Representantes de T-Mobile Austria han hecho una sorprendente admisión sin darse cuenta de la magnitud de lo que exponían: nada menos que en un comentario de una publicación de Twitter, revelaron que T-Mobile tiene acceso parcial a la contraseña de sus clientes en Austria: es decir, almacena las 4 primeras letras de las contraseñas en texto legible.
“Los agentes de servicio al cliente pueden ver los primeros cuatro caracteres de las contraseñas. Almacenamos la contraseña completa porque la necesitas para ingresar mediante mein.t-mobile.at”, informó una representante de T-Mobile Austria en respuesta a una usuaria que preguntaba específicamente si T-Mobile almacenaba contraseñas en texto legible.
La naturalidad con la que se dio este comunicado por un medio tan informal dejó anonadados a quienes leyeron la publicación, que se apresuraron a hacer notar el peligro que esto representa para la seguridad de su información. Sin embargo, los representantes que participaron en la discusión defendieron las prácticas de su compañía, asegurando que nadie podría robar los datos almacenados porque tiene “seguridad asombrosa”.
“De verdad no entiendo por qué se hace un problema de esto. Cada usuario tiene contraseñas para cada aplicación, para cada cuenta de correos, etc. Aseguramos los datos con mucho cuidado, así que no hay nada que temer”, afirmó otra representante de la compañía.
No es ninguna novedad que los cibercriminales están buscando de forma activa y constante vulnerabilidades en los sistemas de las compañías grandes y pequeñas para robar los datos personales, contraseñas y datos financieros de sus clientes, por lo que cualquier compañía tiene por delante un importante reto de seguridad para proteger esta información.
Existen antecedentes de ataques a importantes bases de datos que generaron filtraciones masivas de contraseñas, algunas de las cuales afectaron a miles de millones de usuarios.
Es por eso que, aunque los ataques son inminentes y muchas veces es difícil salir victorioso de ellos, existen prácticas de seguridad básicas y bien conocidas que evitan que las compañías sean blancos extremadamente fáciles para los ladrones de datos. Cifrar las contraseñas para que no estén en texto legible es una de ellas.
Omitir parte de las contraseñas tampoco es una práctica de seguridad eficiente: “Según lo que sabemos sobre la manera en la que los internautas eligen sus contraseñas, con sólo saber los primeros cuatro caracteres, el resto de la contraseña puede ser ABSURDAMENTE FÁCIL de adivinar para un atacante”, dijo Per Thorsheim, fundador de PasswordCon, la primera conferencia dedicada exclusivamente a la seguridad de contraseñas.
Después de todo el escándalo que se generó por las revelaciones en Twitter, la única esperanza a la que se aferraban los usuarios es a que las representantes de la compañía en la red social estuvieran mal informadas. Sin embargo, al contestar a las consultas de periodistas de seguridad de Gizmodo que se pusieron en contacto con la empresa días después, todavía más representantes de T-Mobile Austria confirmaron lo que ya se había expuesto: “los agentes de servicio al cliente sólo pueden ver parte de las contraseñas de los usuarios, que están almacenadas de forma segura en bases de datos cifradas. También empleamos PINs de uso único para la autentificación de clientes y estamos evaluando los sistemas biométricos de autentificación de voz para mejorar la experiencia de los usuarios”.
Fuentes
T-Mobile Stores Part of Customers’ Passwords In Plaintext, Says It Has ‘Amazingly Good’ Security • Motherboard
Did T-Mobile Austria Really Just Admit It Stores Customer Passwords in Plaintext? • Gizmodo
T-Mobile Austria is OK with Storing Passwords Partly in Clear Text • PC Magazine
T-Mobile Austria almacena contraseñas en texto legible y no lo considera un problema