Cómo vulnerar la protección de datos con un “he olvidado mi contraseña”

La web del banco Santander podría estar vulnerando el deber de secreto al revelar la identidad de sus clientes si se utiliza con picaresca el mecanismo que tiene configurado para recuperar la contraseña en caso de olvido.
Como efecto colateral, sería posible que un usuario mal intencionado bloquease el acceso a los clientes de la banca online del Santander.

Hace unas semanas analizábamos cómo era posible descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo; hoy examinamos un típico caso de negligencia informática o una grave falta del deber de cuidado que una entidad como el Banco Santander Central Hispano (BSCH) debería tener con sus clientes.

Antes de comenzar es necesario aclarar alguna información para aquellos que no estén muy acostumbrados a navegar por Internet; la mayoría de las webs que disponen de un acceso privado a sus servicios (mediante la utilización de un usuario + contraseña) establecen un mecanismo automático para el caso de que el usuario o cliente haya olvidado su contraseña; cuando utilizamos esta opción el sistema comprobará nuestra identidad con algún dato que en principio sólo conozca el cliente y el propio sistema.
Esto es una buena herramienta, pero los problemas pueden surgir cuando nadie se preocupa de observar que el procedimiento, por lo menos, no vulnere la intimidad de los clientes, y este es el caso del BSCH.

Veamos qué hay que hacer para recuperar la contraseña de acceso como cliente del BSCH a través de su web:

  1. Vamos a www.gruposantander.es
  2. Pinchamos en ¿Olvidó sus claves? (imagen)
  3. Ahora el sistema nos solicita información personal, en concreto por ejemplo el NIF (imagen). Hmmmm,  ¿por qué solicita el NIF?, debería solicitar el nombre de usuario de la web ¿no?… Efectivamente, está solicitando el nombre de usuario que a su vez es el NIF del cliente. Esto de por sí ya vulnera un principio básico de seguridad informática: no revelar nombres de usuarios válidos de acceso al sistema, lo cual tendrá graves consecuencias como veremos más adelante.

Estábamos en que nos pedía el NIF; pues bien, aquí está el problema. Si introducimos un NIF de un cliente del BSCH, se nos mostrará una pantalla en la que se solicitará información que en principio sólo conoce el titular de ese NIF (imagen), ¿pero qué pasa si el NIF no es de un cliente?, pues que el sistema nos invita a darnos de alta 🙂  (imagen)

Consecuencia: conociendo el NIF de una persona podremos saber si es o no cliente del BSCH, lo cual vulnera claramente el artículo 10 de la Ley Orgánica de Protección de Datos, que establece:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos…”

Imaginemos que yo acudo a una sucursal del BSCH, y le pregunto a la cajera si me puede decir si una persona con el NIF número 123456 es cliente o no del banco; ¿Qué os imagináis que responderá la cajera?, pues algo del tipo “lo siento señor pero no puedo facilitarle esa información”.
Pero ahora nos vamos a la web del banco, y probamos a recuperar la contraseña de un usuario con NIF 123456, al instante sabremos si esa persona es o no cliente del banco.

El NIF se considera dato de carácter personal (parece obvio pero no siempre ha sido así).

Pero las consecuencias de que el banco configure de forma predeterminada como nombre de usuario de acceso al sistema el NIF del cliente pueden ser aun más graves; imaginemos que un vándalo programa un script para ir comprobando miles de NIFs; al cabo de unos días tendrá bastantes miles de NIFs válidos.

Ahora el mismo usuario maligno intenta entrar al sistema con cada uno de esos nombres de usuarios (los NIFs), concretamente prueba 3 contraseñas erróneas; el problema está servido: el sistema bloquea automáticamente esa cuenta al tercer intento fallido de conexión (imagen), por lo que miles de clientes no podrán entrar a ver sus cuentas, realizas transferencias, etc… el servicio telefónico de atención al cliente batirá todos los records de llamadas ese día.

Podemos seguir imaginándonos escenarios posibles: la competencia del BSCH podrá conocer las empresas que son sus clientes, o el número de clientes empresas en una determinada Comunidad Autónoma…

En conclusión, que el sistema elija por ti el nombre de usuario de acceso, y que además ese nombre de usuario te vincule directamente y sea predecible, supone, además de las consecuencias legales, un grave problema de seguridad.

19 comentarios en “Cómo vulnerar la protección de datos con un “he olvidado mi contraseña””

  1. Pingback: meneame.net
  2. “Consecuencia: conociendo el NIF de una persona podremos saber si es o no cliente del BSCH”

    No exactamente, lo que podrías saber es si esa persona tiene activado el servicio de banca online del BSCH.

    Responder
  3. Sí anónimo, pero no sé si pasará en todos los casos, pero cuando yo me abrí una cuenta en el Santander, el acceso a la banca electrónica venía por defecto, incluso con sus cláusulas contractuales en el contrato de adhesión (que era simplemente para abrir una cuenta corriente). Lo que pasaba es que el acceso no estaba activado, sino que tenía que activarlo posteriormente y ya me daban la contraseña (como cuando pedimos una tarjeta de crédito, que llegan sin activar).
    En cualquier caso si tiene la banca online activada tiene que ser cliente del BSCH en todo caso. 🙂

    Responder
  4. Muy bueno tu comentario, pero arremetes contra el Banco Santander y son el 90 % de los bancos online que hacen lo mismo, no solo afecta a este portal.

    Responder
  5. Bueno pero, el N.I.F. es un dato de caracter indentificativo, asi como el nombre , apellidos, direccion postal, teléfono, etc
    Dato de caracter personal son del tipo: Estado Civil, Dtos familiares, fecha nacimiento, edad sexo,nacionalidad lengua meterna, etc.

    El tratamiento por lo tanto va a diferir.

    Saludos

    Responder
  6. hola dijo:

    Bueno pero, el N.I.F. es un dato de caracter indentificativo, asi como el nombre , apellidos, direccion postal, teléfono, etc
    Dato de caracter personal son del tipo: Estado Civil, Dtos familiares, fecha nacimiento, edad sexo,nacionalidad lengua meterna, etc.
    El tratamiento por lo tanto va a diferir.
    Saludos

    Pero el dato no es el DNI en si mismo, sino que ese DNI (que te identifica y es muy accesible) te permite conocer si tiene una cuenta en una determinada entidad y eso sí supongo que tendrá carácter personal.

    Un saludo,

    Responder
  7. hola dijo:

    Bueno pero, el N.I.F. es un dato de caracter indentificativo, asi como el nombre , apellidos, direccion postal, teléfono, etc
    Dato de caracter personal son del tipo: Estado Civil, Dtos familiares, fecha nacimiento, edad sexo,nacionalidad lengua meterna, etc.
    El tratamiento por lo tanto va a diferir.
    Saludos

    En realidad la ley no habla de dato de “carácter indentificativo” sino dato de “carácter personal” (mira el artículo 3 de la LOPD). El NIF es un dato de carácter personal que te permite, lógicamente, identificar a una persona en concreto entre muchas. Hablar de “dato de caracter identificativo” es correcto pero no desde un punto de vista jurídico ya que ese concepto no existe en el ámbito LOPD.

    Responder
  8. Descuido dijo:

    Muy bueno tu comentario, pero arremetes contra el Banco Santander y son el 90 % de los bancos online que hacen lo mismo, no solo afecta a este portal.

    Completamente de acuerdo, pero tenía que personalizar en alguna entidad para poder poner los ejemplos y no hablar en abstracto… y le tocó al Santander 🙂

    Responder
  9. La verdad es que es triste pero cierto; yo tambien soy cliente del santander y me parece una cagada padre total.

    lo triste, es que hoy en dia, sacar el DNI de una persona es muy facil, yo mismo he conseguido DNI de amigos para algo en especifico, por ejemplo sacar un billete de avión, y solo tecleando su nombre en google ya te puede aparecer DNI, telefono, fecha de nacimiento; muchas veces, desde páginas oficiales del gobierno; no olvidemos que, por ejemplo el BOE se publica en internet, y si tienes una multa de trafico ya apareces..

    creo que en esta época con tanto picaruelo que hay por el mundo, habría que invertir un poco más en seguridad online; al fin y al cabo, están jugando con nuestro dinero

    Responder
  10. Enhorabuena por tus sabios consejos Samuel que son muy ilustrativos. Te envio un enlace con la pagina del Patronato municipal de deportes de Palencia. En el apartado “competiciones” se publican los resultados de la San Silvestre de este año en formato pdf. Se incluyen además de los tiempos la condicion de discapacitado (DISC) o no de los participantes. http://www.pmdpalencia.com/patronatoweb/pmd.htm
    ¿Que te parece?

    Responder
  11. Hola Luis Angel. Desde luego tu comentario es muy sugerente, pero antes de decir tengo una pregunta. Estoy mirando el listado y en casi todos pone “No”, en otros casos no pone nada y por último he encontrado algunos que pone “ot” ¿sabes que significan esas dos letras?

    Responder
  12. Samuel Parra dijo:

    Hola Luis Angel. Desde luego tu comentario es muy sugerente, pero antes de decir tengo una pregunta. Estoy mirando el listado y en casi todos pone “Noâ€?, en otros casos no pone nada y por último he encontrado algunos que pone “otâ€? ¿sabes que significan esas dos letras?

    operación triunfo

    Responder
  13. para bien o para mal vivimos en una sociedad que sin ordenadores y red no funcionaria

    si alguien quiere no figurar en ninguna base de datos deberia marchar a la selva amazonica a partir de ahi creo que el santander es de los bancos mas seguros y esto es hablar por hablar

    Responder
  14. Una entidad supuestamente de la seriedad que se le asume a un banco como Santander no puede permitirse esto.

    A mí hay una cosa que me perturba mucho y es que cada vez que entro en mi cuenta de Santander en internet veo un mensaje que pone algo como:

    “Si cuando acceda con sus datos a esta intranet se le solicitan enviar un sms a un número no lo haga, no somos nosotros”. Si después de numerosos meses sigue existiendo ese mensaje de advertencia quiere decir que no han sabido defenderse ante el problema y conviven actualmente todavía con él?

    Responder

Deja un comentario