiro de contenido que represente una exposición a información confidencial que ponga el riesgo la privacidad de los usuarios.

De acuerdo con las políticas de indexación de Google, los administradores de los sitios web pueden establecer si quieren o no que su contenido esté indexado en la base de datos del buscador y que serán mostrados a los usuarios, pues únicamente indexa sitios que sean públicos y que no tengan restricciones de consulta por parte de sus administradores.


Ver infografía completa

La vulneración de comunicaciones privadas puede dar pie a la comisión de distintos delitos, como la suplantación de identidad, extorsión, fraudes financieros y electrónicos hasta secuestros, advirtieron expertos consultados.

“El correo (electrónico) es una comunicación privada. Desde luego, lo que encuentren puede ser usado para hacerle daño al usuario (sobre todo) si hay números de cuenta bancarios o información personal”, dijo Alejandro Pisanty, de Internet Society (Isoc) en México y catedrático de la Universidad Nacional Autónoma de México (UNAM).

En su análisis, Westin encontró información comprometida en las versiones almacenadas en los sistemas de Google desde, por lo menos, el 9 de julio del 2013.

“El contenido del correo puede ser usado para molestar, para exhibir, para extorsionar o para robo de identidad”, agregó Pisanty.

En esto coincidió Cynthia Solís Arredondo, fundadora del despacho jurídico Lex Informática, con sede en la ciudad de México, y experta en derecho cibernético y protección de datos personales. La especialista observa que la exposición de esta información privada tiene el potencial de atentar contra la seguridad e integridad de los usuarios del servicio de correo electrónico ofrecido por Telmex.

Luego de que se informó a Telmex sobre esta violación a la seguridad y privacidad de los usuarios de Prodigy, el proveedor de servicios de Internet más grande del país confirmó la vulneración y el 31 de julio informó a El Economista que el problema fue solucionado, sin dar mayores detalles.

julio.sanchez@eleconomista.mx

3 Comentarios
Comentarios
avipdf (no verificado)
Agregado:
7 Ago 2013 |
01:24 AM

Una supuesta actualización no es excusa para este tipo de situaciones 100% confidenciales, ejemplo que la información de SLIM quede expuesta durante un periodo al igual que este agujero que diría él… un error de actualización? mmm hay que ponerse los zapatos de quien es vulnerado SR SLIM así que tome cartas en el asunto, gracias.

nahual (no verificado)
Agregado:
7 Ago 2013 |
18:48 PM

Aparte de careros todavia tenemos que aguantar el mal servicio,telmex me estaba cobrando 250 pesos por brindar servicio de seguridad cuando navego por internet a lo cual me opuse ,insisti hasta que me retiraron dicho cargo,ahora me entero que exixte una vulnerabilidad en sus servicios de infinitum ,

cuestion que se me hace muy sospechosa ,por que voya pagar seguridad en internet ,para eso existen los antivirus.

Anón y mo (no verificado)
Agregado:
7 Ago 2013 |
20:47 PM

Quién iba a pensar que google indexaría un sitio donde se guardan correos, vaya, vaya. Sysop inepto!

Periódico El Economista es una empresa de