Sobre las 13:05 horas hemos recibido un correo electrónico de Renfe en el que nos pedía que cambiásemos de contraseña para adecuarla a la nueva políticas de contraseñas de la empresa. Ahora deben constar de entre 8 y 16 caracteres, con al menos, una mayúscula, una minúscula y un número. Los que nos ha extrañado es que el correo lo han recibido incluso usuarios cuya contraseña cumpliera con esos requisitos.
Tras ello, explicaban los pasos para modificarla. Que la compañía estaba solicitando el cambio por algo más que por actualizar la política de contraseñas era algo que sospechábamos, pero no hemos podido confirmar porque no se aportaba más información. Sin embargo, mediante un portavoz, la empresa ha explicado a eldiario.es que el problema va algo más allá de lo que se comunica en el correo electrónico, y tiene que ver con "actividad inusual".
Renfe ha informado a la Agencia Española de Protección de Datos. La noticia llega tras el anuncio de que se invertirán 700.000 euros en mejorar la denostada web. Estos últimos días hemos conocido los ataques recibidos por los departamentos ministeriales de Justicia y Defensa.
No es una brecha ni afecta a datos de usuarios, según Renfe
La web de Renfe destaca por estar algo anticuada
La explicación que la empresa ferroviaria ha dado al diario digital es que la actividad inusual detectada en algunos usuarios, podría tener relación "con el intento por terceros de hacer uso de las credenciales robadas en los últimos años de algunos conocidos sitios web". En Genbeta hemos hablado largo y tendido de brechas que pueden provocar ser utilizadas más tardes, con las diferentes colecciones que a lo largo de este año hemos visto en las sucesivos Collection. Como solemos recordar, en Have I Been Pwned! puedes comprobar si tus credenciales están afectados.
Sin embargo, Renfe ha asegurado que la actividad inusual que ha llevado a solicitar estos cambios no supone una brecha de seguridad, y que no afecta a datos de tarjetas bancarias "porque la web de Renfe no almacena este tipo de información". De eso, según la compañía, se encarga Redsys, la plataforma de pago virtual independiente que pone en contacto a las entidades bancarias propietarias de las tarjetas con las empresas prestadoras del servicio que se procesa.
Por último, la compañía ha aclarado que el hecho de que haya pedido cambiar de contraseña incluso a usuarios que ya hubieran realizado modificaciones con credenciales más seguras se debe a que no "puede verificar si una contraseña existente ya cumplía esos requerimientos", pues es algo que sólo el usuario tiene la capacidad de verificar.
Ver 4 comentarios