La inseguridad de la pregunta de seguridad
FACUA-Consumidores en Acción ha denunciado a Microsoft, Yahoo y Google ante la Agencia Española de Protección de Datos (AEPD) por "un grave problema de seguridad" en sus servicios de correo electrónico.
Argumenta que "cualquiera puede acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una pregunta de seguridad", que "en muchos casos es fácil de averiguar".
Como ejemplo de este problema, esta asociación ha mencionado la , al que cuatro personas, ya detenidas, le reclamaban una elevada cantidad de dinero a través de mensajes de correo electrónico a cambio de no divulgar la información sustraída de sus e-mails. reciente extorsión al cantante David Bisbal
La asociación asegura que este problema implica vulneración del artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal.
FACUA ha detallado que para apoderarse por ejemplo de una cuenta de Hotmail (Microsoft) o Yahoo sólo es necesario entrar en sus respectivas web.
Una vez dentro, teclear la dirección de correo electrónico indicando que su contraseña ha sido olvidada, señalar el país, provincia y código postal de su propietario y contestar correctamente a una pregunta que éste seleccionó al activarla o modificarla.
En este sentido, FACUA cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta.
Esta asociación de consumidores, ha recordado que en 2004 ya había reclamado a Microsoft que eliminase el sistema de la "pregunta de seguridad", pero "tras una reunión con la compañía en la que su departamento legal se comprometió a analizar el asunto, no volvió a recibir respuesta alguna".
Hasta que las compañías modifiquen sus protocolos de seguridad, FACUA ha recomendado a sus usuarios que eliminen la "pregunta de seguridad" si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta.