Por qué importa Prodigy, el servicio de correo de Telmex

Un error en la configuración del servicio de correo electrónico de Prodigy, propiedad de la operadora Telmex, abrió los buzones de por lo menos 2,500 personas, sin necesidad de utilizar contraseñas o cualquier otra llave de acceso. Tampoco se requirieron habilidades de hacker: bastó una búsqueda casual en Google para ingresar a las cuentas.

El error en Prodigy, vigente entre el 9 y el 31 de julio del 2013, permitía a cualquiera tener acceso a las bandejas de entrada y trabajar con ellas como si fueran propias: leer y enviar mensajes, descargar documentos adjuntos (fotografías, videos, textos), cambiar contraseñas y buscar en los mensajes archivados, como documentó el reportero Julio Sánchez Onofre en El Economista.

Los servicios digitales vinculados con las cuentas expuestas también fueron susceptibles de ser invadidos por personas ajenas a sus propietarios.

La respuesta de Telmex me dejó más preguntas que certezas. La compañía admitió el error pero lo atribuyó a un “proceso de mantenimiento y actualización de servidores” y no a un problema de configuración de servidores y un descuido en la programación para evitar que el contenido privado, información sensible de sus clientes, fuera incluido en los motores de búsqueda, como Google.

“La afectación a la que se refiere dicha nota fue producto de un proceso de mantenimiento y actualización de servidores, que al detectarse fue corregido inmediatamente, aplicándose todos los protocolos de seguridad”, dijo la carta de Telmex enviada a El Economista.

¿Cuántas cuentas fueron expuestas? ¿El error sólo fue vigente entre el 9 y el 31 de julio? ¿Cuántos usuarios de correo tiene Prodigy? ¿Por qué ocurrió el error? Y, lo más grave, ¿cómo es posible que la operadora de telecomunicaciones más grande de México, y con operaciones en otros 18 países de América, sea tan descuidada en sus procesos de protección de la información privada de sus clientes?

Prodigy puede parecer un servicio menor: fue la principal marca de servicios digitales de Telmex hasta la llegada de Infinitum. En septiembre del 2010, Prodigy dejó de abrir nuevas cuentas de correo y, a junio del 2013, de acuerdo con la agencia de análisis comScore, su servicio no aparece entre los cinco principales proveedores de México.

Viendo los números de comScore, quizá las 2,500 cuentas expuestas y detectadas en la investigación de Sánchez Onofre formen la totalidad de los usuarios de correo de Prodigy (el 100%), un servicio relativamente menor entre los tres grandes que dominan el mercado en México (Microsoft, Yahoo! y Gmail).

Pero en cualquier caso, incluso si la exposición de la información privada fuera de una sola cuenta de Prodigy, las autoridades deben imponer una sanción ejemplar contra Telmex: es una falla enorme que un proveedor de servicios descuide sus protocolos de seguridad y permita a cualquiera entrar a nuestras cuentas.

Por eso importa el caso Prodigy: porque será la primera prueba de fuego en la aplicación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Su resolución debe ser un ejemplo de que la eficiencia y seguridad de los servicios digitales es una obligación de los proveedores y un derecho de los consumidores.

Este artículo se publicó originalmente el 9 de agosto de 2013 en El Economista.

Comentarios